Atakujący są coraz szybsi. Nowe badania pokazują, że skrócili o kilka minut czas potrzebny na przejście od uzyskania wstępnego dostępu do systemu do próby zaatakowania innych urządzeń w tej samej sieci.
CrowdStrike wyszukuje średnie wymagane włamanie po 79 minutach od początkowego włamania przed rozpoczęciem ataku na inne systemy w sieci. To mniej niż 84 minuty w 2022 roku. CrowdStrike's Raport dotyczący polowania na zagrożenia z 2023 r, opublikowany we wtorek, ujawnia również, że najszybszy czas między początkowym dostępem a próbami przedłużenia kompromisu wynosił siedem minut, na podstawie ponad 85,000 2022 incydentów przetworzonych w XNUMX r.
Głównym celem atakującego jest przeniesienie się do innych systemów i ustanowienie obecności w sieci, tak aby nawet jeśli osoby reagujące na incydent poddały oryginalny system kwarantannie, atakujący nadal może wrócić, mówi Param Singh, wiceprezes usługi bezpieczeństwa OverWatch firmy CrowdStrike. Ponadto osoby atakujące chcą uzyskać dostęp do innych systemów za pośrednictwem legalnych poświadczeń użytkownika, mówi.
„Jeśli staną się kontrolerami domeny, gra się skończy i będą mieli dostęp do wszystkiego” — mówi Singh. „Ale jeśli nie mogą zostać administratorami domeny, będą ścigać kluczowe osoby, które mają lepszy dostęp do [cennych] zasobów… i spróbują eskalować swoje uprawnienia do tych użytkowników”.
Czas ucieczki jest jedną z miar sprawności atakujących podczas włamywania się do sieci korporacyjnych. Inną miarą stosowaną przez obrońców jest czas między początkowym kompromisem a wykryciem atakującego, znany jako czas przebywania, który osiągnął najniższy poziom 16 dni w 2022 r., według firmy Mandiant's zajmującej się reagowaniem na incydenty roczny raport M-Trends. Łącznie te dwa wskaźniki sugerują, że większość atakujących szybko wykorzystuje kompromis i ma wolną rękę przez ponad dwa tygodnie, zanim zostanie wykryty.
Interaktywne włamania teraz normą
Według CrowdStrike, osoby atakujące kontynuowały przejście na interaktywne włamania, które wzrosły o 40% w drugim kwartale 2023 r. w porównaniu z tym samym kwartałem rok temu i stanowią ponad połowę wszystkich incydentów.
Większość włamań interaktywnych (62%) wiązała się z nadużyciem legalnej tożsamości i informacji o koncie. Zbieranie informacji o tożsamości również przyspieszyło, przy 160% wzroście wysiłków zmierzających do „zbierania tajnych kluczy i innych materiałów uwierzytelniających”, podczas gdy zbieranie informacji Kerberos z systemów Windows w celu późniejszego włamania, technika znana jako Kerberoasting, wzrosło o prawie 600%, Podano raport CrowdStrike Threat Hunting.
Atakujący skanują również repozytoria, w których firmy przypadkowo publikują materiały identyfikacyjne. CrowdStrike powiedział, że w listopadzie 2022 r. jedna organizacja przypadkowo przekazała dane uwierzytelniające klucza dostępu swojego konta root do GitHub, wywołując szybką reakcję atakujących.
„W ciągu kilku sekund zautomatyzowane skanery i wielu cyberprzestępców próbowało wykorzystać zhakowane dane uwierzytelniające” — czytamy w raporcie. „Szybkość, z jaką zapoczątkowano to nadużycie, sugeruje, że wielu cyberprzestępców – starając się atakować środowiska chmurowe – utrzymuje zautomatyzowane narzędzia do monitorowania usług, takich jak GitHub, pod kątem wycieków danych uwierzytelniających w chmurze”.
Po uzyskaniu dostępu do systemu osoby atakujące używają własnych narzędzi maszyny — lub pobierają legalne narzędzia — aby uniknąć wykrycia. Tak zwana "życie z ziemi” uniemożliwiają wykrycie bardziej oczywistego złośliwego oprogramowania. Nic dziwnego, że według CrowdStrike przeciwnicy potroili wykorzystanie legalnych narzędzi do zdalnego zarządzania i monitorowania (RMM), takich jak AnyDesk, ConnectWise i TeamViewer.
Atakujący nadal koncentrują się na chmurze
Ponieważ firmy przyjęły chmurę dla większości swojej infrastruktury operacyjnej — zwłaszcza po rozpoczęciu pandemii koronawirusa — napastnicy poszli za nimi. CrowdStrike zaobserwował więcej ataków „świadomych chmury”, przy czym wykorzystanie chmury prawie się podwoiło (wzrost o 95%) w 2022 r.
Często ataki koncentrują się na Linuksie, ponieważ najczęstszym obciążeniem w chmurze są kontenery Linux lub maszyny wirtualne. Narzędzie eskalacji uprawnień LinPEAS zostało użyte w trzykrotnie większej liczbie włamań niż kolejne najczęściej nadużywane narzędzie, powiedział CrowdStrike.
Ten trend będzie tylko przyspieszał, mówi Singh z CrowdStrike.
