Angriparna blir snabbare. Ny forskning avslöjar att de har rakat några minuter till från tiden de behöver för att övergå från att få första åtkomst till ett system, till deras försök att attackera andra enheter på samma nätverk.
CrowdStrike hittar det genomsnittliga intrånget som krävs 79 minuter efter den första kompromissen innan en attack startas mot andra system i ett nätverk. Det är en minskning från 84 minuter 2022. CrowdStrike's 2023 års hotsjaktsrapport, publicerad på tisdagen, avslöjar också att den snabbaste tiden var sju minuter mellan den första åtkomsten och försöken att förlänga kompromissen, baserat på mer än 85,000 2022 incidenter som behandlades XNUMX.
En angripares huvudsakliga mål är att flytta till andra system och etablera en närvaro i nätverket, så att även om incidentbekämpare sätter det ursprungliga systemet i karantän, så kan angriparen fortfarande komma tillbaka, säger Param Singh, vice vd för CrowdStrikes säkerhetstjänst OverWatch. Dessutom vill angripare få tillgång till andra system via legitima användaruppgifter, säger han.
"Om de blir domänkontrollanten är det slut och de har tillgång till allt", säger Singh. "Men om de inte kan bli domänadministratörer kommer de att gå efter nyckelpersoner som har bättre tillgång till [värdefulla] tillgångar ... och försöka eskalera sina privilegier till dessa användare."
Utbrottstiden är ett mått på en angripares smidighet när de äventyrar företagsnätverk. En annan åtgärd som försvarare använder är tiden det tar mellan den första kompromissen och upptäckten av angriparen, känd som uppehållstid, som nådde den lägsta nivån på 16 dagar 2022, enligt incidentresponsfirman Mandiant's årliga M-Trends-rapport. Tillsammans tyder de två mätvärdena på att de flesta angripare snabbt drar fördel av en kompromiss och har carte blanche i mer än två veckor innan de upptäcks.
Interactive Intrusions Now the Norm
Angripare har fortsatt sitt skifte till interaktiva intrång, som växte med 40 % under andra kvartalet 2023, jämfört med samma kvartal för ett år sedan, och står för mer än hälften av alla incidenter, enligt CrowdStrike.
Majoriteten av interaktiva intrång (62 %) involverade missbruk av legitima identiteter och kontoinformation. Insamlingen av identitetsinformation tog också fart, med 160 % ökade ansträngningar för att "samla hemliga nycklar och annat referensmaterial", samtidigt som insamlingen av Kerberos-information från Windows-system för senare sprickbildning, en teknik som kallas Kerberoasting, ökade med nästan 600 %. CrowdStrike Threat Hunting rapport anges.
Angripare skannar också arkiv där företag av misstag publicerar identitetsmaterial. I november 2022 skickade en organisation av misstag sitt root-kontos åtkomstnyckeluppgifter till GitHub, vilket framkallade ett snabbt svar från angripare, sa CrowdStrike.
"Inom några sekunder försökte automatiserade skannrar och flera hotaktörer använda de komprometterade uppgifterna", stod det i rapporten. "Hastigheten med vilken detta missbruk initierades tyder på att flera hotaktörer - i ansträngningar att rikta in sig på molnmiljöer - upprätthåller automatiserade verktyg för att övervaka tjänster som GitHub för läckta molnuppgifter."
Väl på ett system använder angripare maskinens egna verktyg – eller laddar ner legitima verktyg – för att undvika varsel. Så kallade "leva av marken”-tekniker förhindrar upptäckt av mer uppenbar skadlig programvara. Föga överraskande har motståndare tredubblat sin användning av legitima verktyg för fjärrhantering och övervakning (RMM), som AnyDesk, ConnectWise och TeamViewer, enligt CrowdStrike.
Angripare fortsätter att fokusera på molnet
Eftersom företag har anammat moln för mycket av sin operativa infrastruktur - särskilt efter starten av coronavirus-pandemin - har angripare följt efter. CrowdStrike observerade fler "molnmedvetna" attacker, med molnexploateringen nästan fördubblades (upp 95 %) under 2022.
Ofta fokuserar attackerna på Linux, eftersom den vanligaste arbetsbelastningen i molnet är Linux-behållare eller virtuella maskiner. Privilegiumeskaleringsverktyget LinPEAS användes i tre gånger fler intrång än det näst vanligaste missbrukade verktyget, sa CrowdStrike.
Trenden kommer bara att accelerera, säger CrowdStrikes Singh.
