Viimastel aastatel on palju tähelepanu pälvinud andmepüügi ja mandaatide kompromissidega seotud rikkumised, kuna ohus osalejad on kasutanud taktikat nii suunatud kui ka oportunistlike rünnakute sooritamisel. Kuid see ei tähenda, et ettevõtete organisatsioonid saaksid endale lubada haavatavuse parandamisele keskendumist.
Kaspersky sel nädalal avaldatud aruanne tuvastas eelmisel aastal rohkem esialgseid sissetungi, mis tulenesid Interneti-rakenduste haavatavuste ärakasutamisest, kui pahatahtlike meilide ja ohustatud kontodega seotud rikkumistest. kombineeritud. Ja andmed, mille ettevõte on kogunud 2022. aasta teise kvartali jooksul, viitavad sellele, et sama suundumus võib ilmneda ka sel aastal.
Kaspersky analüüs oma 2021. aasta kohta Juhtumitele reageerimise andmed näitasid, et haavatavuse ärakasutamisega seotud rikkumiste arv kasvas 31.5%-lt 2020. aastal 53.6%-le 2021. aastal. Samal perioodil vähenes rünnete arv, mis on seotud rikutud kontode kasutamisega esialgse juurdepääsu saamiseks, 31.6%-lt 2020. aastal 17.9-ni. % eelmisel aastal. Andmepüügimeilidest tingitud esialgsed sissetungid vähenesid samal perioodil 23.7%-lt 14.3%-le.
Exchange Serveri vead õhutavad ärakasutamise hullust
Kaspersky seostas ärakasutamise aktiivsuse kasvu eelmisel aastal tõenäoliselt mitme kriitilise Exchange Serveri haavatavusega, mille Microsoft avalikustas, sealhulgas nelja nullpäevaga 2021. aasta märtsis, mida nimetatakse ProxyLogoni vead (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Aheldatuna võimaldasid need ründajatel omandada täielik kaugjuhtimine kohapealsete Exchange Serverite üle.
Ründajad – kelle hulka kuulusid Hiinast pärit organiseeritud kuritegelikud jõugud ja riiklikult toetatud rühmitused – kasutasid kiiresti ära kümneid tuhandeid haavatavaid Exchange Serveri süsteeme ja viskasid neile veebikestad, enne kui Microsoft jõudis vigade parandamiseks välja anda. Haavatavus tekitas nende üldlevinud ja tõsiduse tõttu märkimisväärset muret. Nad ajendasid isegi USA justiitsministeeriumit volitama FBI-d astuma enneolematut sammu ProxyLogon Web kestade ennetav eemaldamine serveritest, mis kuuluvad sadadele organisatsioonidele – enamasti ilma igasuguse teavitamiseta.
2021. aastal ajendas ärakasutamist ka veel üks Exchange Serveri haavatavuste kolmik ühise märgistusega ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), mida ründajad kasutasid laialdaselt lunavara eemaldamiseks ja ärimeilide kompromiteerimise (BEC) rünnakute jaoks.
Rohkem kui aasta hiljem on ProxyLogoni ja ProxyShelli haavatavused jätkuvalt raske ärakasutamise sihtmärgid, ütleb Kaspersky globaalse hädaolukordadele reageerimise meeskonna juht Konstantin Sapronov. Üks raskemaid neist vigadest (CVE-2021-26855) on olnud ka enim suunatud. Kaspersky täheldas, et haavatavust – osa ProxyLogoni komplektist – kasutati ära 22.7% kõigist haavatavuse ärakasutamisega seotud intsidentidest, millele ta 2021. aastal reageeris, ning viga on Sapronovi sõnul ründajate seas ka sel aastal jätkuvalt lemmik.
Sama ekspluatatsioonitrend ilmneb tõenäoliselt ka 2022. aastal
Ehkki sel aastal on esile kerkinud mitu tõsist haavatavust, sealhulgas üldlevinud Apache Log4j haavatavus (CVE-2021-44228) – 2021. aasta enimkasutatud haavatavused on ka 2022. aastal väga levinud, ütleb Sapronov, isegi peale Exchange'i serveri vigade. Näiteks tuvastas Kaspersky vea Microsofti MSHTML-brauseri mootoris (CVE-2021-40444, paigatud eelmise aasta septembris). tugevalt rünnatud haavatavus 2022. aasta teises kvartalis.
