Angripere blir raskere. Ny forskning avslører at de har barbert seg noen minutter til av tiden de trenger for å gå over fra å få første tilgang til et system, til deres forsøk på å angripe andre enheter på samme nettverk.
CrowdStrike finner den gjennomsnittlige inntrengingen som kreves 79 minutter etter innledende kompromiss før et angrep på andre systemer på et nettverk. Det er ned fra 84 minutter i 2022. CrowdStrikes 2023-rapport om trusseljakt, publisert på tirsdag, avslører også at den raskeste tiden var syv minutter mellom den første tilgangen og forsøkene på å utvide kompromisset, basert på mer enn 85,000 2022 hendelser behandlet i XNUMX.
En angripers hovedmål er å flytte til andre systemer og etablere en tilstedeværelse i nettverket, slik at selv om hendelsesbesvarere setter det opprinnelige systemet i karantene, kan angriperen fortsatt komme tilbake, sier Param Singh, visepresident for CrowdStrikes OverWatch sikkerhetstjeneste. I tillegg ønsker angripere å få tilgang til andre systemer via legitim brukerlegitimasjon, sier han.
"Hvis de blir domenekontrolleren, er spillet over, og de har tilgang til alt," sier Singh. "Men hvis de ikke kan bli domeneadministratorer, vil de gå etter nøkkelpersoner som har bedre tilgang til [verdifulle] eiendeler ... og prøve å eskalere privilegiene sine til disse brukerne."
Utbruddstiden er ett mål på en angripers smidighet når de kompromitterer bedriftsnettverk. Et annet tiltak forsvarere bruker, er tiden det tar mellom det første kompromisset og oppdagelsen av angriperen, kjent som dveletid, som nådde et minimum på 16 dager i 2022, ifølge hendelsesberedskapsfirmaet Mandiant's årlig M-Trends-rapport. Sammen antyder de to beregningene at de fleste angripere raskt drar fordel av et kompromiss og har carte blanche i mer enn to uker før de blir oppdaget.
Interactive Intrusions Now the Norm
Angripere har fortsatt skiftet til interaktive inntrengninger, som vokste med 40 % i andre kvartal 2023, sammenlignet med samme kvartal for ett år siden, og står for mer enn halvparten av alle hendelser, ifølge CrowdStrike.
Flertallet av interaktive inntrengninger (62 %) involverte misbruk av legitime identiteter og kontoinformasjon. Innsamlingen av identitetsinformasjon tok også fart, med 160 % økning i innsatsen for å "samle inn hemmelige nøkler og annet legitimasjonsmateriale", mens innsamlingen av Kerberos-informasjon fra Windows-systemer for senere cracking, en teknikk kjent som Kerberoasting, vokste med nesten 600 %, CrowdStrike Threat Hunting-rapport oppgitt.
Angripere skanner også depoter der selskaper ved et uhell publiserer identitetsmateriale. I november 2022 presset en organisasjon ved et uhell root-kontoens tilgangsnøkkellegitimasjon til GitHub, og fremkalte et raskt svar fra angripere, sa CrowdStrike.
"I løpet av sekunder forsøkte automatiserte skannere og flere trusselaktører å bruke den kompromitterte legitimasjonen," heter det i rapporten. "Hastigheten som dette misbruket ble initiert med antyder at flere trusselaktører - i forsøk på å målrette mot skymiljøer - opprettholder automatisert verktøy for å overvåke tjenester som GitHub for lekket skylegitimasjon."
En gang på et system bruker angripere maskinens egne verktøy – eller laster ned legitime verktøy – for å unngå varsel. Såkalt "lever av landet”-teknikker forhindrer oppdagelse av mer åpenbar skadelig programvare. Ikke overraskende har motstandere tredoblet bruken av legitime verktøy for ekstern administrasjon og overvåking (RMM), som AnyDesk, ConnectWise og TeamViewer, ifølge CrowdStrike.
Angripere fortsetter å fokusere på skyen
Ettersom selskaper har tatt i bruk sky for mye av sin operasjonelle infrastruktur – spesielt etter starten av koronaviruspandemien – har angripere fulgt etter. CrowdStrike observerte flere "skybevisste" angrep, med skyutnyttelse nesten doblet (opp 95%) i 2022.
Ofte fokuserer angrepene på Linux, fordi den vanligste arbeidsbelastningen i skyen er Linux-containere eller virtuelle maskiner. Privilegieeskaleringsverktøyet LinPEAS ble brukt i tre ganger flere inntrengninger enn det nest mest misbrukte verktøyet, sa CrowdStrike.
