Эксплуатация уязвимостей, а не фишинг, является основным вектором кибератак для первоначальной компрометации

Взломы, связанные с фишингом и компрометацией учетных данных, в последние годы привлекали большое внимание из-за того, как часто злоумышленники использовали эту тактику для выполнения как целевых, так и оппортунистических атак. Но это не означает, что корпоративные организации могут позволить себе меньше внимания уделять исправлению уязвимостей.

Отчет «Лаборатории Касперского» на этой неделе выявил больше первоначальных вторжений в прошлом году в результате эксплуатации уязвимостей в приложениях, ориентированных на Интернет, чем взломов, связанных с вредоносными электронными письмами и скомпрометированными учетными записями. сочетании . И данные, которые компания собрала за второй квартал 2022 года, показывают, что та же тенденция может проявиться и в этом году.

Анализ «Лаборатории Касперского» на 2021 г. данные реагирования на инциденты показали, что нарушения, связанные с использованием уязвимостей, выросли с 31.5% всех инцидентов в 2020 году до 53.6% в 2021 году. За тот же период количество атак, связанных с использованием скомпрометированных учетных записей для получения первоначального доступа, снизилось с 31.6% в 2020 году до 17.9. % в прошлом году. Первоначальные вторжения в результате фишинговых писем снизились с 23.7% до 14.3% за тот же период.

Недостатки сервера Exchange подпитывают безумие эксплойтов

«Лаборатория Касперского» объяснила всплеск активности эксплойтов в прошлом году, вероятно, связанным с несколькими критическими уязвимостями Exchange Server, которые раскрыла Microsoft, в том числе с набором из четырех нулевых дней в марте 2021 года, известных как Недостатки ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Объединенные в цепочку, они позволяли злоумышленникам получить полный удаленный контроль над локальными серверами Exchange. 

Злоумышленники, в том числе организованные преступные группировки и спонсируемые государством группы из Китая, быстро воспользовались десятками тысяч уязвимых систем Exchange Server и установили на них веб-оболочки до того, как Microsoft смогла выпустить патч для устранения недостатков. Уязвимости вызвали серьезную озабоченность из-за их повсеместного распространения и серьезности. Они даже побудили министерство юстиции США уполномочить ФБР на беспрецедентный шаг проактивное удаление веб-оболочек ProxyLogon с серверов, принадлежащих сотням организаций — в большинстве случаев без какого-либо уведомления.

Активность эксплойтов в 2021 году также стимулировала еще одна тройка уязвимостей Exchange Server. под общим названием ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), которые злоумышленники широко использовали для удаления программ-вымогателей и компрометации корпоративной электронной почты (BEC).

Спустя более года уязвимости ProxyLogon и ProxyShell по-прежнему являются объектами активных эксплойтов, говорит Константин Сапронов, руководитель глобальной группы реагирования на чрезвычайные ситуации «Лаборатории Касперского». Один из самых серьезных из этих недостатков (CVE-2021-26855) также был наиболее целенаправленным. «Лаборатория Касперского» наблюдала, как уязвимость — часть набора ProxyLogon — использовалась в 22.7% всех инцидентов, связанных с использованием уязвимостей, на которые она отреагировала в 2021 году, и, по словам Сапронова, эта уязвимость продолжает оставаться фаворитом среди злоумышленников и в этом году.

Та же тенденция эксплуатации, вероятно, повторится в 2022 году

Несмотря на то, что в этом году обнаружилось несколько серьезных уязвимостей, в том числе вездесущая уязвимость Apache Log4j (CVE-2021-44228) — наиболее часто используемые уязвимости 2021 года остаются очень распространенными и в 2022 году, говорит Сапронов, даже если не считать ошибок сервера Exchange. Например, «Лаборатория Касперского» определила уязвимость в движке браузера Microsoft MSHTML (CVE-2021-40444, исправлена ​​в сентябре прошлого года) как наиболее сильно атакованная уязвимость во втором квартале 2022 года.

«Уязвимости в популярных программах, таких как MS Exchange Server и библиотека Log4j, привели к огромному количеству атак», — отмечает Сапронов. «Мы советуем корпоративным клиентам уделять пристальное внимание вопросам управления исправлениями».

Время уделить приоритетное внимание исправлению

Другие отмечают аналогичный всплеск активности использования уязвимостей. В апреле исследователи из группы по исследованию угроз Unit 42 компании Palo Alto Networks отметили, как 31%, или почти каждый третий случай, они проанализировали до этого момента в 2022 году, связанные с использованием уязвимостей. Более чем в половине (55%) из них злоумышленники нацелились на ProxyShell. 

Исследователи из Пало-Альто также обнаружили, что злоумышленники обычно сканируют системы с только что обнаруженной уязвимостью буквально через несколько минут после объявления CVE. В одном случае они обнаружили уязвимость обхода аутентификации в сетевом устройстве F5 (CVE-2022-1388), которая была атакована 2,552 раза в течение первых 10 часов после раскрытия уязвимости.

Активность после эксплуатации трудно заметить

Анализ «Лаборатории Касперского» своих данных реагирования на инциденты показал, что почти в 63% случаев злоумышленникам удавалось оставаться незамеченными в сети более месяца после получения первоначального входа. Во многих случаях это было связано с тем, что злоумышленники использовали законные инструменты и платформы, такие как PowerShell, Mimikatz и PsExec, для сбора данных, повышения привилегий и выполнения команд. 

Когда кто-то быстро замечал нарушение, обычно это происходило потому, что злоумышленники нанесли очевидный ущерб, например, во время атаки программы-вымогателя. «Обнаружить атаку программ-вымогателей легко, когда ваши данные зашифрованы, сервисы недоступны, а на вашем мониторе висит записка с требованием выкупа, — говорит Сапронов.

Но когда целью являются данные компании, злоумышленникам нужно больше времени, чтобы бродить по сети жертвы, чтобы собрать необходимую информацию. В таких случаях злоумышленники действуют более скрытно и осторожно, что затрудняет обнаружение подобных атак. «Для обнаружения таких случаев мы предлагаем использовать стек инструментов безопасности с телеметрией, подобной расширенному обнаружению и реагированию (EDR), и внедрить правила для обнаружения всепроникающих инструментов, используемых злоумышленниками», — говорит он.

Майк Паркин, старший технический инженер Vulcan Cyber, говорит, что основной вывод для корпоративных организаций заключается в том, что злоумышленники воспользуются любой возможностью, чтобы взломать сеть. 

«При наличии целого ряда уязвимостей, которые можно использовать, неудивительно увидеть всплеск», — говорит он. Он отмечает, что трудно сказать, выше ли число уязвимостей по сравнению с атаками на учетные данные с использованием социальной инженерии. 

«Но суть в том, что злоумышленники будут использовать работающие эксплойты. Если в каком-то сервисе Windows появится новый удаленный код, злоумышленники обратятся к нему и взломают столько систем, сколько смогут, прежде чем выйдут исправления или будут развернуты правила брандмауэра», — говорит он.

Настоящая проблема — это уязвимости с длинным хвостом: более старые, такие как ProxyLogon, с уязвимыми системами, которые были пропущены или проигнорированы, говорит Паркин, добавляя, что исправление должно быть приоритетом.