„Widzimy, że cyberprzestępcy stają się bardziej świadomi chmury — rozumieją środowisko chmurowe i rozumieją błędne konfiguracje typowe dla chmury” — mówi. „Ale drugą rzeczą, którą obserwujemy, jest… cyberprzestępca, który dostaje się do maszyny po stronie on-prem, a następnie wykorzystuje poświadczenia i wszystko, aby przenieść się do chmury… i spowodować wiele szkód”.
Oddzielnie CrowdStrike ogłosił, że planuje połączyć swoje zespoły zajmujące się wywiadem i polowaniem na zagrożenia w jeden podmiot, grupę Counter Adversary Operations, podała firma w informacja prasowa na sierpień 8.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :Jest
- :Gdzie
- $W GÓRĘ
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- nadużycie
- przyśpieszyć
- dostęp
- Stosownie
- Konto
- aktorzy
- dodatek
- Admin
- przyjęty
- Korzyść
- Po
- ponownie
- temu
- Wszystkie kategorie
- również
- an
- i
- ogłosił
- Inne
- SĄ
- AS
- Aktywa
- atakować
- Ataki
- próbę
- Próby
- Sierpnia
- zautomatyzowane
- Automatyzacja
- średni
- świadomy
- z powrotem
- na podstawie
- bo
- stają się
- staje
- zanim
- jest
- Ulepsz Swój
- pomiędzy
- breakout
- ale
- by
- CAN
- nie może
- Spowodować
- Chmura
- zbierać
- kolekcja
- połączyć
- jak
- wspólny
- powszechnie
- Firmy
- sukcesy firma
- w porównaniu
- kompromis
- Zagrożone
- kompromis
- Pojemniki
- kontynuować
- nadal
- kontroler
- Koronawirus
- Pandemia koronawirusa
- Korporacyjny
- Przeciwdziałać
- POŚWIADCZENIE
- Listy uwierzytelniające
- Dni
- obrońcy
- wykryte
- Wykrywanie
- urządzenia
- domena
- podwojenie
- na dół
- pobieranie
- starania
- jednostka
- Środowisko
- środowiska
- zwiększać
- eskalacja
- uciec
- szczególnie
- zapewniają
- Parzyste
- wszystko
- eksploatacja
- rozciągać się
- najszybszy
- kilka
- znajduje
- Firma
- Skupiać
- następnie
- następujący
- W razie zamówieenia projektu
- od
- Wzrost
- zyskuje
- gra
- miejsce
- GitHub
- Go
- cel
- Zarządzanie
- Pół
- Żniwny
- Have
- he
- Dobranie (Hit)
- HTML
- HTTPS
- Łowiectwo
- tożsamości
- tożsamość
- if
- in
- incydent
- reakcja na incydent
- Zwiększać
- osób
- Informacja
- Infrastruktura
- początkowy
- zapoczątkowany
- interaktywne
- najnowszych
- zaangażowany
- IT
- JEGO
- jpg
- Klawisz
- Klawisze
- znany
- później
- wodowanie
- prawowity
- lubić
- linux
- Partia
- niski
- maszyna
- maszyny
- Główny
- utrzymać
- Większość
- malware
- i konserwacjami
- materiał
- zmierzyć
- Metryka
- minut
- monitor
- monitorowanie
- jeszcze
- większość
- ruch
- dużo
- wielokrotność
- prawie
- Potrzebować
- sieć
- sieci
- Nowości
- Następny
- Zauważyć..
- listopad
- już dziś
- oczywista
- of
- poza
- on
- ONE
- tylko
- operacyjny
- operacje
- or
- organizacja
- oryginalny
- Inne
- koniec
- Overwatch
- własny
- pandemiczny
- plany
- plato
- Analiza danych Platona
- PlatoDane
- obecność
- prezydent
- naciśnij
- zapobiec
- przywilej
- przywileje
- Obrobiony
- publikować
- opublikowany
- popychany
- kwarantanna
- Kwartał
- Szybki
- szybciej
- szybko
- zdalny
- raport
- wymagany
- Badania naukowe
- odpowiedź
- ujawnia
- korzeń
- s
- Powiedział
- taki sam
- mówią
- skanowanie
- druga
- Drugi kwartał
- sekund
- Tajemnica
- bezpieczeństwo
- widzenie
- widziany
- usługa
- Usługi
- siedem
- przesunięcie
- bok
- pojedynczy
- So
- prędkość
- początek
- stwierdził,
- Nadal
- taki
- sugerować
- Wskazuje
- system
- systemy
- Brać
- trwa
- cel
- Zespoły
- Techniki
- niż
- że
- Połączenia
- ich
- następnie
- one
- rzecz
- to
- tych
- groźba
- podmioty grożące
- trzy
- czas
- czasy
- do
- razem
- wziął
- narzędzie
- narzędzia
- przejście
- Trend
- próbować
- Wtorek
- drugiej
- zazwyczaj
- zrozumieć
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- Użytkowe
- Cenny
- przez
- wice
- Wiceprezes
- Wirtualny
- chcieć
- była
- we
- tygodni
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- będzie
- okna
- w
- w ciągu
- Yahoo
- rok
- zefirnet