Společnost Sophos zveřejnila studii Active Adversary Report za první pololetí roku 2024, v rámci níž zkoumala případy reakcí na incidenty řešené týmy Incident Response (IR) a Managed Detection and Response (MDR) s cílem pochopit měnící se chování a techniky útočníků.
Bezpečnostní odborníci společnosti odhalili, že kyberzločinci se stále častěji ukrývají na viditelných místech v sítích se systémy Windows a využívají důvěryhodných aplikací Microsoftu, jako je protokol vzdálené plochy (RDP).
Nové články do mailu
Chcete mít každý týden přehled o informacích pro resellery, dodavatele služeb a profesionály v prodejním kanále IT a CE? Objednejte si náš mailový servis. Objednat si lze i newsletter To hlavní, páteční souhrn nejdůležitějších článků ze serverů vydavatelství Internet Info.
Tato praxe je známá jako zneužívání běžných binárních souborů, označovaných jako Living off the Land Binries (LOLbins). Mezi rokem 2023 a první polovinou roku 2024 vzrostlo zneužívání důvěryhodných aplikací o 51 % – ve srovnání s rokem 2021 dokonce o 83 %.
Hlídejte, co se děje v síti
Sophos upozorňuje, že vzhledem k tomu, že jsou tyto nástroje od Microsoftu důvěryhodné nejen pro operační systémy, ale často ve firmách plní legitimní a kriticky důležité funkce, poskytuje jejich zneužití útočníkům velmi efektivní způsob, jak nenápadně přečkávat v systémech a pomalu shromažďovat další a další data oběti.
„Zneužití běžných nástrojů nejenže útočníkovi umožňuje utajit své aktivity, ale také mu poskytuje tichý souhlas s jeho činností. Zatímco nad zneužitím některých legitimních nástrojů může pár obránců zvednout obočí a snad to i vyvolá nějaká upozornění, zneužití binárního souboru od Microsoft má často opačný účinek,“ upozorňuje John Shier, technický ředitel společnosti Sophos.
Mnohé z těchto zneužívaných nástrojů Microsoftu jsou podle něj nedílnou součástí systému Windows a mají legitimní využití. Záleží ale na správcích systémů, aby chápali, jak se v jejich prostředích používají a co indikuje jejich zneužití.
„Bez detailního a kontextuálního přehledu o prostředí, včetně neustálé ostražitosti vůči novým a vyvíjejícím se událostem v síti, hrozí, že dnešní přetížené týmy IT přehlédnou podstatné, nebezpečné aktivity, které často vedou k ransomwarovým útokům,“ doplňuje John Shier.
Chraňte si údaje
Studie Sophosu dále zjistila, že hlavní příčinou útoků stále zůstávají kompromitované přihlašovací údaje, a to v 39 % případů. I tak to ale znamená pokles oproti 56 % zaznamenaným v roce 2023.
U případů týmu IR zůstala doba setrvání útočníka v síti (tedy doba od zahájení útoku do jeho detekce) přibližně osm dní. V případě MDR je ale medián doby trvání všech typů incidentů pouhý jeden den a u ransomwarových útoků pouze tři dny.
Útočníci nejčastěji napadali Active Directory Servery ve verzích 2019, 2016 a 2012. Všechny tyto tři verze již od Microsoftu nedostávají hlavní podporu, což je jen poslední krok před tím, než bude jejich životní cyklus ukončen a bez placené podpory od Microsoftu je již nebude možné záplatovat. Navíc u plných 21 % z napadených verzí Active Directory Serveru již byl jejich životní cyklus ukončen.
Zdroj: Sophos
