اکسپلویت های آسیب پذیری، نه فیشینگ، بردار حمله سایبری برتر برای سازش اولیه اطلاعات پلاتوبلاک چین هستند. جستجوی عمودی Ai.

اکسپلویت‌های آسیب‌پذیری، نه فیشینگ، بردار حمله سایبری برتر برای سازش اولیه هستند

تمبر زمانی: 8 سپتامبر 2022، 11:20 صبح

Breaches involving phishing and credential compromise have received a lot of attention in recent years because of how frequently threat actors have employed the tactics in executing both targeted and opportunistic attacks. But that doesn’t mean that enterprise organizations can afford to lessen their focus on vulnerability patching one bit.

گزارشی از کسپرسکی در این هفته نشان داد که نفوذهای اولیه بیشتری در سال گذشته ناشی از سوء استفاده از آسیب‌پذیری‌ها در برنامه‌های کاربردی اینترنت است تا نفوذهای مربوط به ایمیل‌های مخرب و حساب‌های در معرض خطر. ترکیب شده. و داده هایی که این شرکت در سه ماهه دوم سال 2022 جمع آوری کرده است نشان می دهد که همین روند ممکن است در سال جاری نیز ادامه داشته باشد.

Kaspersky’s analysis of its 2021 داده‌های مربوط به واکنش نشان داد که نقض‌های مربوط به سوءاستفاده‌های آسیب‌پذیری از 31.5 درصد کل حوادث در سال 2020 به 53.6 درصد در سال 2021 افزایش یافته است. در مدت مشابه، حملات مرتبط با استفاده از حساب‌های در معرض خطر برای دسترسی اولیه از 31.6 درصد در سال 2020 به 17.9 درصد کاهش یافته است. ٪ در سال گذشته. نفوذهای اولیه ناشی از ایمیل های فیشینگ از 23.7 درصد به 14.3 درصد در مدت مشابه کاهش یافته است.

نقص‌های سرور Exchange به دیوانگی Exploit دامن می‌زند

کسپرسکی افزایش فعالیت اکسپلویت در سال گذشته را به احتمال زیاد به چندین آسیب‌پذیری مهم Exchange Server که مایکروسافت فاش کرد، از جمله مجموعه‌ای از چهار روز صفر در مارس 2021 که به عنوان نقص های ProxyLogon (CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، CVE-2021-27065). هنگامی که به هم زنجیر می شوند، به مهاجمان اجازه می دهند تا کنترل کامل از راه دور بر روی سرورهای Exchange در محل به دست آورند. 

مهاجمان - که شامل باندهای تبهکار سازمان‌یافته و گروه‌های حمایت‌شده دولتی از چین می‌شدند - به سرعت از ده‌ها هزار سیستم آسیب‌پذیر Exchange Server سوء استفاده کردند و قبل از اینکه مایکروسافت وصله‌ای برای نقص‌ها صادر کند، پوسته‌های وب را روی آن‌ها انداختند. این آسیب‌پذیری‌ها به دلیل فراگیر بودن و شدت آن، نگرانی‌های زیادی را برانگیخت. آنها حتی وزارت دادگستری ایالات متحده را ترغیب کردند که به FBI اجازه دهد تا این اقدام بی سابقه را انجام دهد حذف فعالانه پوسته های وب ProxyLogon از سرورهای متعلق به صدها سازمان - در بیشتر موارد، بدون هیچ اطلاع رسانی.

همچنین در سال 2021، سه آسیب‌پذیری دیگر Exchange Server باعث فعالیت اکسپلویت شد در مجموع با برچسب ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) که مهاجمان به طور گسترده برای حذف باج افزار و حملات در معرض خطر ایمیل تجاری (BEC) استفاده می کردند.

More than a year later, the ProxyLogon and ProxyShell vulnerabilities continue to be targets of heavy exploit activity, says Konstantin Sapronov, head of Kaspersky’s Global Emergency Response Team. One of the most severe of these flaws (CVE-2021-26855) نیز بیشترین هدف را داشته است. کسپرسکی مشاهده کرد که این آسیب‌پذیری - بخشی از مجموعه ProxyLogon - در 22.7٪ از تمام حوادث مربوط به سوء استفاده‌های آسیب‌پذیری که در سال 2021 به آن‌ها پاسخ داد، مورد سوء استفاده قرار می‌گیرد، و طبق گفته ساپرونوف، این نقص در سال جاری نیز مورد علاقه مهاجمان است.

