Zneužití nástrojů od Microsoftu k útokům vzrostlo od roku 2023 o 51 %
V nejnovější studii bezpečnostní experti Sophosu zjistili, že se kyberzločinci stále častěji ukrývají na viditelných místech v sítích se systémy Windows a využívají důvěryhodných aplikací Microsoftu, jako je protokol vzdálené plochy (RDP). Tato praxe je známá jako zneužívání běžných binárních souborů, označovaných jako Living off the Land Binries (LOLbins). Mezi rokem 2023 a první polovinou roku 2024 vzrostlo zneužívání důvěryhodných aplikací o 51 % – ve srovnání s rokem 2021 dokonce o 83 %. Vzhledem k tomu, že jsou tyto nástroje od Microsoftu důvěryhodné nejen pro operační systémy, ale často ve firmách plní legitimní a kriticky důležité funkce, poskytuje jejich zneužití útočníkům velmi efektivní způsob, jak nenápadně přečkávat v systémech a pomalu shromažďovat další a další data oběti.
„Zneužití běžných nástrojů nejenže útočníkovi umožňuje utajit své aktivity, ale také mu poskytuje tichý souhlas s jeho činností. Zatímco nad zneužitím některých legitimních nástrojů může pár obránců zvednout obočí a snad to i vyvolá nějaká upozornění, zneužití binárního souboru od Microsoft má často opačný účinek. Mnohé z těchto zneužívaných nástrojů Microsoftu jsou nedílnou součástí systému Windows a mají legitimní využití. Záleží ale na správcích systémů, aby chápali, jak se v jejich prostředích používají a co indikuje jejich zneužití. Bez detailního a kontextuálního přehledu o prostředí, včetně neustálé ostražitosti vůči novým a vyvíjejícím se událostem v síti, hrozí, že dnešní přetížené týmy IT přehlédnou podstatné, nebezpečné aktivity, které často vedou k ransomwarovým útokům,“ upozornil John Shier, technický ředitel společnosti Sophos.
Další klíčová zjištění:
- Prvotní příčiny útoků: Hlavní příčinou útoků stále zůstávají kompromitované přihlašovací údaje, a to v 39 % případů. I tak to ale znamená pokles oproti 56 % zaznamenaným v roce 2023.
- Doba setrvání útočníků se v případech MDR zkracuje: U případů týmu IR zůstala doba setrvání útočníka v síti (tedy doba od zahájení útoku do jeho detekce) přibližně osm dní. V případě MDR je ale medián doby trvání všech typů incidentů pouhý jeden den a u ransomwarových útoků pouze tři dny.
- Nejčastěji kompromitované verze Active Directory Serveru se blíží ke konci své životnosti: Útočníci nejčastěji napadali Active Directory Servery ve verzích 2019, 2016 a 2012. Všechny tyto tři verze již od Microsoftu nedostávají hlavní podporu, což je jen poslední krok před tím, než bude jejich životní cyklus ukončen a bez placené podpory od Microsoftu je již nebude možné záplatovat. Navíc u plných 21 % z napadených verzí Active Directory Serveru již byl jejich životní cyklus ukončen.
Kompletní studii najdete zde.