Tweet
Hunter-Killer pahavara hulk on oluliselt kasvanud
Picus Security teadlaste sõnul võtavad häkkerid üha enam kasutusele ülimalt vältimatut, väga agressiivset pahavara, mis suudab leida ja sulgeda ohustatud süsteemides ettevõtte turvatööriistu, mis võimaldab pahategijal kauem avastamata jääda. Värskeim Picuse turvalisuse aruanne pahavara taktikate, tehnikate ja protseduuride kohta näitab, et üha enam keskendutakse turvalisuse kaitsemehhanismide keelamisele
1 — Spetsiaalne jahimees-tapja pahavara, mis suudab tuvastada ja keelata võtmetähtsusega küberturbe tööriistu, nagu järgmise põlvkonna tulemüürid, viirusetõrjetarkvara ning lõpp-punkti tuvastamise ja reageerimise (EDR) lahendused, kasvas 2023. aastal neljakordseks, mis näitab dramaatilist nihet ohus. osaliste võimet neutraliseerida ettevõtte kaitsemehhanismid.
See on vastavalt Picus Security uusimale iga-aastasele Picus red aruandele, milles analüüsiti rohkem kui 600 000 perioodil täheldatud pahatahtlikku näidist ja kaardistati keskmiselt 11 tehnikat pahavara kohta enam kui seitsme miljoni Mitre ATT&CK tehnikaga.
"Oleme tunnistajaks ülimalt vältimatu ja väga agressiivse pahavara kasvule, mis jagab jahimeeste-tapjate allveelaevade omadusi," ütles Suleyman Ozarslan, Picus Security kaasasutaja ja aruande koostanud Picus Labsi uurimisüksuse Picus Labsi asepresident. andmeid.
Nii nagu need allveelaevad liiguvad vaikselt läbi sügavate vete ja käivitavad laastavaid rünnakuid, et lüüa oma sihtmärkide kaitset, on uus pahavara loodud mitte ainult turvatööriistadest kõrvale hoidma, vaid ka neid aktiivselt alla suruma. Usume, et küberkurjategijad on muutmas oma tegevust, kuna keskmiste ettevõtete turvalisus on oluliselt paranenud ja laialdaselt kasutatavad tööriistad pakuvad palju täiustatud võimalusi ohtude tuvastamiseks.
2 — "Aasta tagasi oli suhteliselt haruldane, et vastased keelasid turvakontrolli. Nüüd on seda käitumist näha veerandis pahavaranäidistest ja seda kasutavad praktiliselt kõik lunavaragrupid ja APT-rühmad,“ ütles Ozarslan.
"Oleme tunnistajaks ülimalt kõrvalehoidva ja väga agressiivse pahavara kasvule, mis jagab jahimeeste-tapjate allveelaevade omadusi."
- Suleyman Ozarslan, Picuse turvalisus
Hunter-Killer pahavara kasutamine kujutab endast Mitre ATT&CK tehnikat, mida jälgitakse kui T1562 Impair Defences, ja selle kasutamise järsk kasv muutis selle 2023. aastal enim täheldatud Mitre tehnikaks.
Picuse sõnul andis kasvu veelgi nüansse küberturvalisuse utiliitide ümberkasutamine pahatahtlikeks tööriistadeks. Näiteks 2023. aastal muutis LockBiti lunavarameeskond Kaspersky juurkomplekti vastase utiliidi TDSSKilleri relvaks, mis hävitab lõpp-punkti turvatarkvara – sealhulgas Microsoft Defenderi.
3 — Hunter-Killer pahavara kasv on osa laiemast suundumusest, mille kohaselt ohustajad optimeerivad oma võimalusi edukateks rünneteks, hoidudes oma ohvrite küberkaitsest kõrvale – 70% aruande jaoks analüüsitud pahavarast kasutab nüüd avastamise vältimiseks ning püsivuse loomiseks ja säilitamiseks vargsi tehnikaid. Picus täheldas hägustatud failide või teabe kasutamise kahekordistumist, mille eesmärk oli takistada turbevahendite tõhusust ning vältida avastamist, intsidentidele reageerimist ja sellele järgnevat kohtuekspertiisi analüüsi.
"Võib olla uskumatult raske tuvastada, kas rünnak on turbetööriistad keelanud või ümber konfigureerinud, sest need võivad siiski näida toimivat ootuspäraselt," ütles Picus Security turbeuuringute juht Huseyin Can Yuceel.
