Gli aggressori stanno diventando più veloci. Una nuova ricerca rivela che hanno ridotto di qualche minuto in più il tempo necessario per passare dall'accesso iniziale a un sistema al tentativo di attaccare altri dispositivi sulla stessa rete.
CrowdStrike rileva l'intrusione media richiesta 79 minuti dopo la compromissione iniziale prima di lanciare un attacco ad altri sistemi su una rete. È in calo rispetto agli 84 minuti del 2022. CrowdStrike's Rapporto sulla caccia alle minacce 2023, pubblicato martedì, rivela anche che il tempo più veloce è stato di sette minuti tra l'accesso iniziale e i tentativi di estendere la compromissione, sulla base di oltre 85,000 incidenti elaborati nel 2022.
L'obiettivo principale di un utente malintenzionato è spostarsi su altri sistemi e stabilire una presenza nella rete, in modo che anche se i soccorritori mettono in quarantena il sistema originale, l'aggressore può comunque tornare indietro, afferma Param Singh, vicepresidente del servizio di sicurezza OverWatch di CrowdStrike. Inoltre, gli aggressori vogliono ottenere l'accesso ad altri sistemi tramite credenziali utente legittime, afferma.
"Se diventano il controller di dominio, il gioco è finito e hanno accesso a tutto", afferma Singh. "Ma se non possono diventare amministratori di dominio, inseguiranno le persone chiave che hanno un migliore accesso alle risorse [preziose]... e cercheranno di aumentare i loro privilegi a quegli utenti."
Il tempo di breakout è una misura dell'agilità di un utente malintenzionato quando compromette le reti aziendali. Un'altra misura utilizzata dai difensori è il tempo necessario tra la compromissione iniziale e il rilevamento dell'attaccante, noto come tempo di permanenza, che ha toccato un minimo di 16 giorni nel 2022, secondo la società di risposta agli incidenti Mandiant. rapporto annuale M-Trends. Insieme, le due metriche suggeriscono che la maggior parte degli aggressori approfitta rapidamente di un compromesso e ha carta bianca per più di due settimane prima di essere individuato.
Intrusioni interattive ora la norma
Gli aggressori hanno continuato il loro passaggio alle intrusioni interattive, che sono cresciute del 40% nel secondo trimestre del 2023, rispetto allo stesso trimestre di un anno fa, e rappresentano oltre la metà di tutti gli incidenti, secondo CrowdStrike.
La maggior parte delle intrusioni interattive (62%) ha comportato l'abuso di identità legittime e informazioni sull'account. Anche la raccolta di informazioni sull'identità è decollata, con un aumento del 160% degli sforzi per "raccogliere chiavi segrete e altro materiale di credenziali", mentre la raccolta di informazioni Kerberos dai sistemi Windows per il successivo cracking, una tecnica nota come Kerberoasting, è cresciuta di quasi il 600%, il Ha affermato il rapporto CrowdStrike Threat Hunting.
Gli aggressori eseguono anche la scansione dei repository in cui le aziende pubblicano accidentalmente materiale di identità. Nel novembre 2022, un'organizzazione ha inviato accidentalmente le credenziali della chiave di accesso del proprio account root a GitHub, suscitando una rapida risposta da parte degli aggressori, ha affermato CrowdStrike.
"In pochi secondi, scanner automatici e più attori delle minacce hanno tentato di utilizzare le credenziali compromesse", afferma il rapporto. "La velocità con cui è stato avviato questo abuso suggerisce che più attori delle minacce, nel tentativo di prendere di mira gli ambienti cloud, mantengono strumenti automatizzati per monitorare servizi come GitHub per le credenziali cloud trapelate".
Una volta entrati in un sistema, gli aggressori utilizzano le utilità della macchina o scaricano strumenti legittimi per sfuggire all'attenzione. I cosiddetti “vivere dei frutti della terra” le tecniche impediscono il rilevamento di malware più evidenti. Non sorprende che, secondo CrowdStrike, gli avversari abbiano triplicato il loro utilizzo di strumenti legittimi di gestione e monitoraggio remoto (RMM), come AnyDesk, ConnectWise e TeamViewer.
Gli aggressori continuano a concentrarsi sul cloud
Poiché le aziende hanno adottato il cloud per gran parte della loro infrastruttura operativa, soprattutto dopo l'inizio della pandemia di coronavirus, gli aggressori hanno seguito. CrowdStrike ha osservato attacchi più "consapevoli del cloud", con lo sfruttamento del cloud quasi raddoppiato (+ 95%) nel 2022.
Spesso gli attacchi si concentrano su Linux, perché il carico di lavoro più comune nel cloud sono i container Linux o le macchine virtuali. Lo strumento di escalation dei privilegi LinPEAS è stato utilizzato in un numero di intrusioni tre volte superiore rispetto al successivo strumento più comunemente abusato, ha affermato CrowdStrike.
