Zneužití nástrojů od Microsoftu k útokům vzrostlo od roku 2023 o 51 %

19. 12. 2024. (redaktor: František Doupal, zdroj: Sophos)
Společnost Sophos zveřejnila studii Active Adversary Report za první pololetí roku 2024. Analýzy zkoumá případy reakcí na incidenty řešené týmy Incident Response (IR) a Managed Detection and Response (MDR) s cílem pochopit měnící se chování a techniky útočníků.

V nejnovější studii bezpečnostní experti Sophosu zjistili, že se kyberzločinci stále častěji ukrývají na viditelných místech v sítích se systémy Windows a využívají důvěryhodných aplikací Microsoftu, jako je protokol vzdálené plochy (RDP). Tato praxe je známá jako zneužívání běžných binárních souborů, označovaných jako Living off the Land Binries (LOLbins). Mezi rokem 2023 a první polovinou roku 2024 vzrostlo zneužívání důvěryhodných aplikací o 51 % – ve srovnání s rokem 2021 dokonce o 83 %. Vzhledem k tomu, že jsou tyto nástroje od Microsoftu důvěryhodné nejen pro operační systémy, ale často ve firmách plní legitimní a kriticky důležité funkce, poskytuje jejich zneužití útočníkům velmi efektivní způsob, jak nenápadně přečkávat v systémech a pomalu shromažďovat další a další data oběti.

„Zneužití běžných nástrojů nejenže útočníkovi umožňuje utajit své aktivity, ale také mu poskytuje tichý souhlas s jeho činností. Zatímco nad zneužitím některých legitimních nástrojů může pár obránců zvednout obočí a snad to i vyvolá nějaká upozornění, zneužití binárního souboru od Microsoft má často opačný účinek. Mnohé z těchto zneužívaných nástrojů Microsoftu jsou nedílnou součástí systému Windows a mají legitimní využití. Záleží ale na správcích systémů, aby chápali, jak se v jejich prostředích používají a co indikuje jejich zneužití. Bez detailního a kontextuálního přehledu o prostředí, včetně neustálé ostražitosti vůči novým a vyvíjejícím se událostem v síti, hrozí, že dnešní přetížené týmy IT přehlédnou podstatné, nebezpečné aktivity, které často vedou k ransomwarovým útokům,“ upozornil John Shier, technický ředitel společnosti Sophos.

Další klíčová zjištění:

  • Prvotní příčiny útoků: Hlavní příčinou útoků stále zůstávají kompromitované přihlašovací údaje, a to v 39 % případů. I tak to ale znamená pokles oproti 56 % zaznamenaným v roce 2023.
  • Doba setrvání útočníků se v případech MDR zkracuje: U případů týmu IR zůstala doba setrvání útočníka v síti (tedy doba od zahájení útoku do jeho detekce) přibližně osm dní. V případě MDR je ale medián doby trvání všech typů incidentů pouhý jeden den a u ransomwarových útoků pouze tři dny.
  • Nejčastěji kompromitované verze Active Directory Serveru se blíží ke konci své životnosti: Útočníci nejčastěji napadali Active Directory Servery ve verzích 2019, 2016 a 2012. Všechny tyto tři verze již od Microsoftu nedostávají hlavní podporu, což je jen poslední krok před tím, než bude jejich životní cyklus ukončen a bez placené podpory od Microsoftu je již nebude možné záplatovat. Navíc u plných 21 % z napadených verzí Active Directory Serveru již byl jejich životní cyklus ukončen.

Kompletní studii najdete zde.

Štítky: 
Bezpečnost, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více