Angreifer werden immer schneller. Neue Untersuchungen zeigen, dass sie die Zeit, die sie benötigen, um vom ersten Zugriff auf ein System zum Angriffsversuch auf andere Geräte im selben Netzwerk überzugehen, noch um einige Minuten verkürzen konnten.
CrowdStrike ermittelt den durchschnittlichen Einbruch, der 79 Minuten nach der ersten Kompromittierung erforderlich ist, bevor ein Angriff auf andere Systeme in einem Netzwerk gestartet wird. Das ist ein Rückgang gegenüber 84 Minuten im Jahr 2022. CrowdStrike's Threat-Hunting-Bericht 2023Das am Dienstag veröffentlichte Dokument zeigt auch, dass die schnellste Zeit zwischen dem ersten Zugriff und den Versuchen, die Kompromittierung zu verlängern, sieben Minuten betrug, basierend auf mehr als 85,000 verarbeiteten Vorfällen im Jahr 2022.
Das Hauptziel eines Angreifers besteht darin, auf andere Systeme auszuweichen und eine Präsenz im Netzwerk aufzubauen, sodass der Angreifer auch dann zurückkehren kann, wenn die Einsatzkräfte das ursprüngliche System unter Quarantäne stellen, sagt Param Singh, Vizepräsident des OverWatch-Sicherheitsdienstes von CrowdStrike. Darüber hinaus wollten sich Angreifer über legitime Benutzeranmeldeinformationen Zugang zu anderen Systemen verschaffen, sagt er.
„Wenn sie zum Domänencontroller werden, ist das Spiel vorbei und sie haben Zugriff auf alles“, sagt Singh. „Aber wenn sie nicht Domänenadministratoren werden können, werden sie Schlüsselpersonen verfolgen, die besseren Zugang zu [wertvollen] Vermögenswerten haben … und versuchen, ihre Privilegien auf diese Benutzer auszudehnen.“
Die Breakout-Zeit ist ein Maß für die Agilität eines Angreifers bei der Kompromittierung von Unternehmensnetzwerken. Eine weitere Messgröße, die Verteidiger verwenden, ist die Zeit, die zwischen der ersten Kompromittierung und der Erkennung des Angreifers vergeht, die sogenannte Verweilzeit, die nach Angaben des Incident-Response-Unternehmens Mandiant im Jahr 16 einen Tiefststand von 2022 Tagen erreichte jährlicher M-Trends-Bericht. Zusammengenommen deuten die beiden Kennzahlen darauf hin, dass die meisten Angreifer eine Kompromittierung schnell ausnutzen und mehr als zwei Wochen lang freie Hand haben, bevor sie entdeckt werden.
Interaktive Eingriffe sind mittlerweile die Norm
Laut CrowdStrike setzen Angreifer weiterhin auf interaktive Angriffe, die im zweiten Quartal 40 im Vergleich zum Vorjahresquartal um 2023 % zunahmen und mehr als die Hälfte aller Vorfälle ausmachen.
Bei den meisten interaktiven Eingriffen (62 %) handelte es sich um den Missbrauch legitimer Identitäten und Kontoinformationen. Auch das Sammeln von Identitätsinformationen nahm Fahrt auf, wobei die Bemühungen zum „Sammeln von geheimen Schlüsseln und anderen Anmeldeinformationen“ um 160 % zunahmen, während das Sammeln von Kerberos-Informationen von Windows-Systemen zum späteren Knacken, eine als Kerberoasting bekannte Technik, um fast 600 % zunahm CrowdStrike Threat Hunting-Bericht angegeben.
Angreifer scannen auch Repositories, in denen Unternehmen versehentlich Identitätsmaterial veröffentlichen. Im November 2022 schob eine Organisation versehentlich die Zugangsschlüssel-Anmeldeinformationen ihres Root-Kontos an GitHub weiter, was eine schnelle Reaktion der Angreifer auslöste, so CrowdStrike.
„Innerhalb von Sekunden versuchten automatisierte Scanner und mehrere Bedrohungsakteure, die kompromittierten Anmeldeinformationen zu nutzen“, heißt es in dem Bericht. „Die Geschwindigkeit, mit der dieser Missbrauch eingeleitet wurde, lässt darauf schließen, dass mehrere Bedrohungsakteure – um Cloud-Umgebungen ins Visier zu nehmen – automatisierte Tools verwenden, um Dienste wie GitHub auf durchgesickerte Cloud-Anmeldeinformationen zu überwachen.“
Sobald Angreifer ein System betreten, nutzen sie die eigenen Dienstprogramme der Maschine – oder laden legitime Tools herunter –, um unbemerkt zu bleiben. Sogenannt "vom Land leben”-Techniken verhindern die Erkennung offensichtlicherer Malware. Es überrascht nicht, dass Angreifer laut CrowdStrike den Einsatz legitimer Remote-Management- und -Überwachungstools (RMM) wie AnyDesk, ConnectWise und TeamViewer verdreifacht haben.
Angreifer konzentrieren sich weiterhin auf die Cloud
Als Unternehmen – insbesondere nach Beginn der Coronavirus-Pandemie – für einen Großteil ihrer betrieblichen Infrastruktur auf die Cloud umgestiegen sind, folgten ihnen Angreifer. CrowdStrike beobachtete mehr „Cloud-bewusste“ Angriffe, wobei sich die Cloud-Ausnutzung im Jahr 95 fast verdoppelte (plus 2022 %).