La tendenza non farà che accelerare, afferma Singh di CrowdStrike.
"Stiamo assistendo a come gli attori delle minacce stanno diventando più consapevoli del cloud: comprendono l'ambiente cloud e comprendono le configurazioni errate tipicamente osservate nel cloud", afferma. "Ma l'altra cosa che stiamo vedendo è... l'attore della minaccia che entra in una macchina sul lato on-premise, e poi usa le credenziali e tutto per passare al cloud... e causare molti danni."
Separatamente, CrowdStrike ha annunciato che intende unire i suoi team di intelligence sulle minacce e caccia alle minacce in un'unica entità, il gruppo Counter Adversary Operations, ha affermato la società in un comunicato stampa agosto 8.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :È
- :Dove
- $ SU
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- abuso
- accelerare
- accesso
- Secondo
- Il mio account
- attori
- aggiunta
- Admin
- adottato
- Vantaggio
- Dopo shavasana, sedersi in silenzio; saluti;
- ancora
- fa
- Tutti
- anche
- an
- ed
- ha annunciato
- Un altro
- SONO
- AS
- Attività
- attacco
- attacchi
- tentato
- Tentativi
- AGOSTO
- Automatizzata
- Automazione
- media
- consapevole
- precedente
- basato
- perché
- diventare
- diventando
- prima
- essendo
- Meglio
- fra
- breakout
- ma
- by
- Materiale
- non può
- Causare
- Cloud
- raccogliere
- collezione
- combinare
- Venire
- Uncommon
- comunemente
- Aziende
- azienda
- rispetto
- compromesso
- Compromissione
- compromettendo
- Tecnologie Container
- continua
- continua
- controllore
- coronavirus
- Pandemia di coronavirus
- Aziende
- contatore
- CREDENZIALI
- Credenziali
- Giorni
- Difensori
- rilevato
- rivelazione
- dispositivi
- dominio
- raddoppio
- giù
- scaricare
- sforzi
- entità
- Ambiente
- ambienti
- degenerare
- intensificazione
- fuga
- particolarmente
- stabilire
- Anche
- qualunque cosa
- sfruttamento
- estendere
- più veloce
- pochi
- trova
- Impresa
- Focus
- seguito
- i seguenti
- Nel
- da
- Guadagno
- guadagnando
- gioco
- ottenere
- GitHub
- Go
- scopo
- Gruppo
- Metà
- Raccolta
- Avere
- he
- Colpire
- HTML
- HTTPS
- Caccia
- identità
- Identità
- if
- in
- incidente
- risposta agli incidenti
- Aumento
- individui
- informazioni
- Infrastruttura
- inizialmente
- avviato
- interattivo
- ai miglioramenti
- coinvolto
- IT
- SUO
- jpg
- Le
- Tasti
- conosciuto
- dopo
- lancio
- legittimo
- piace
- linux
- lotto
- Basso
- macchina
- macchine
- Principale
- mantenere
- Maggioranza
- il malware
- gestione
- materiale
- misurare
- Metrica
- Minuti
- Monitorare
- monitoraggio
- Scopri di più
- maggior parte
- cambiano
- molti
- multiplo
- quasi
- Bisogno
- Rete
- reti
- New
- GENERAZIONE
- Avviso..
- Novembre
- adesso
- ovvio
- of
- MENO
- on
- ONE
- esclusivamente
- operativa
- Operazioni
- or
- organizzazione
- i
- Altro
- ancora
- Overwatch
- proprio
- pandemia
- piani
- Platone
- Platone Data Intelligence
- PlatoneDati
- presenza
- Presidente
- stampa
- prevenire
- privilegio
- privilegi
- Elaborato
- pubblicare
- pubblicato
- spinto
- quarantena
- Trimestre
- Presto
- più veloce
- rapidamente
- a distanza
- rapporto
- necessario
- riparazioni
- risposta
- Rivela
- radice
- s
- Suddetto
- stesso
- dice
- scansione
- Secondo
- secondo quarto
- secondo
- Segreto
- problemi di
- vedendo
- visto
- servizio
- Servizi
- Sette
- spostamento
- lato
- singolo
- So
- velocità
- inizia a
- ha dichiarato
- Ancora
- tale
- suggerire
- suggerisce
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- prende
- Target
- le squadre
- tecniche
- di
- che
- Il
- loro
- poi
- di
- cosa
- questo
- quelli
- minaccia
- attori della minaccia
- tre
- tempo
- volte
- a
- insieme
- ha preso
- strumenti
- transizione
- Trend
- prova
- Martedì
- seconda
- tipicamente
- capire
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- utilità
- Prezioso
- via
- vice
- Vicepresidente
- virtuale
- volere
- Prima
- we
- Settimane
- quando
- quale
- while
- OMS
- volere
- finestre
- con
- entro
- Yahoo
- anno
- zefiro