Зломи, пов’язані з фішингом і компрометацією облікових даних, привернули багато уваги останніми роками через те, як часто зловмисники використовували тактику для виконання як цілеспрямованих, так і опортуністичних атак. Але це не означає, що корпоративні організації можуть дозволити собі трохи зменшити свою увагу на виправленні вразливостей.
У звіті Kaspersky цього тижня виявлено більше початкових вторгнень минулого року в результаті використання вразливостей в інтернет-додатках, ніж зловмисних електронних листів і скомпрометованих облікових записів. комбінований. Дані, зібрані компанією протягом другого кварталу 2022 року, свідчать про те, що така ж тенденція може спостерігатися і цього року.
Аналіз Касперського свого 2021 року Дані реагування на інциденти показали, що порушення, пов’язані з використанням уразливостей, зросли з 31.5% усіх інцидентів у 2020 році до 53.6% у 2021 році. За той самий період кількість атак, пов’язаних із використанням скомпрометованих облікових записів для отримання початкового доступу, знизилася з 31.6% у 2020 році до 17.9 % минулого року. Початкові вторгнення в результаті фішингових електронних листів за той самий період зменшилися з 23.7% до 14.3%.
Недоліки сервера Exchange підживлюють шаленство експлойтів
Касперський пояснює, що сплеск активності експлойтів минулого року, ймовірно, пов’язаний із кількома критичними вразливими місцями Exchange Server, які оприлюднила Microsoft, включаючи набір чотирьох нульових днів у березні 2021 року, відомих як Недоліки ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Об’єднані разом, вони дозволяли зловмисникам отримати повний віддалений контроль над локальними серверами Exchange Server.
Зловмисники, серед яких були організовані злочинні угруповання та спонсоровані державою групи з Китаю, швидко використали десятки тисяч уразливих систем Exchange Server і скинули на них веб-оболонки, перш ніж Microsoft змогла випустити виправлення для недоліків. Уразливі місця викликали значне занепокоєння через їх всюдисущість і серйозність. Вони навіть спонукали Міністерство юстиції США дозволити ФБР піти на безпрецедентний крок проактивне видалення веб-оболонок ProxyLogon із серверів, що належать сотням організацій — у більшості випадків без жодного повідомлення.
Крім того, у 2021 році активність експлойтів викликала ще одна трійка вразливостей Exchange Server під загальною назвою ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), які зловмисники широко використовували для видалення програм-вимагачів і під час атак компрометації бізнес-електронної пошти (BEC).
Понад рік потому вразливості ProxyLogon і ProxyShell продовжують бути об’єктами інтенсивної експлойт-активності, говорить Костянтин Сапронов, керівник глобальної групи реагування на надзвичайні ситуації Kaspersky. Один із найсерйозніших недоліків (CVE-2021-26855) також було найбільш цільовим. Kaspersky спостерігав, як уразливість — частина набору ProxyLogon — використовувалася в 22.7% усіх інцидентів із використанням уразливостей, на які він реагував у 2021 році, і ця вада продовжує залишатися улюбленою серед зловмисників і цього року, за словами Сапронова.
Така ж тенденція експлуатації, ймовірно, збережеться в 2022 році
Незважаючи на те, що цього року було виявлено кілька серйозних уразливостей, зокрема повсюдна вразливість Apache Log4j (CVE-2021-44228) — найбільш використовувані вразливості 2021 року залишаються дуже поширеними і в 2022 році, каже Сапронов, навіть окрім помилок сервера Exchange. Наприклад, Kaspersky виявив недолік у браузері Microsoft MSHTML (CVE-2021-40444, виправлено у вересні минулого року) як найбільший сильно атакована вразливість у другому кварталі 2022 року.
«Уразливості в популярному програмному забезпеченні, такому як MS Exchange Server і бібліотека Log4j, призвели до величезної кількості атак», — зазначає Сапронов. «Наша порада корпоративним клієнтам — звернути пильну увагу на проблеми керування виправленнями».
Час визначити пріоритети виправлення
Інші відзначили подібний сплеск активності використання вразливостей. У квітні дослідники з групи дослідження загроз Unit 42 Palo Alto Networks помітили, як 31% або майже кожен третій випадок, які вони проаналізували до того моменту в 2022 році, включали використання вразливостей. У більш ніж половині (55%) з них зловмисники націлилися на ProxyShell.
Дослідники з Пало-Альто також виявили, що суб’єкти загрози зазвичай сканують системи з щойно виявленою вадою буквально через кілька хвилин після оголошення CVE. В одному випадку вони помітили помилку обходу автентифікації в мережевому пристрої F5 (CVE-2022-1388), яка була спрямована 2,552 рази протягом перших 10 годин після розкриття вразливості.
Діяльність після експлуатації важко помітити
Аналіз Kaspersky своїх даних щодо реагування на інциденти показав, що майже в 63% випадків зловмисникам вдавалося залишатися непоміченими в мережі більше місяця після першого проникнення. У багатьох випадках це було тому, що зловмисники використовували законні інструменти та фреймворки, такі як PowerShell, Mimikatz і PsExec, щоб збирати дані, підвищувати привілеї та виконувати команди.
Коли хтось швидко помітив злом, зазвичай це було тому, що зловмисники завдали очевидної шкоди, наприклад під час атаки програм-вимагачів. «Легко виявити атаку програм-вимагачів, коли ваші дані зашифровані, оскільки сервіси недоступні, а на вашому моніторі є повідомлення про викуп», — говорить Сапронов.
Але коли метою є дані компанії, зловмисникам потрібно більше часу, щоб блукати по мережі жертви, щоб зібрати необхідну інформацію. У таких випадках зловмисники діють більш приховано та обережно, що ускладнює виявлення таких атак. «Щоб виявити такі випадки, ми пропонуємо використовувати стек інструментів безпеки з телеметрією, подібною до розширеного виявлення та реагування (EDR), і запровадити правила для виявлення поширених інструментів, які використовуються зловмисниками», — говорить він.
Майк Паркін, старший технічний інженер Vulcan Cyber, каже, що реальним висновком для корпоративних організацій є те, що зловмисники скористаються будь-якою можливістю, щоб зламати мережу.
«З низкою вразливостей, які можна використовувати, не дивно побачити зростання», — каже він. Важко сказати, чи є цифри вищими для вразливостей через соціально спроектовані атаки облікових даних, зауважує він.
«Але суть полягає в тому, що зловмисники використовуватимуть ті експлойти, які працюють. Якщо в якійсь службі Windows з’явиться новий експлойт для віддаленого коду, вони звернуться до нього та зламатимуть стільки систем, скільки зможуть, перш ніж з’являться патчі або розгортатимуться правила брандмауера», — каже він.
Справжньою проблемою є вразливості з довгим хвостом: старіші, як-от ProxyLogon, з уразливими системами, які були пропущені або проігноровані, каже Паркін, додаючи, що виправлення має бути пріоритетом.
