Aproape o treime (30%) dintre atacurile cercetate de către Kaspersky Global Emergency Reponse team în 2019 au folosit instrumente legitime de gestionare și administrare de la distanță. Astfel, atacatorii au putut rămâne nedetectați o perioadă mai lungă de timp. De exemplu, atacurile continue de spionaj cibernetic și furtul de date confidențiale au avut o durată medie de 122 de zile. Aceste constatări fac parte din noul raport Kaspersky, Incident Response Analytics Report.
Software-ul de monitorizare și management ajută administratorii IT și de rețea să-și îndeplinească sarcinile de zi cu zi, cum ar fi depanarea și oferirea de asistență tehnică angajaților. Cu toate acestea, atacatorii cibernetici pot folosi aceste instrumente legitime și în timpul atacurilor cibernetice asupra infrastructurii unei companii. Acest software le permite să ruleze procese pe endpoint-uri, să acceseze și să extragă informații importante, ocolind diverse controale de securitate menite să detecteze malware-ul.
În total, analiza datelor anonime provenite din cazurile de răspuns la incident (IR), a arătat că 17 instrumente legitime diferite au fost abuzate de către atacatori cu intenții rele. Cel mai des folosit a fost PowerShell (25% din cazuri). Acest instrument puternic de administrare poate fi utilizat în mai multe scopuri, de la colectarea informațiilor, până la rularea programelor malware. PsExec a fost utilizat în 22% dintre atacuri. Această aplicație de console este concepută pentru lansarea proceselor pe endpoint-uri finale, de la distanță. Aceasta a fost urmată de SoftPerfect Network Scanner (14%), care are scopul de a prelua informații despre mediile de rețea.
Este ceva mai dificil ca soluțiile de securitate să detecteze atacuri efectuate cu instrumente legitime, întrucât aceste acțiuni pot fi atât parte a unei activități informatice planificate, cât și o sarcină obișnuită a unui administrator de sistem. De exemplu, în segmentul atacurilor care au durat mai mult de o lună, incidentele cibernetice au avut o durată medie de 122 de zile. Întrucât au fost nedetectate, infractorii cibernetici au putut colecta în continuare datele sensibile ale victimelor.
Cu toate acestea, experții Kaspersky sunt de părere că, uneori, acțiunile rău intenționate care folosesc software-ul legitim, ies la iveală destul de rapid. De exemplu, acestea sunt adesea folosite într-un atac ransomware, iar pagubele pot fi observate clar. Durata medie a unui atac, în ceea ce privește atacurile scurte, a fost de o zi.
“Pentru a evita detectarea și pentru a rămâne invizibili într-o rețea compromisă, atacatorii utilizează pe scară largă un software care este conceput pentru activități normale ale utilizatorilor, sarcini de administrare sau diagnostic de sistem. Cu ajutorul acestor instrumente, atacatorii pot aduna informații despre rețelele corporative și apoi să efectueze mișcări laterale, să schimbe setările software-ului și hardware-ului, sau chiar să atace. De exemplu, pot utiliza un software legitim ca să cripteze datele clienților. Acest software legitim poate ajuta totodată atacatorii să rămână sub radarul cercetătorilor în securitate, întrucât aceștia detectează adesea atacul abia după ce s-a petrecut. Totuși, nu putem să ne dispensăm de aceste instrumente, iar sistemele de înregistrare și monitorizare implementate în mod corespunzător ajută la detectarea unei activități suspecte în rețea și a unor atacuri complexe încă din stadii incipiente”, spune Sapronov, Head of Global Emergency Response Team la Kaspersky.
Pentru a detecta și reacționa în fața acestor atacuri în timp util, companiile ar trebui să aibă în vedere, printre alte măsuri, punerea în aplicare a unor soluții de Detecție și Răspuns la endpoint-uri, cu un serviciu MDR. MITRE ATT&CK® Round 2 Evaluation — care evaluează diverse soluții, inclusiv Kaspersky EDR și Kaspersky Managed Protection – poate ajuta clienții să aleagă produsele EDR care se potrivesc cel mai bine cu nevoile specifice ale companiei lor. Rezultatele evaluării ATT și CK demonstrează importanța unei soluții cuprinzătoare, care combină un produs de securitate cu mai multe nivele, complet automatizat, cu un serviciu manual de detectare a amenințărilor.
Pentru a minimiza șansele ca software-ul de gestionare de la distanță să fie utilizat pentru a pătrunde într-o infrastructură, Kaspersky recomandă:
• Limitați accesul la instrumentele de gestionare de la distanță, de pe adrese IP externe. Asigurați-vă că interfețele de control de la distanță pot fi accesate numai dintr-un număr limitat de endpoint-uri;
• Aplicați o politică strictă de parole pentru toate sistemele IT și implementați autentificarea cu mai mulți factori;
• Urmați principiul oferirii personalului de privilegii limitate și acordați conturi privilegiate numai celor care au nevoie de acest lucru pentru a-și îndeplini sarcinile la locul de muncă.
Pentru a afla mai multe despre Kaspersky EDR, vizitați site-ul oficial Kaspersky. Raportul complet pentru Analiza la Răspuns este disponibil aici.