Angribere bliver hurtigere. Ny forskning afslører, at de har barberet et par minutter mere af den tid, de har brug for at gå fra at få første adgang til et system, til deres forsøg på at angribe andre enheder på det samme netværk.
CrowdStrike finder den gennemsnitlige indtrængen, der kræves 79 minutter efter indledende kompromittering, før et angreb på andre systemer på et netværk lanceres. Det er et fald fra 84 minutter i 2022. CrowdStrike's 2023 Trusselsjagtrapport, offentliggjort tirsdag, afslører også, at den hurtigste tid var syv minutter mellem den første adgang og forsøg på at forlænge kompromiset, baseret på mere end 85,000 hændelser behandlet i 2022.
En angribers hovedmål er at flytte til andre systemer og etablere en tilstedeværelse i netværket, så selv hvis hændelsespersonel sætter det originale system i karantæne, kan angriberen stadig komme tilbage, siger Param Singh, vicepræsident for CrowdStrikes OverWatch-sikkerhedstjeneste. Derudover ønsker angribere at få adgang til andre systemer via legitime brugeroplysninger, siger han.
"Hvis de bliver domænecontrolleren, er spillet slut, og de har adgang til alt," siger Singh. "Men hvis de ikke kan blive domæneadministratorer, så vil de gå efter nøglepersoner, der har bedre adgang til [værdifulde] aktiver ... og forsøge at eskalere deres privilegier til disse brugere."
Udbrudstiden er et mål for en angribers smidighed, når de kompromitterer virksomhedens netværk. En anden foranstaltning, forsvarere bruger, er den tid, det tager mellem det første kompromittering og opdagelsen af angriberen, kendt som dvæletid, som nåede et lavpunkt på 16 dage i 2022, ifølge hændelsesberedskabsfirmaet Mandiant's årlige M-Trends-rapport. Tilsammen tyder de to målinger på, at de fleste angribere hurtigt udnytter et kompromis og har carte blanche i mere end to uger, før de bliver opdaget.
Interaktive indtrængen er nu normen
Angribere har fortsat deres skift til interaktive indtrængen, som voksede med 40 % i andet kvartal af 2023, sammenlignet med samme kvartal for et år siden, og står for mere end halvdelen af alle hændelser, ifølge CrowdStrike.
Størstedelen af interaktive indtrængen (62 %) involverede misbrug af legitime identiteter og kontooplysninger. Indsamlingen af identitetsoplysninger tog også fart, med 160 % stigning i bestræbelserne på at "indsamle hemmelige nøgler og andet legitimationsmateriale", mens indsamlingen af Kerberos-oplysninger fra Windows-systemer til senere cracking, en teknik kendt som Kerberoasting, voksede med næsten 600 %. CrowdStrike Threat Hunting-rapport erklæret.
Angribere scanner også lagre, hvor virksomheder ved et uheld offentliggør identitetsmateriale. I november 2022 skubbede en organisation ved et uheld sin root-kontos adgangsnøgleoplysninger til GitHub, hvilket fremkaldte et hurtigt svar fra angribere, sagde CrowdStrike.
"Inden for få sekunder forsøgte automatiserede scannere og flere trusselsaktører at bruge de kompromitterede legitimationsoplysninger," hedder det i rapporten. "Hastigheden, hvormed dette misbrug blev indledt, tyder på, at flere trusselsaktører - i bestræbelserne på at målrette mod skymiljøer - opretholder automatiseret værktøj til at overvåge tjenester såsom GitHub for lækkede cloud-legitimationsoplysninger."
Når angribere først er på et system, bruger de maskinens egne hjælpeprogrammer - eller downloader legitime værktøjer - for at undgå varsel. Såkaldte "lever af landet”-teknikker forhindrer opdagelse af mere åbenlys malware. Ikke overraskende har modstandere tredoblet deres brug af legitime fjernstyrings- og overvågningsværktøjer (RMM), såsom AnyDesk, ConnectWise og TeamViewer, ifølge CrowdStrike.
Angribere fortsætter med at fokusere på skyen
Efterhånden som virksomheder har taget cloud i brug for meget af deres operationelle infrastruktur - især efter starten på coronavirus-pandemien - er angribere fulgt efter. CrowdStrike observerede flere "sky-bevidste" angreb, hvor skyudnyttelsen næsten blev fordoblet (op 95%) i 2022.
Ofte fokuserer angrebene på Linux, fordi den mest almindelige arbejdsbyrde i skyen er Linux-containere eller virtuelle maskiner. Privilegie-eskaleringsværktøjet LinPEAS blev brugt i tre gange flere indtrængen end det næstmest almindeligt misbrugte værktøj, sagde CrowdStrike.
