Cyberinfractorii utilizează instrumente legitime în incidente cibernetice de succes
Reading Time: 2 minuteSoftware-ul de monitorizare și management ajută administratorii IT și de rețea să-și îndeplinească
sarcinile de zi cu zi, cum ar fi depanarea și oferirea de asistență tehnică angajaților. Cu toate acestea, atacatorii cibernetici pot folosi aceste instrumente legitime și în timpul atacurilor cibernetice asupra infrastructurii unei companii. Acest software le permite să ruleze procese pe endpoint-uri, să acceseze și să extragă informații importante, ocolind diverse controale de securitate menite să detecteze malware-ul.
În total, analiza datelor anonime provenite din cazurile de răspuns la incident (IR), a arătat că 17
instrumente legitime diferite au fost abuzate de către atacatori cu intenții rele. Cel mai des folosit a fost PowerShell (25% din cazuri). Acest instrument puternic de administrare poate fi utilizat în mai multe scopuri, de la colectarea informațiilor, până la rularea programelor malware. PsExec a fost utilizat în 22% dintre atacuri. Această aplicație de console este concepută pentru lansarea proceselor pe endpoint-uri finale, de la distanță. Aceasta a fost urmată de SoftPerfect Network Scanner (14%), care are scopul de a prelua informații despre mediile de rețea.
Un raport Kaspersky
Este ceva mai dificil ca soluțiile de securitate să detecteze atacuri efectuate cu instrumente legitime,
întrucât aceste acțiuni pot fi atât parte a unei activități informatice planificate, cât și o sarcină obișnuită a unui administrator de sistem. De exemplu, în segmentul atacurilor care au durat mai mult de o lună, incidentele cibernetice au avut o durată medie de 122 de zile. Întrucât au fost nedetectate, infractorii cibernetici au putut colecta în continuare datele sensibile ale victimelor.
Cu toate acestea, experții Kaspersky sunt de părere că, uneori, acțiunile rău intenționate care folosesc software-ul legitim, ies la iveală destul de rapid. De exemplu, acestea sunt adesea folosite într-un atac ransomware, iar pagubele pot fi observate clar. Durata medie a unui atac, în ceea ce privește atacurile scurte, a fost de o zi.
“Pentru a evita detectarea și pentru a rămâne invizibili într-o rețea compromisă, atacatorii utilizează pe scară largă un software care este conceput pentru activități normale ale utilizatorilor, sarcini de administrare sau diagnostic de sistem. Cu ajutorul acestor instrumente, atacatorii pot aduna informații despre rețelele corporative și apoi să efectueze mișcări laterale, să schimbe setările software-ului și hardware-ului, sau chiar să atace. De exemplu, pot utiliza un software legitim ca să cripteze datele clienților. Acest software legitim poate ajuta totodată atacatorii să rămână sub radarul cercetătorilor în securitate, întrucât aceștia detectează adesea atacul abia după ce s-a petrecut. Totuși, nu putem să ne dispensăm de aceste instrumente, iar sistemele de înregistrare și monitorizare implementate în mod corespunzător ajută la detectarea unei activități suspecte în rețea și a unor atacuri complexe încă din stadii incipiente”, spune Sapronov, Head of Global Emergency Response Team la Kaspersky.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz
