Aanvallers worden steeds sneller. Nieuw onderzoek onthult dat ze een paar minuten meer tijd hebben geschoren van de tijd die ze nodig hebben om over te stappen van het verkrijgen van de eerste toegang tot een systeem naar hun poging om andere apparaten op hetzelfde netwerk aan te vallen.
CrowdStrike vindt de gemiddelde inbraak die 79 minuten na de eerste aanval nodig is voordat een aanval op andere systemen op een netwerk wordt gelanceerd. Dat is minder dan 84 minuten in 2022. CrowdStrike's Bedreigingsjachtrapport 2023, gepubliceerd op dinsdag, onthult ook dat de snelste tijd zeven minuten was tussen de eerste toegang en pogingen om het compromis uit te breiden, gebaseerd op meer dan 85,000 verwerkte incidenten in 2022.
Het belangrijkste doel van een aanvaller is om naar andere systemen over te stappen en een aanwezigheid in het netwerk te vestigen, zodat zelfs als incidentresponders het oorspronkelijke systeem in quarantaine plaatsen, de aanvaller nog steeds terug kan komen, zegt Param Singh, vice-president van CrowdStrike's OverWatch-beveiligingsdienst. Bovendien willen aanvallers toegang krijgen tot andere systemen via legitieme gebruikersreferenties, zegt hij.
"Als ze de domeincontroller worden, is het spel voorbij en hebben ze toegang tot alles", zegt Singh. "Maar als ze geen domeinbeheerder kunnen worden, gaan ze achter belangrijke personen aan die betere toegang hebben tot [waardevolle] activa ... en proberen ze hun rechten naar die gebruikers te escaleren."
De ontsnappingstijd is een maatstaf voor de behendigheid van een aanvaller bij het compromitteren van bedrijfsnetwerken. Een andere maatstaf die verdedigers gebruiken, is de tijd die verstrijkt tussen het eerste compromis en de detectie van de aanvaller, ook wel dwell-tijd genoemd, die in 16 een dieptepunt bereikte van 2022 dagen, volgens incidentresponsbureau Mandiant's jaarlijkse M-Trends-rapportage. Samen suggereren de twee statistieken dat de meeste aanvallers snel profiteren van een compromis en meer dan twee weken carte blanche hebben voordat ze worden ontdekt.
Interactieve inbraken nu de norm
Volgens CrowdStrike zetten aanvallers hun verschuiving naar interactieve intrusies voort, die in het tweede kwartaal van 40 met 2023% zijn gegroeid in vergelijking met hetzelfde kwartaal een jaar geleden, en goed zijn voor meer dan de helft van alle incidenten.
Bij de meeste interactieve inbraken (62%) werd misbruik gemaakt van legitieme identiteiten en accountgegevens. Het verzamelen van identiteitsinformatie nam ook een vlucht, met een toename van 160% in de inspanningen om "geheime sleutels en ander referentiemateriaal te verzamelen", terwijl het verzamelen van Kerberos-informatie van Windows-systemen om later te kraken, een techniek die bekend staat als Kerberoasting, met bijna 600% groeide, de CrowdStrike Threat Hunting-rapport vermeld.
Aanvallers scannen ook opslagplaatsen waar bedrijven per ongeluk identiteitsmateriaal publiceren. In november 2022 pushte een organisatie per ongeluk de inloggegevens van de root-account naar GitHub, wat een snelle reactie van aanvallers opriep, zei CrowdStrike.
"Binnen enkele seconden probeerden geautomatiseerde scanners en meerdere bedreigingsactoren de gecompromitteerde inloggegevens te gebruiken", aldus het rapport. "De snelheid waarmee dit misbruik werd geïnitieerd, suggereert dat meerdere bedreigingsactoren - in pogingen om zich op cloudomgevingen te richten - geautomatiseerde tooling onderhouden om services zoals GitHub te controleren op gelekte cloudreferenties."
Eenmaal op een systeem gebruiken aanvallers de eigen hulpprogramma's van de machine — of downloaden ze legitieme tools — om aan de aandacht te ontsnappen. Zogenaamde "leven van het land”-technieken voorkomen detectie van meer voor de hand liggende malware. Het is niet verwonderlijk dat kwaadwillenden hun gebruik van legitieme tools voor beheer en bewaking op afstand (RMM), zoals AnyDesk, ConnectWise en TeamViewer, hebben verdrievoudigd, aldus CrowdStrike.
Aanvallers blijven zich richten op de cloud
Aangezien bedrijven de cloud hebben overgenomen voor een groot deel van hun operationele infrastructuur – vooral na het begin van de pandemie van het coronavirus – zijn aanvallers gevolgd. CrowdStrike nam meer "cloud-bewuste" aanvallen waar, waarbij de cloud-exploitatie in 95 bijna verdubbelde (tot 2022%).
Vaak richten de aanvallen zich op Linux, omdat de meest voorkomende workload in de cloud Linux-containers of virtuele machines zijn. De privilege-escalatietool LinPEAS werd gebruikt bij drie keer meer inbraken dan de volgende meest misbruikte tool, zei CrowdStrike.