Tendensen vil kun accelerere, siger CrowdStrikes Singh.
"Vi ser, som trusselsaktører, der bliver mere skybevidste - de forstår skymiljøet, og de forstår de fejlkonfigurationer, der typisk ses i skyen," siger han. "Men den anden ting, vi ser, er ... trusselsaktøren kommer ind i en maskine på den lokale side og bruger derefter legitimationsoplysningerne og alt til at flytte til skyen ... og forårsage en masse skade."
Separat annoncerede CrowdStrike, at de planlægger at kombinere sine trusselsintelligens- og trusselsjagthold i en enkelt enhed, Counter Adversary Operations-gruppen, sagde virksomheden i en pressemeddelelse i august 8.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :er
- :hvor
- $OP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95 %
- a
- misbrug
- fremskynde
- adgang
- Ifølge
- Konto
- aktører
- Desuden
- admin
- vedtaget
- Fordel
- Efter
- igen
- siden
- Alle
- også
- an
- ,
- annoncerede
- En anden
- ER
- AS
- Aktiver
- angribe
- Angreb
- forsøgt
- Forsøg på
- AUGUST
- Automatiseret
- Automation
- gennemsnit
- opmærksom på
- tilbage
- baseret
- fordi
- bliver
- blive
- før
- være
- Bedre
- mellem
- breakout
- men
- by
- CAN
- kan ikke
- Årsag
- Cloud
- indsamler
- samling
- kombinerer
- Kom
- Fælles
- almindeligt
- Virksomheder
- selskab
- sammenlignet
- kompromis
- Kompromitteret
- at gå på kompromis
- Beholdere
- fortsæt
- fortsatte
- controller
- coronavirus
- Coronavirus-pandemi
- Corporate
- Counter
- KREDENTIAL
- Legitimationsoplysninger
- Dage
- Defenders
- opdaget
- Detektion
- Enheder
- domæne
- fordobling
- ned
- downloade
- indsats
- enhed
- Miljø
- miljøer
- eskalere
- optrapning
- undslippe
- især
- etablere
- Endog
- at alt
- udnyttelse
- udvide
- hurtigste
- få
- fund
- Firm
- Fokus
- efterfulgt
- efter
- Til
- fra
- Gevinst
- vinder
- spil
- få
- GitHub
- Go
- mål
- gruppe
- Halvdelen
- høst
- Have
- he
- Hit
- HTML
- HTTPS
- Jagt
- identiteter
- Identity
- if
- in
- hændelse
- hændelsesrespons
- Forøg
- enkeltpersoner
- oplysninger
- Infrastruktur
- initial
- indledt
- interaktiv
- ind
- involverede
- IT
- ITS
- jpg
- Nøgle
- nøgler
- kendt
- senere
- lancering
- legitim
- ligesom
- linux
- Lot
- Lav
- maskine
- Maskiner
- Main
- vedligeholde
- Flertal
- malware
- ledelse
- materiale
- måle
- Metrics
- minutter
- Overvåg
- overvågning
- mere
- mest
- bevæge sig
- meget
- flere
- næsten
- Behov
- netværk
- net
- Ny
- næste
- Varsel..
- november
- nu
- Obvious
- of
- off
- on
- ONE
- kun
- operationelle
- Produktion
- or
- organisation
- original
- Andet
- i løbet af
- Overwatch
- egen
- pandemi
- planer
- plato
- Platon Data Intelligence
- PlatoData
- tilstedeværelse
- præsident
- trykke
- forhindre
- privilegium
- privilegier
- Behandlet
- offentliggøre
- offentliggjort
- skubbet
- karantæne
- Kvarter
- Hurtig
- hurtigere
- hurtigt
- fjern
- indberette
- påkrævet
- forskning
- svar
- afslører
- rod
- s
- Said
- samme
- siger
- scanning
- Anden
- andet kvartal
- sekunder
- Secret
- sikkerhed
- se
- set
- tjeneste
- Tjenester
- syv
- skifte
- side
- enkelt
- So
- hastighed
- starte
- erklærede
- Stadig
- sådan
- tyder
- foreslår
- systemet
- Systemer
- Tag
- tager
- mål
- hold
- teknikker
- end
- at
- deres
- derefter
- de
- ting
- denne
- dem
- trussel
- trusselsaktører
- tre
- tid
- gange
- til
- sammen
- tog
- værktøj
- værktøjer
- overgang
- Trend
- prøv
- Tirsdag
- to
- typisk
- forstå
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- forsyningsselskaber
- Værdifuld
- via
- vice
- Vice President
- Virtual
- ønsker
- var
- we
- uger
- hvornår
- som
- mens
- WHO
- vilje
- vinduer
- med
- inden for
- Yahoo
- år
- zephyrnet