"Vi ser att hotaktörer blir mer molnmedvetna - de förstår molnmiljön och de förstår de felkonfigurationer som vanligtvis ses i molnet", säger han. "Men den andra saken som vi ser är ... hotaktören som kommer in i en maskin på den lokala sidan och sedan använder referenserna och allt för att flytta till molnet ... och orsaka mycket skada."
Separat tillkännagav CrowdStrike att de planerar att kombinera sina hot-intelligens- och hot-jaktteam till en enda enhet, Counter Adversary Operations-gruppen, sade företaget i ett pressmeddelande på augusti 8.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/attacker-breakout-time-shrinks-again-underscoring-need-for-automation
- :är
- :var
- $UPP
- 000
- 16
- 2022
- 2023
- 7
- 8
- 84
- 95%
- a
- missbruk
- accelerera
- tillgång
- Enligt
- Konto
- aktörer
- Dessutom
- administration
- antagen
- Fördel
- Efter
- igen
- sedan
- Alla
- också
- an
- och
- meddelade
- Annan
- ÄR
- AS
- Tillgångar
- attackera
- Attacker
- försökte
- Försök
- AUGUSTI
- Automatiserad
- Automation
- genomsnitt
- medveten
- tillbaka
- baserat
- därför att
- blir
- passande
- innan
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- mellan
- breakout
- men
- by
- KAN
- kan inte
- Orsak
- cloud
- samla
- samling
- kombinera
- komma
- Gemensam
- vanligen
- Företag
- företag
- jämfört
- kompromiss
- Äventyras
- komprometterande
- Behållare
- fortsätta
- fortsatte
- styrenhet
- corona~~POS=TRUNC
- Coronavirus-pandemi
- Företag
- Motverka
- CREDENTIAL
- referenser
- Dagar
- Försvararna
- detekterad
- Detektering
- enheter
- domän
- fördubbling
- ner
- ladda ner
- ansträngningar
- enhet
- Miljö
- miljöer
- eskalera
- eskalering
- fly
- speciellt
- etablera
- Även
- allt
- utnyttjande
- förlänga
- snabbast
- få
- fynd
- Firm
- Fokus
- följt
- efter
- För
- från
- Få
- få
- lek
- få
- GitHub
- Go
- Målet
- Grupp
- Hälften
- skörd
- Har
- he
- Träffa
- html
- HTTPS
- Jakt
- identiteter
- Identitet
- if
- in
- incident
- incidentrespons
- Öka
- individer
- informationen
- Infrastruktur
- inledande
- initieras
- interaktiva
- in
- involverade
- IT
- DESS
- jpg
- Nyckel
- nycklar
- känd
- senare
- lansera
- legitim
- tycka om
- linux
- Lot
- Låg
- Maskinen
- Maskiner
- Huvudsida
- bibehålla
- Majoritet
- malware
- ledning
- Materialet
- mäta
- Metrics
- minuter
- Övervaka
- övervakning
- mer
- mest
- flytta
- mycket
- multipel
- nästan
- Behöver
- nät
- nätverk
- Nya
- Nästa
- Lägga märke till..
- November
- nu
- Uppenbara
- of
- sänkt
- on
- ONE
- endast
- operativa
- Verksamhet
- or
- organisation
- ursprungliga
- Övriga
- över
- Overwatch
- egen
- pandemi
- planer
- plato
- Platon Data Intelligence
- PlatonData
- Närvaron
- VD
- tryck
- förhindra
- privilegium
- privilegier
- Bearbetad
- publicera
- publicerade
- sköt
- karantän
- Kvartal
- Snabbt
- snabbare
- snabbt
- avlägsen
- rapport
- Obligatorisk
- forskning
- respons
- avslöjar
- rot
- s
- Nämnda
- Samma
- säger
- scanning
- Andra
- andra kvarten
- sekunder
- Secret
- säkerhet
- se
- sett
- service
- Tjänster
- sju
- skifta
- sida
- enda
- So
- fart
- starta
- anges
- Fortfarande
- sådana
- föreslå
- Föreslår
- system
- System
- Ta
- tar
- Målet
- lag
- tekniker
- än
- den där
- Smakämnen
- deras
- sedan
- de
- sak
- detta
- de
- hot
- hotaktörer
- tre
- tid
- gånger
- till
- tillsammans
- tog
- verktyg
- verktyg
- övergång
- Trend
- prova
- Tisdag
- två
- typiskt
- förstå
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- verktyg
- Värdefulla
- via
- vice
- Vice President
- Virtuell
- vill
- var
- we
- veckor
- när
- som
- medan
- VEM
- kommer
- fönster
- med
- inom
- Yahoo
- år
- zephyrnet