Nova analiza cyber napada: Kako cyber kriminalci iskorištavaju Microsoft alate
Nedavna analiza 700,000 sigurnosnih incidenata otkrila je koliko cyber kriminalci široko koriste pouzdane Microsoft alate kako bi neprimjetno probili sustave. Dok trend napadača koji koriste internete alate poznat kao “Living off the Land” (LOTL) nije nova pojava, najnoviji podaci iz Bitdefenderove GravityZone platforme sugeriraju da je ova praksa još raširenija nego što se ranije vjerovalo.
Šokantni podaci o napadima
U nevjerojatnih 84% napada visokog intenziteta korišteni su legitimni sustavni binarni datoteke već prisutni na računalima. Ovaj fenomen ozbiljno undermikira učinkovitost konvencionalnih obrambenih metoda, uključujući i one koje se reklamiraju kao najbolji antivirus ili zaštita od zlonamjernog softvera.
Najčešće zloupotrebljavani alati
Neki od alata koji se najčešće zloupotrebljavaju dobro su poznati administratorima sustava, uključujući:
- powershell.exe
- wscript.exe
Međutim, jedan alat iznenada se našao na vrhu popisa: netsh.exe. Ovaj alat za upravljanje mrežnom konfiguracijom otkriven je u trećini glavnih napada. Iako se još uvijek koristi za upravljanje vatrozidom i sučeljima, njegova česta prisutnost u napadima sugerira da se njegov potencijal za zloupotrebu podcjenjuje.
PowerShell i njegovi izazovi
PowerShell ostaje ključna komponenta kako legitimnih operacija, tako i zlonamjernih aktivnosti. Iako 96% organizacija koristi PowerShell, istraživanje je pokazalo da je bio aktivan na 73% krajnjih točki, daleko iznad očekivane koristi iz administrativnih svrha. Bitdefender je otkrio da su „treće strane koje pokreću PowerShell kod bez vidljivog sučelja“ bili čest uzrok problema. Ova dvosmjerna priroda otežava otkrivanje, posebice za alate koji nemaju podršku motora svjesnog ponašanja.
Neizvjesnost sigurnosnih rješenja
Postavlja se pitanje jesu li najbolja EPP rješenja dovoljno prilagođena kako bi se nosila s nejasnom granicom između normalne i zlonamjerne upotrebe. Još jedan iznenađujući nalaz bio je nastavak korištenja wmic.exe, alata koji je Microsoft proglasio zastarjelim. Unatoč svojoj starosti, analiza pokazuje da je još uvijek široko prisutan u okruženjima, često korišten od strane softvera koji traži sistemske informacije. Ovaj alat je posebno privlačan napadačima koji pokušavaju da se uklape zbog svog legitiman izgleda.
PHASR kao odgovor na prijetnje
Kako bi se nosio s ovim problemom, Bitdefender je razvio PHASR (Proactive Hardening and Attack Surface Reduction). Ovaj alat koristi ciljani pristup koji nadilazi jednostavno onemogućavanje alata. „PHASR ne samo da blokira cijele alate, već također prati i zaustavlja specifične radnje koje napadači koriste unutar njih“, izjavio je predstavnik tvrtke. Ipak, ovaj pristup nije bez svojih nedostataka. Osnovna dilema, „ne možemo živjeti s njima, ne možemo ni bez njih“, ostaje neriješena.
Zaključak
Ova analiza jasno ukazuje na potrebu za poboljšanjem sigurnosnih mjera i prilagodbom strategija u zaštiti od cyber prijetnji. Bitdefenderove spoznaje nude važne smjernice za organizacije kako bi se bolje pripremile i zaštitile od sveprisutnih rizika koji dolaze iz kola alata koje često koriste i napadači.
