Cercetătorii companiei Red Canary au analizat datele a peste 20.000 de amenințări detectate în rețelele clienților în cursul anului 2020 și le-au mapat în funcție de tehnicile și sub-tacticile de atac descrise în baza de cunoștințe ATT&CK a MITRE.
Raportul oferă o imagine de ansamblu cuprinzătoare referitoare la tehnicile utilizate și amenințările identificate, cu îndrumări despre modul în care atacatorii le folosesc și despre modul de identificare a activității.
Reutilizarea TTP-urilor folosite de ani de zile
Specialiștii au concluzionat că atacatorii continuă să se bazeze pe tehnici și tactici folosite de ani de zile iar organizațiile pot beneficia de o protecție avansată monitorizând un număr relativ mic de surse de date și urmărind o serie de evenimente malițioase repetitive.
Cele mai frecvente amenințări cu care organizațiile s-au confruntat anul trecut sunt ceea ce specialiștii numesc “malware comun” iar o mare parte din informațiile necesare pentru detecția acestora pot fi extrase din jurnalele sistemului de operare Windows.
TTP utilizate
Analiza Red Canary arată că atacatorii au abuzat cel mai frecvent de instrumentele Windows PowerShell și Windows Command Shell pentru a executa comenzi, scripturi și aplicații malițioase. Aproape jumătate (48,7%) dintre agresiunile cibernetice identificate au implicat utilizarea PowerShell, iar 38,4% au abuzat de Windows Command Shell. Atacatorii au utilizat funcțiile PowerShell pentru execuția comenzilor, pentru obfuscarea activităților rău intenționate, pentru descărcarea de payload-uri suplimentare și pentru generarea unor procese suplimentare.
A doua tehnică de atac cel mai frecvent detectată a fost execuția sub formă de proxy a unui binar semnat, o metodă de atac ce utilizează fișiere executabile cu grad ridicat de încredere semnate digital, precum Rundll32 și Mshta, pentru a ocoli instrumentele de detectare bazate pe semnături și comportament. De asemenea tehnica este folosită pentru a executa cod VBScript și JScript arbitrar.
A treia tehnică identificată presupune crearea și modificarea proceselor de sistem, cum ar fi serviciile Windows, pentru a obține persistența în cadrul sistemului compromis și drepturi suplimentare / de administrare.
A patra tehnică folosită frecvent abuzează de serviciul “Scheduled Task” în Windows pentru menținerea accesului și execuția unor procese specific administratorilor de sistem.
A cincea tehnică presupune exfiltrarea credențialelor de acces în vederea escaladării privilegiilor, furtul de date și mișcarea laterală.
Pentru organizații, una dintre cele mai mari provocări în detectarea utilizării acestor tehnici este faptul că majoritatea instrumentelor prezentate pot fi utilizate atât în moduri legitime, cât și rău intenționate, importantă fiind cunoașterea foarte bună a activității digitale derulate de entitate încât să poată diferenția activitatea legitimă de cea malițioasă.
Cobalt Strike, Qbot, IcedID, Mimikatz și Emotet
Conform raportului rezultat, multe dintre cele mai frecvent detectate aplicați malware și instrumente cu dublu scop pe care compania le-a observat în anul 2020 au fost instrumente pe care organizațiile le subestimează deoarece fac parte din categoria malware-ului comun / cunoscut. Printre acestea s-au numărat Cobalt Strike, Qbot, IcedID, Mimikatz și Emotet.
În top 10 se regăsește și viermele USB Gamarue care, deși infrastructura de comandă și control a instrumentului malware a fost închis în 2017, apare încă în mod regulat în mediile compromise.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.