"Haavatavused populaarses tarkvaras, nagu MS Exchange Server ja raamatukogu Log4j, on toonud kaasa tohutu hulga rünnakuid," märgib Sapronov. "Meie nõuanne äriklientidele on pöörata suurt tähelepanu plaastrihalduse probleemidele."
Aeg asetada paikamine prioriteediks
Teised on täheldanud sarnast hüpet haavatavuse ärakasutamise aktiivsuses. Aprillis märkisid Palo Alto Networksi üksuse 42 ohuuuringute meeskonna teadlased, kuidas 31% või peaaegu iga kolmas juhtum, olid nad kuni selle hetkeni 2022. aastal analüüsinud haavatavuse ärakasutamist. Rohkem kui pooltel (55%) neist olid ohunäitlejad võtnud sihikule ProxyShelli.
Palo Alto teadlased leidsid ka ohutegijaid, kes otsivad tavaliselt äsja avalikustatud veaga süsteeme sõna otseses mõttes mõni minut pärast CVE väljakuulutamist. Ühel juhul täheldasid nad F5 võrguseadmes (CVE-2022-1388) autentimise möödaviimise viga, mida esimese 2,552 tunni jooksul pärast haavatavuse avalikustamist sihiti 10 korda.
Ekspluateerimisjärgset tegevust on raske märgata
Kaspersky intsidentide-reageerimisandmete analüüs näitas, et peaaegu 63% juhtudest suutsid ründajad pärast esmase sisenemist võrgus märkamatuks jääda rohkem kui kuu. Paljudel juhtudel oli põhjuseks see, et ründajad kasutasid andmete kogumiseks, õiguste suurendamiseks ja käskude täitmiseks seaduslikke tööriistu ja raamistikke, nagu PowerShell, Mimikatz ja PsExec.
Kui keegi rikkumist kiiresti märkas, oli see tavaliselt tingitud sellest, et ründajad olid tekitanud silmnähtavat kahju, näiteks lunavararünnaku ajal. "Lunavararünnakut on lihtne tuvastada, kui teie andmed on krüptitud, kuna teenused pole saadaval ja teie monitoril on lunarahateade, " ütleb Sapronov.
Kuid kui sihtmärgiks on ettevõtte andmed, vajavad ründajad vajaliku teabe kogumiseks rohkem aega ohvri võrgus ringi liikumiseks. Sellistel juhtudel tegutsevad ründajad vargsi ja ettevaatlikumalt, mistõttu on seda tüüpi rünnakuid raskem tuvastada. "Selliste juhtumite tuvastamiseks soovitame kasutada laiendatud tuvastamise ja reageerimise (EDR)-laadse telemeetriaga turbetööriistade pinu ja rakendada eeskirju vastaste kasutatavate levinud tööriistade tuvastamiseks, " ütleb ta.
Vulcan Cyberi vanemtehniline insener Mike Parkin ütleb, et ettevõtete organisatsioonide jaoks on tõeliseks eeliseks see, et ründajad kasutavad võrku rikkumiseks mis tahes võimalust.
"Mitmesugust turvaauku, mida saab kasutada, pole tõusu nägemine üllatus," ütleb ta. Ta märgib, et on raske öelda, kas sotsiaalselt kavandatud mandaadirünnakute haavatavuste arv on suurem.
"Kuid lõpptulemus on see, et ohus osalejad kasutavad ära toimivaid võtteid. Kui mõnes Windowsi teenuses on uus kaugkoodi kasutamine, tormavad nad selle poole ja rikuvad nii palju süsteeme kui võimalik, enne kui paigad välja tulevad või tulemüürireeglid kasutusele võetakse, ”ütleb ta.
Tõeline väljakutse on pika sabaga haavatavused: need, mis on vanemad, nagu ProxyLogon, haavatavate süsteemidega, mida on vahele jäetud või mida eiratakse, ütleb Parkin ja lisab, et paikamine peab olema prioriteet.