Häufig konzentrieren sich die Angriffe auf Linux, da die häufigste Arbeitslast in der Cloud Linux-Container oder virtuelle Maschinen sind. Laut CrowdStrike wurde das Privilege-Eskalationstool LinPEAS bei dreimal mehr Einbrüchen eingesetzt als das am zweithäufigsten missbrauchte Tool.
Der Trend wird sich nur beschleunigen, sagt Singh von CrowdStrike.
„Wir sehen, dass Bedrohungsakteure sich der Cloud immer bewusster werden – sie verstehen die Cloud-Umgebung und sie verstehen die Fehlkonfigurationen, die typischerweise in der Cloud auftreten“, sagt er. „Aber das andere, was wir sehen, ist … der Bedrohungsakteur, der in eine Maschine auf der On-Prem-Seite eindringt und dann die Anmeldeinformationen und alles andere nutzt, um in die Cloud zu gelangen … und großen Schaden anzurichten.“
Unabhängig davon kündigte CrowdStrike an, dass es plant, seine Threat-Intelligence- und Threat-Hunting-Teams in einer einzigen Einheit, der Counter Adversary Operations Group, zusammenzuführen, teilte das Unternehmen mit eine Pressemitteilung am August 8.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :Ist
- :Wo
- $UP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- Missbrauch
- beschleunigen
- Zugang
- Nach
- Konto
- Akteure
- Zusatz
- Administrator
- angenommen
- Vorteil
- Nach der
- aufs Neue
- vor
- Alle
- ebenfalls
- an
- und
- angekündigt
- Ein anderer
- SIND
- AS
- Details
- Attacke
- Anschläge
- Versuche
- Versuche
- AUGUST
- Automatisiert
- Automation
- durchschnittlich
- bewusst
- Zurück
- basierend
- weil
- werden
- Werden
- Bevor
- Sein
- Besser
- zwischen
- Ausbruch
- aber
- by
- CAN
- kann keine
- Verursachen
- Cloud
- sammeln
- Sammlung
- kombinieren
- wie die
- gemeinsam
- häufig
- Unternehmen
- Unternehmen
- verglichen
- Kompromiss
- Kompromittiert
- kompromittierend
- Behälter
- fortsetzen
- weiter
- Controller
- Coronavirus
- Coronavirus-Pandemie
- Unternehmen
- Counter
- KREDENTIAL
- Referenzen
- Tage
- Defenders
- erkannt
- Entdeckung
- Geräte
- Domain
- Verdoppelung
- nach unten
- herunterladen
- Bemühungen
- Einheit
- Arbeitsumfeld
- Umgebungen
- eskalieren
- Eskalation
- Flucht
- insbesondere
- etablieren
- Sogar
- alles
- Ausbeutung
- erweitern
- schnellsten
- wenige
- findet
- Fest
- Setzen Sie mit Achtsamkeit
- gefolgt
- Folgende
- Aussichten für
- für
- Gewinnen
- gewinnen
- Spiel
- bekommen
- GitHub
- Go
- Kundenziele
- Gruppe an
- Hälfte
- Ernte
- Haben
- he
- Hit
- HTML
- HTTPS
- Jagd
- Identitäten
- Identitätsschutz
- if
- in
- Zwischenfall
- Vorfallreaktion
- Erhöhung
- Einzelpersonen
- Information
- Infrastruktur
- Anfangs-
- initiiert
- interaktive
- in
- beteiligt
- IT
- SEINE
- jpg
- Wesentliche
- Tasten
- bekannt
- später
- Start
- legitim
- Gefällt mir
- linux
- Los
- Sneaker
- Maschine
- Maschinen
- Main
- halten
- Mehrheit
- Malware
- Management
- Ihres Materials
- messen
- Metrik
- Minuten
- Überwachen
- Überwachung
- mehr
- vor allem warme
- schlauer bewegen
- viel
- mehrere
- fast
- Need
- Netzwerk
- Netzwerke
- Neu
- weiter
- Notiz..
- November
- jetzt an
- offensichtlich
- of
- WOW!
- on
- EINEM
- einzige
- Betriebs-
- Einkauf & Prozesse
- or
- Organisation
- Original
- Andere
- übrig
- Wacht
- besitzen
- Pandemie
- Pläne
- Plato
- Datenintelligenz von Plato
- PlatoData
- Präsenz
- Präsident
- Presse
- verhindern
- Privileg
- Privilegien
- Verarbeitet
- veröffentlichen
- veröffentlicht
- geschoben
- Quarantäne
- Quartal
- Direkt
- schneller
- schnell
- entfernt
- berichten
- falls angefordert
- Forschungsprojekte
- Antwort
- Enthüllt
- Wurzel
- s
- Said
- gleich
- sagt
- Scannen
- Zweite
- zweites Viertel
- Sekunden
- Die Geheime
- Sicherheitdienst
- Sehen
- gesehen
- Lösungen
- sieben
- verschieben
- Seite
- Single
- So
- Geschwindigkeit
- Anfang
- angegeben
- Immer noch
- so
- vorschlagen
- Schlägt vor
- System
- Systeme und Techniken
- Nehmen
- nimmt
- Target
- Teams
- Techniken
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- vom Nutzer definierten
- Ding
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- Bedrohungsakteure
- nach drei
- Zeit
- mal
- zu
- gemeinsam
- nahm
- Werkzeug
- Werkzeuge
- Übergang
- Trend
- versuchen
- Dienstag
- XNUMX
- typisch
- verstehen
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Dienstprogramme
- wertvoll
- Schraubstock
- Vizepräsident:in
- Assistent
- wollen
- wurde
- we
- Wochen
- wann
- welche
- während
- WHO
- werden wir
- Fenster
- mit
- .
- Yahoo
- Jahr
- Zephyrnet