همان روند بهره برداری احتمالاً در سال 2022 اجرا می شود

اگرچه چندین آسیب‌پذیری جدی در سال جاری ظاهر شده است - از جمله آسیب پذیری همه جا حاضر آپاچی Log4j (CVE-2021-44228) — the most exploited vulnerabilities of 2021 remain very prevalent in 2022 as well, Sapronov says, even beyond the Exchange server bugs. For instance, Kaspersky identified a flaw in Microsoft’s MSHTML browser engine (CVE-2021-40444, patched last September) as the most آسیب پذیری به شدت مورد حمله قرار گرفته است در سه ماهه دوم 2022.

“Vulnerabilities in popular software such as MS Exchange Server and library Log4j have resulted in a huge number of attacks,” Sapronov notes. “Our advice to enterprise customers is to pay close attention to patch management issues.”

زمان اولویت بندی Patching است

Others have noted a similar spike in vulnerability exploit activity. In April, researchers from Palo Alto Networks’ Unit 42 threat research team noted how 31%, or تقریباً یکی از هر سه حادثه، آنها تا آن زمان در سال 2022 تجزیه و تحلیل کرده بودند که شامل اکسپلویت های آسیب پذیری بود. در بیش از نیمی (55%) از آنها، عوامل تهدید ProxyShell را هدف قرار داده بودند. 

محققان پالو آلتو همچنین دریافتند که عامل‌های تهدید معمولاً چند دقیقه پس از اعلام CVE، سیستم‌هایی را با نقصی که به تازگی آشکار شده است، اسکن می‌کنند. در یک نمونه، آنها یک نقص بای پس احراز هویت را در یک دستگاه شبکه F5 (CVE-2022-1388) مشاهده کردند که 2,552 بار در 10 ساعت اول پس از افشای آسیب‌پذیری مورد هدف قرار گرفت.

فعالیت پس از بهره برداری دشوار است

Kaspersky’s analysis of its incident-response data showed that in nearly 63% of cases, attackers managed to stay unnoticed in a network for more than a month after gaining initial entry. In many cases, this was because the attackers used legitimate tools and frameworks such as PowerShell, Mimikatz, and PsExec to collect data, escalate privileges, and execute commands. 

When someone did quickly notice a breach, it was typically because the attackers had created obvious damage, such as during a ransomware attack. “It’s easy to detect a ransomware attack when your data is encrypted, as services are unavailable, and you have a ransom note on your monitor,” Sapronov says.

But when the target is a company’s data, attackers need more time to roam around the victim’s network to collect necessary information. In such cases, attackers act more stealthily and cautiously, which makes these kinds of attacks harder to detect. “To detect such cases, we suggest employing a security tool stack with extended detection and response (EDR)-like telemetry and implement rules for detection of pervasive tools used by adversaries,” he says.

مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، می‌گوید نکته اصلی برای سازمان‌های سازمانی این است که مهاجمان از هر فرصتی برای نفوذ به شبکه استفاده می‌کنند. 

“With a range of exploitable vulnerabilities, it’s not a surprise to see an uptick,” he says. Whether the numbers are higher for vulnerabilities over socially engineered credential attacks, is hard to say, he notes. 

“But the bottom line is threat actors will use the exploits that work. If there’s a new remote code exploit on some Windows service, they’ll flock to it and breach as many systems as they can before the patches come out or firewall rules get deployed,” he says.

پارکین می‌گوید چالش واقعی آسیب‌پذیری‌های طولانی است: موارد قدیمی‌تر، مانند ProxyLogon، با سیستم‌های آسیب‌پذیر که نادیده گرفته شده‌اند یا نادیده گرفته شده‌اند، و اضافه می‌کند که وصله باید در اولویت باشد.

تمبر زمان:

بیشتر از تاریک خواندن