Společnost Kaspersky ve své zprávě Global Emergency Response uvádí, že téměř třetina (30 %) kyberútoků zkoumaných v roce 2019 využívala legitimní vzdálený management a administrátorské nástroje.
Analytici naznačují, že díky tomu byli útočníci schopni nepozorovaně škodit mnohem déle. Například kyberšpionáže a krádeže citlivých dat podle Kasperského trvaly v průměru nepřetržitě 122 dní.
Analýza anonymizovaných dat z případů reakce na incident (IR) ukázala, že se škodlivými záměry bylo použito 18 různých legitimních nástrojů. Nejčastěji používaným byl administrátorský nástroj PowerShell (v 25 % případů).
PsExec byl podle společnosti použit u 22 % útoků. Tato konzolová aplikace má za úkol spouštět procesy na vzdálených koncových zařízeních. Třetím nejčastěji používaným byl SoftPerfect Network Scanner se 14 %, který shromažďuje informace o prostředí sítě.
Zločin, nebo běžná administrativa?
Detekce útoků vykonaných skrze legitimní nástroje je dle Kasperského komplikovanější, protože může jít jak o plánovaný kyberzločin, tak o běžný administrátorský úkon.
Experti společnosti uvádí, že například v segmentu útoků, které trvaly déle než měsíc, trvaly kyberincidenty v průměru 122 dní. Díky tomu, že nebyly detekovány, mohli hackeři jednoduše shromažďovat citlivá data obětí.
Podle Kasperského je však možné někdy útoky vykonané legitimním softwarem odhalit poměrně rychle. Často například bývají používány k ransomwarovým útokům, kdy je následná škoda velmi dobře patrná. Průměrná doba krátkých útoků byla pouhý den.
Pro minimalizaci hrozeb použití dálkově ovládaného škodlivého softwaru k penetraci vaší infrastruktury, doporučuje společnost Kaspersky omezit přístup k dálkově ovládaným nástrojům z externích IP adres.
Dále doporučuje dohlížet na přísné dodržování zabezpečení heslem pro všechny IT systémy a zapojování vícefaktorovou autentizaci. Přístup k vysoce privilegovaným účtům by pak měli mít jen ti, kteří je potřebují pro výkon své práce.
Zdroj: Kaspersky
