Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
VoorkeurenNeeAccepteer
DeepBlue White box pentesting
May 20, 2025
LEES TIJD:
6
MINUTen

Gelekte inloggegevens

Gelekte credentials vormen een van de meest effectieve aanvalsvectoren voor kwaadwillende. Dit kan door middel van een gestolen gebruikersnaam en wachtwoord via een datalek, een succesvolle phishingmail of een brute-force aanval op een slecht beveiligde API, het eindresultaat is over het algemeen hetzelfde: directe toegang tot interne systemen zoals bijvoorbeeld bij de hack op TU Eindhoven:

…De aanvallers maakten gebruik van het VPN-systeem van de TU Eindhoven en drie verschillende gebruikersaccounts die eerder betrokken waren bij een datalek. Twee van de drie accounts werden met succes gebruikt om toegang tot de systemen te krijgen. Bij het derde account bleef een inbraakpoging zonder resultaat. De hackers hadden de inloggegevens vermoedelijk via het dark web bemachtigd. De gebruikers van de accounts zouden hun wachtwoorden niet gewijzigd hebben. Er was via de VPN-verbinding van de universiteit ook geen tweestapsverificatie actief.

Organisaties onderschatten niet alleen het feit dat deze inloggegevens kunnen lekken, maar ook hoe ver een aanvaller daadwerkelijk kan komen zodra hij ‘binnen’ is. Een goede handmatige pentest speelt in deze een cruciale rol.

Bij DeepBlue Security & Intelligence simuleren we tijdens onze pentests ook altijd een realistische aanval waarbij een ethical hacker begint met reeds gecompromitteerde toegang. Denk aan inloggegevens die via het dark web zijn verkregen, of credentials van een voormalige medewerker die nog steeds geldig zijn. Deze fase laat niet alleen zien welke systemen bereikbaar zijn, maar ook welke interne segmentatie, logging, privilege separation en responsemechanismen wel of niet functioneren.

Inloggegevens, hoe kom je eraan?

Gelekte inloggegevens zijn relatief eenvoudig te verkrijgen. Elke dag worden er miljoenen nieuwe credentials gedeeld, verkocht of gepubliceerd op platforms zoals Intelligence_X, Telegram-kanalen of dark web marktplaatsen. Deze gegevens worden vaak verkregen via de volgende methodes:

1. Massale datalekken:

Bekende datalekken bij bedrijven zoals LinkedIn, Dropbox, Adobe en zelfs overheidsorganisaties hebben geleid tot de verspreiding van miljarden inlogcombinaties. Deze gegevens worden lang bewaard en vaak hergebruikt, omdat wachtwoorden niet tijdig gewijzigd worden.

2. Credential Harvesting via phishing:

Via gespoofte e-mails, lookalike portals of zelfs via MFA-fatigue-aanvallen wordt geprobeerd inloggegevens van medewerkers te stelen. Veelgebruikte phishingkits zoals Evilginx2 of Modlishka maken het eenvoudig om credentials inclusief session tokens te onderscheppen.

3. Infostealers en malware:

Malwarefamilies zoals RedLine, Raccoon en Vidar worden op grote schaal ingezet om browser-caches, opgeslagen wachtwoorden, cookies en session tokens te exfiltreren. De output van deze stealer logs wordt dagelijks verhandeld of gebundeld en beschikbaar gesteld aan andere threat actors.

4. Credential stuffing & brute force:

Aanvallers gebruiken geautomatiseerde tools zoals Snipr, OpenBullet en Hydra om gestolen credentials op grote schaal te testen op andere services, vooral als gebruikers wachtwoorden hergebruiken op meerdere platforms.

5. Third-party exposures:

Ook leveranciers, partners en externe dienstverleners vormen een risico. Een login die lekt bij een toeleverancier kan vaak nog steeds toegang geven tot interne portals of shared environments van jouw organisatie.

Uit recent onderzoek blijkt dat meer dan 24 miljard unieke credentials op enig moment beschikbaar zijn op het dark web, waarvan een aanzienlijk deel nog steeds geldig is.

Wat doet een hacker met geldige inloggegevens?

Zodra een aanvaller over geldige inloggegevens beschikt, worden veel traditionele verdedigingsmechanismen direct omzeild. Denk aan firewalls, IP-filtering en traditionele SIEM-regels die voornamelijk focussen op ongeautoriseerde toegangspogingen.

Met een geldig account kan de aanvaller:

  • Authenticeren via legitieme kanalen zoals VPN, OWA of SaaS-platformen
  • Lateraal bewegen naar andere systemen via RDP, SMB of PSExec
  • Privileged escalation uitvoeren door lokale adminrechten te misbruiken of Group Policy misconfiguraties
  • Persistentie behouden door scheduled tasks, registry entries of cloud app tokens
  • Data exfiltreren via legitieme kanalen zoals OneDrive, e-mail of reverse shells over HTTPS

White box pentesting

Een vast onderdeel van onze pentesten is het gebruik maken van geauthenticeerde credentials om zo toegang te verkrijgen tot het systeem. Dit betekent dat de ethische hacker over inloggegevens beschikt van bijvoorbeeld een gewone medewerker, een systeemaccount of een service user. De kracht van deze aanpak is dat het een realistisch scenario simuleert: er wordt niet gekeken naar hoe de credentials zijn verkregen, maar naar wat er mogelijk is vanaf het moment dat de aanvaller “binnen” is.

Tijdens deze fase worden onder andere de volgende zaken geëvalueerd:

  • Toegangsrechten en privilege boundaries
  • Interne netwerksegmentatie en microsegmentatie
  • Detectie- en loggingcapaciteit van SIEM/SOC
  • Misbruikmogelijkheden van Single Sign-On of federated identity setups
  • Credential reuse tussen systemen en platformen (cloud/on-prem)

Deze manier van testen is zeer efficiënt en het levert ook veel bruikbare output op.

Reëel scenario

Veel organisaties investeren in beveiliging om kwaadwillende buiten te houden, maar vergeten nogal eens te testen op wat er gebeurt ná een initiële compromise. Een pentest met gelekte credentials dwingt je om te kijken naar het worst-case-scenario: een legitiem account dat wordt misbruikt voor interne escalatie. Het geeft inzicht in je exposure, detectiecapaciteit, en de effectiviteit van je responseprocedures.

Daarnaast helpt deze vorm van testen bij:

  • Het onderbouwen van investeringen in Zero Trust architectuur
  • Het aanscherpen van Identity & Access Management (IAM)
  • Het versterken van MFA-implementaties (en detectie van MFA-bypass)
  • Het formuleren van response playbooks bij “suspicious authenticated access”

We kunnen dus stellen dat

Gelekte credentials een structureel risico vormen en de start zijn van een aanzienlijk deel van alle gerichte aanvallen. De vraag is niet óf jouw organisatie ooit wordt geconfronteerd met gestolen inloggegevens, maar hoe goed je voorbereid bent als dat gebeurt.

Een pentest moet altijd een fase hebben waarin gelekte credentials meegenomen wordt als scenario. Dit biedt een directe en technische kijk op je kwetsbaarheid vanaf het moment van toegang. Het valideert je detectiecapaciteit, privilege boundaries en netwerkarchitectuur op een manier die geen andere vorm van pentesten biedt.

Bij DeepBlue kunnen we iedere gewenste pentest uitvoeren om risico’s te beoordelen en concrete aanbevelingen te doen. Of wilt u meer weten over deze of een van onze andere maatwerk diensten neem dan contact met ons op via info@deepbluesecurity.nl of bel ons op 070 800 2025

ENGLISH VERSION
Back to Resources

Klaar om te beginnen?

Als het om cyber security gaat, zijn wij uw beste keuze

Contact