Trenden vil bare akselerere, sier CrowdStrikes Singh.
"Vi ser at trusselaktører blir mer skybevisste - de forstår skymiljøet, og de forstår feilkonfigurasjonene som vanligvis sees i skyen," sier han. "Men den andre tingen vi ser er ... trusselaktøren som kommer inn i en maskin på den lokale siden, og bruker deretter legitimasjonen og alt for å flytte til skyen ... og forårsake mye skade."
Separat kunngjorde CrowdStrike at de planlegger å kombinere sine trusseletterretnings- og trusseljaktteam til en enkelt enhet, Counter Adversary Operations-gruppen, sa selskapet i en pressemelding på August 8.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :er
- :hvor
- $OPP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- misbruk
- akselerere
- adgang
- Ifølge
- Logg inn
- aktører
- tillegg
- admin
- vedtatt
- Fordel
- Etter
- en gang til
- siden
- Alle
- også
- an
- og
- annonsert
- En annen
- ER
- AS
- Eiendeler
- angripe
- Angrep
- forsøkt
- forsøk
- August
- Automatisert
- Automatisering
- gjennomsnittlig
- klar
- tilbake
- basert
- fordi
- bli
- bli
- før du
- være
- Bedre
- mellom
- avslapnings
- men
- by
- CAN
- kan ikke
- Årsak
- Cloud
- samle
- samling
- kombinere
- Kom
- Felles
- vanligvis
- Selskaper
- Selskapet
- sammenlignet
- kompromiss
- kompromittert
- kompromittere
- Containere
- fortsette
- fortsatte
- controller
- coronavirus
- Coronavirus-pandemi
- Bedriftens
- Motvirke
- KREDENSISJON
- Credentials
- Dager
- Defenders
- oppdaget
- Gjenkjenning
- Enheter
- domene
- dobling
- ned
- nedlasting
- innsats
- enhet
- Miljø
- miljøer
- eskalere
- eskalering
- flykte
- spesielt
- etablere
- Selv
- alt
- utnytting
- utvide
- raskeste
- Noen få
- funn
- Firm
- Fokus
- fulgt
- etter
- Til
- fra
- Gevinst
- få
- spill
- få
- GitHub
- Go
- mål
- Gruppe
- Halvparten
- høsting
- Ha
- he
- hit
- HTML
- HTTPS
- Jakt
- identiteter
- Identitet
- if
- in
- hendelse
- hendelsesrespons
- Øke
- individer
- informasjon
- Infrastruktur
- innledende
- initiert
- interaktiv
- inn
- involvert
- IT
- DET ER
- jpg
- nøkkel
- nøkler
- kjent
- seinere
- lansere
- legitim
- i likhet med
- linux
- Lot
- Lav
- maskin
- maskiner
- Hoved
- vedlikeholde
- Flertall
- malware
- ledelse
- materiale
- måle
- Metrics
- minutter
- Overvåke
- overvåking
- mer
- mest
- flytte
- mye
- flere
- nesten
- Trenger
- nettverk
- nettverk
- Ny
- neste
- Legge merke til..
- November
- nå
- Åpenbare
- of
- off
- on
- ONE
- bare
- operasjonell
- Drift
- or
- organisasjon
- original
- Annen
- enn
- Watch
- egen
- pandemi
- planer
- plato
- Platon Data Intelligence
- PlatonData
- tilstedeværelse
- president
- trykk
- forebygge
- privilegium
- privilegier
- Bearbeidet
- publisere
- publisert
- presset
- karantene
- Fjerdedel
- Rask
- raskere
- raskt
- fjernkontroll
- rapporterer
- påkrevd
- forskning
- svar
- avslører
- root
- s
- Sa
- samme
- sier
- skanning
- Sekund
- andre kvartal
- sekunder
- Secret
- sikkerhet
- se
- sett
- tjeneste
- Tjenester
- syv
- skift
- side
- enkelt
- So
- fart
- Begynn
- uttalte
- Still
- slik
- foreslår
- foreslår
- system
- Systemer
- Ta
- tar
- Target
- lag
- teknikker
- enn
- Det
- De
- deres
- deretter
- de
- ting
- denne
- De
- trussel
- trusselaktører
- tre
- tid
- ganger
- til
- sammen
- tok
- verktøy
- verktøy
- overgang
- Trend
- prøve
- tirsdag
- to
- typisk
- forstå
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- verktøy
- Verdifull
- av
- vice
- Vice President
- virtuelle
- ønsker
- var
- we
- uker
- når
- hvilken
- mens
- HVEM
- vil
- vinduer
- med
- innenfor
- Yahoo
- år
- zephyrnet