De trend zal alleen maar versnellen, zegt Singh van CrowdStrike.
"We zien dat bedreigingsactoren zich meer bewust worden van de cloud - ze begrijpen de cloudomgeving en ze begrijpen de verkeerde configuraties die doorgaans in de cloud voorkomen", zegt hij. "Maar het andere dat we zien is... de bedreigingsactor stapt in een machine aan de on-prem-kant en gebruikt vervolgens de inloggegevens en alles om naar de cloud te verhuizen... en veel schade aan te richten."
Afzonderlijk heeft CrowdStrike aangekondigd dat het van plan is om zijn teams voor dreigingsintelligentie en dreigingsjacht te combineren tot één enkele entiteit, de Counter Adversary Operations-groep, zei het bedrijf in een persbericht op augustus 8.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :is
- :waar
- $UP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- misbruik
- versnellen
- toegang
- Volgens
- Account
- actoren
- toevoeging
- beheerder
- aangenomen
- Voordeel
- Na
- weer
- geleden
- Alles
- ook
- an
- en
- aangekondigd
- Nog een
- ZIJN
- AS
- Activa
- aanvallen
- Aanvallen
- gepoogd
- pogingen
- Augustus
- geautomatiseerde
- Automatisering
- gemiddelde
- bewust
- terug
- gebaseerde
- omdat
- worden
- worden
- vaardigheden
- wezen
- Betere
- tussen
- breakout
- maar
- by
- CAN
- kan niet
- Veroorzaken
- Cloud
- verzamelen
- Collectie
- combineren
- hoe
- Gemeen
- algemeen
- Bedrijven
- afstand
- vergeleken
- compromis
- Aangetast
- afbreuk te doen aan
- containers
- voortzetten
- voortgezet
- controleur
- coronavirus
- Coronapandemie
- Bedrijfs-
- Counter
- IDENTIFICATIE
- Geloofsbrieven
- dagen
- verdedigers
- gedetecteerd
- Opsporing
- systemen
- domein
- verdubbeling
- beneden
- Download
- inspanningen
- entiteit
- Milieu
- omgevingen
- uitbreiden
- escalatie
- ontsnappen
- vooral
- oprichten
- Zelfs
- alles
- exploitatie
- verlengen
- snelste
- weinig
- vondsten
- Stevig
- Focus
- gevolgd
- volgend
- Voor
- oppompen van
- Krijgen
- met het verkrijgen van
- spel
- het krijgen van
- GitHub
- Go
- doel
- Groep
- Helft
- oogst
- Hebben
- he
- Hit
- HTML
- HTTPS
- Jacht
- identiteiten
- Identiteit
- if
- in
- incident
- incident reactie
- Laat uw omzet
- individuen
- informatie
- Infrastructuur
- eerste
- geïnitieerd
- interactieve
- in
- betrokken zijn
- IT
- HAAR
- jpg
- sleutel
- toetsen
- bekend
- later
- lancering
- rechtmatig
- als
- linux
- lot
- Laag
- machine
- Machines
- Hoofd
- onderhouden
- Meerderheid
- malware
- management
- materiaal
- maatregel
- Metriek
- minuten
- monitor
- Grensverkeer
- meer
- meest
- beweging
- veel
- meervoudig
- bijna
- Noodzaak
- netwerk
- netwerken
- New
- volgende
- Merk op..
- November
- nu
- Voor de hand liggend
- of
- korting
- on
- EEN
- Slechts
- operationele
- Operations
- or
- organisatie
- origineel
- Overige
- over
- Overwatch
- het te bezitten.
- pandemisch
- plannen
- Plato
- Plato gegevensintelligentie
- PlatoData
- aanwezigheid
- president
- pers
- voorkomen
- privilege
- voorrechten
- Verwerkt
- publiceren
- gepubliceerde
- geduwd
- quarantaine
- Quarter
- Quick
- sneller
- snel
- vanop
- verslag
- nodig
- onderzoek
- antwoord
- onthult
- wortel
- s
- Zei
- dezelfde
- zegt
- het scannen
- Tweede
- tweede kwartier
- seconden
- Geheim
- veiligheid
- te zien
- gezien
- service
- Diensten
- zeven
- verschuiving
- kant
- single
- So
- snelheid
- begin
- bepaald
- Still
- dergelijk
- stel
- Stelt voor
- system
- Systems
- Nemen
- neemt
- doelwit
- teams
- technieken
- neem contact
- dat
- De
- hun
- harte
- ze
- ding
- dit
- die
- bedreiging
- bedreigingsactoren
- drie
- niet de tijd of
- keer
- naar
- samen
- nam
- tools
- tools
- overgang
- trend
- proberen
- dinsdag
- twee
- typisch
- begrijpen
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- utilities
- waardevol
- via
- vice
- Vice President
- Virtueel
- willen
- was
- we
- weken
- wanneer
- welke
- en
- WIE
- wil
- ruiten
- Met
- binnen
- Yahoo
- jaar
- zephyrnet