Atacatorii sunt din ce în ce mai rapizi. O nouă cercetare dezvăluie că au redus încă câteva minute din timpul de care au nevoie pentru a trece de la obținerea accesului inițial la un sistem, la încercarea lor de a ataca alte dispozitive din aceeași rețea.
CrowdStrike găsește intruziunea medie necesară la 79 de minute după compromisul inițial înainte de a lansa un atac asupra altor sisteme dintr-o rețea. Este în scădere față de 84 de minute în 2022. CrowdStrike's Raportul de vânătoare a amenințărilor din 2023, publicat marți, dezvăluie, de asemenea, că cel mai rapid timp a fost de șapte minute între accesul inițial și încercările de extindere a compromisului, pe baza a peste 85,000 de incidente procesate în 2022.
Scopul principal al atacatorului este de a trece la alte sisteme și de a stabili o prezență în rețea, astfel încât, chiar dacă respondenții la incident pun în carantină sistemul original, atacatorul să poată reveni, spune Param Singh, vicepreședinte al serviciului de securitate OverWatch al CrowdStrike. În plus, atacatorii vor să obțină acces la alte sisteme prin intermediul acreditărilor legitime de utilizator, spune el.
„Dacă devin controlerul de domeniu, jocul s-a terminat și au acces la toate”, spune Singh. „Dar dacă nu pot deveni administratori de domeniu, atunci vor urmări persoane cheie care au acces mai bun la active [valoroase]... și vor încerca să-și extindă privilegiile acelor utilizatori.”
Timpul de spargere este o măsură a agilității atacatorilor atunci când compromite rețelele corporative. O altă măsură pe care o folosesc apărătorii este timpul necesar între compromisul inițial și detectarea atacatorului, cunoscut sub numele de timp de așteptare, care a atins un minim de 16 zile în 2022, potrivit companiei de răspuns la incidente Mandiant. raportul anual M-Trends. Împreună, cele două valori sugerează că majoritatea atacatorilor profită rapid de un compromis și au carte albă pentru mai mult de două săptămâni înainte de a fi detectați.
Intruziuni interactive Acum norma
Atacatorii și-au continuat trecerea la intruziunile interactive, care au crescut cu 40% în al doilea trimestru al anului 2023, comparativ cu același trimestru de acum un an și reprezintă mai mult de jumătate din toate incidentele, potrivit CrowdStrike.
Majoritatea intruziunilor interactive (62%) au implicat abuzul de identități legitime și informații despre cont. Colectarea de informații de identitate a luat amploare, cu o creștere cu 160% a eforturilor de „colectare chei secrete și alte materiale de acreditări”, în timp ce colectarea informațiilor Kerberos din sistemele Windows pentru spargere ulterioară, o tehnică cunoscută sub numele de Kerberoasting, a crescut cu aproape 600%, Raportul CrowdStrike Threat Hunting a declarat.
Atacatorii scanează, de asemenea, depozite în care companiile publică accidental materiale de identitate. În noiembrie 2022, o organizație a împins accidental datele de conectare ale cheii de acces ale contului său root către GitHub, provocând un răspuns rapid din partea atacatorilor, a spus CrowdStrike.
„În câteva secunde, scanere automate și mai mulți actori amenințări au încercat să folosească acreditările compromise”, se arată în raport. „Viteza cu care a fost inițiat acest abuz sugerează că mai mulți actori de amenințări – în eforturile de a viza mediile cloud – mențin instrumente automate pentru a monitoriza servicii precum GitHub pentru acreditările cloud scurse.”
Odată ajunși într-un sistem, atacatorii folosesc propriile utilități ale mașinii – sau descarcă instrumente legitime – pentru a scăpa de observație. Așa-zisul "trăind din pământ” tehnicile împiedică detectarea unor programe malware mai evidente. Deloc surprinzător, adversarii și-au triplat utilizarea instrumentelor legitime de management și monitorizare la distanță (RMM), precum AnyDesk, ConnectWise și TeamViewer, potrivit CrowdStrike.
Atacatorii continuă să se concentreze pe cloud
Pe măsură ce companiile au adoptat cloud pentru o mare parte a infrastructurii lor operaționale – în special după începutul pandemiei de coronavirus – atacatorii au urmat. CrowdStrike a observat mai multe atacuri „conștiente de cloud”, exploatarea norului aproape dublându-se (cu 95%) în 2022.
Adesea, atacurile se concentrează pe Linux, deoarece cea mai comună sarcină de lucru în cloud sunt containerele Linux sau mașinile virtuale. Instrumentul de escaladare a privilegiilor LinPEAS a fost folosit în de trei ori mai multe intruziuni decât următorul instrument cel mai frecvent abuzat, a spus CrowdStrike.
Tendința nu va face decât să accelereze, spune Singh de la CrowdStrike.
„Vedem actori ca amenințări care devin mai conștienți de cloud – ei înțeleg mediul cloud și înțeleg configurațiile greșite observate de obicei în cloud”, spune el. „Dar celălalt lucru pe care îl vedem este... actorul amenințării intră într-o mașină din partea locală și apoi folosește acreditările și totul pentru a se muta în cloud... și a provoca multe daune.”
Separat, CrowdStrike a anunțat că intenționează să combine echipele sale de informații despre amenințări și de vânătoare de amenințări într-o singură entitate, grupul Counter Adversary Operations, a spus compania în un comunicat de presă pe august 8.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :este
- :Unde
- $UP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- abuz
- accelera
- acces
- Conform
- Cont
- actori
- plus
- admin
- adoptată
- Avantaj
- După
- din nou
- în urmă
- TOATE
- de asemenea
- an
- și
- a anunțat
- O alta
- SUNT
- AS
- Bunuri
- ataca
- Atacuri
- a încercat să
- Încercările
- August
- Automata
- Automatizare
- in medie
- conştient
- înapoi
- bazat
- deoarece
- deveni
- devenire
- înainte
- fiind
- Mai bine
- între
- Breakout
- dar
- by
- CAN
- nu poti
- Provoca
- Cloud
- colecta
- colectare
- combina
- cum
- Comun
- în mod obișnuit
- Companii
- companie
- comparație
- compromis
- compromis
- compromisor
- Containere
- continua
- a continuat
- controlor
- coronavirus
- Pandemie de coronavirus
- Istoria
- Contracara
- CREDENTIALĂ
- scrisori de acreditare
- Zi
- apărătorii
- detectat
- Detectare
- Dispozitive
- domeniu
- dublare
- jos
- Descarca
- Eforturile
- entitate
- Mediu inconjurator
- medii
- escalada
- Escaladarea
- scăpa
- mai ales
- stabili
- Chiar
- tot
- exploatare
- extinde
- cel mai rapid
- puțini
- descoperiri
- Firmă
- Concentra
- a urmat
- următor
- Pentru
- din
- Câştig
- câștigă
- joc
- obtinerea
- GitHub
- Go
- scop
- grup
- Jumătate
- recoltat
- Avea
- he
- Lovit
- HTML
- HTTPS
- Vânătoare
- identitățile
- Identitate
- if
- in
- incident
- răspuns la incident
- Crește
- persoane fizice
- informații
- Infrastructură
- inițială
- iniţiat
- interactiv
- în
- implicat
- IT
- ESTE
- jpg
- Cheie
- chei
- cunoscut
- mai tarziu
- lansare
- legitim
- ca
- linux
- Lot
- Jos
- maşină
- Masini
- Principal
- menține
- Majoritate
- malware
- administrare
- material
- măsura
- Metrici
- minute
- monitor
- Monitorizarea
- mai mult
- cele mai multe
- muta
- mult
- multiplu
- aproape
- Nevoie
- reţea
- rețele
- Nou
- următor
- Înștiințare..
- noiembrie
- acum
- evident
- of
- de pe
- on
- ONE
- afară
- operațional
- Operațiuni
- or
- organizație
- original
- Altele
- peste
- Overwatch
- propriu
- pandemie
- Planurile
- Plato
- Informații despre date Platon
- PlatoData
- prezenţă
- preşedinte
- presa
- împiedica
- privilegiu
- privilegii
- Procesat
- publica
- publicat
- împins
- carantină
- Trimestru
- Rapid
- mai repede
- repede
- la distanta
- raportează
- necesar
- cercetare
- răspuns
- dezvaluie
- rădăcină
- s
- Said
- acelaşi
- spune
- scanare
- Al doilea
- Al doilea sfert
- secunde
- Secret
- securitate
- vedere
- văzut
- serviciu
- Servicii
- Șapte
- schimbare
- parte
- singur
- So
- viteză
- Începe
- stabilit
- Încă
- astfel de
- sugera
- sugerează
- sistem
- sisteme
- Lua
- ia
- Ţintă
- echipe
- tehnici de
- decât
- acea
- lor
- apoi
- ei
- lucru
- acest
- aceste
- amenințare
- actori amenințători
- trei
- timp
- ori
- la
- împreună
- a luat
- instrument
- Unelte
- tranziţie
- tendință
- încerca
- marţi
- Două
- tipic
- înţelege
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- utilitati
- Valoros
- de
- viciu
- Vicepreședinte
- Virtual
- vrea
- a fost
- we
- săptămâni
- cand
- care
- în timp ce
- OMS
- voi
- ferestre
- cu
- în
- Yahoo
- an
- zephyrnet