Muidu radari all tegutsevate rünnete ärahoidmine nõuab mitmete turvakontrollide kasutamist põhjaliku kaitsega. Turvalisuse valideerimine peab olema organisatsioonide jaoks lähtepunkt, et mõista paremini oma valmisolekut ja tuvastada lünki.
"Kui organisatsioon ei simuleeri ennetavalt ründeid, et hinnata oma EDR-i, XDR-i [laiendatud tuvastamine ja reageerimine], SIEM-i [turbeteave ja sündmuste haldamine] ja muid kaitsesüsteeme, mida Hunter-Killer pahavara võib nõrgestada või kõrvaldada, ei tea, et nad on maas, enne kui on liiga hilja,” ütles Yuceel.
10 kõige sagedamini täheldatud Mitre ATT&CK taktikat, tehnikat ja protseduuri (TTP), mida Picuse andmetes on näha, on järgmised:
Täieliku aruande, mis sisaldab palju üksikasju kõige sagedamini täheldatud Mitre ATT&CK tehnikate kohta, saab Picus Securityst alla laadida siit.
https://www.computerweekly.com/news/...s-seen-surging
1 — Spetsiaalne jahimees-tapja pahavara, mis suudab tuvastada ja keelata võtmetähtsusega küberturbe tööriistu, nagu järgmise põlvkonna tulemüürid, viirusetõrjetarkvara ning lõpp-punkti tuvastamise ja reageerimise (EDR) lahendused, kasvas 2023. aastal neljakordseks, mis näitab dramaatilist nihet ohus. osaliste võimet neutraliseerida ettevõtte kaitsemehhanismid.
See on vastavalt Picus Security uusimale iga-aastasele Picus red aruandele, milles analüüsiti rohkem kui 600 000 perioodil täheldatud pahatahtlikku näidist ja kaardistati keskmiselt 11 tehnikat pahavara kohta enam kui seitsme miljoni Mitre ATT&CK tehnikaga.
"Oleme tunnistajaks ülimalt vältimatu ja väga agressiivse pahavara kasvule, mis jagab jahimeeste-tapjate allveelaevade omadusi," ütles Suleyman Ozarslan, Picus Security kaasasutaja ja aruande koostanud Picus Labsi uurimisüksuse Picus Labsi asepresident. andmeid.
Nii nagu need allveelaevad liiguvad vaikselt läbi sügavate vete ja käivitavad laastavaid rünnakuid, et lüüa oma sihtmärkide kaitset, on uus pahavara loodud mitte ainult turvatööriistadest kõrvale hoidma, vaid ka neid aktiivselt alla suruma. Usume, et küberkurjategijad on muutmas oma tegevust, kuna keskmiste ettevõtete turvalisus on oluliselt paranenud ja laialdaselt kasutatavad tööriistad pakuvad palju täiustatud võimalusi ohtude tuvastamiseks.
2 — "Aasta tagasi oli suhteliselt haruldane, et vastased keelasid turvakontrolli. Nüüd on seda käitumist näha veerandis pahavaranäidistest ja seda kasutavad praktiliselt kõik lunavaragrupid ja APT-rühmad,“ ütles Ozarslan.
"Oleme tunnistajaks ülimalt kõrvalehoidva ja väga agressiivse pahavara kasvule, mis jagab jahimeeste-tapjate allveelaevade omadusi."
- Suleyman Ozarslan, Picuse turvalisus
Hunter-Killer pahavara kasutamine kujutab endast Mitre ATT&CK tehnikat, mida jälgitakse kui T1562 Impair Defences, ja selle kasutamise järsk kasv muutis selle 2023. aastal enim täheldatud Mitre tehnikaks.
Picuse sõnul andis kasvu veelgi nüansse küberturvalisuse utiliitide ümberkasutamine pahatahtlikeks tööriistadeks. Näiteks 2023. aastal muutis LockBiti lunavarameeskond Kaspersky juurkomplekti vastase utiliidi TDSSKilleri relvaks, mis hävitab lõpp-punkti turvatarkvara – sealhulgas Microsoft Defenderi.
3 — Hunter-Killer pahavara kasv on osa laiemast suundumusest, mille kohaselt ohustajad optimeerivad oma võimalusi edukateks rünneteks, hoidudes oma ohvrite küberkaitsest kõrvale – 70% aruande jaoks analüüsitud pahavarast kasutab nüüd avastamise vältimiseks ning püsivuse loomiseks ja säilitamiseks vargsi tehnikaid. Picus täheldas hägustatud failide või teabe kasutamise kahekordistumist, mille eesmärk oli takistada turbevahendite tõhusust ning vältida avastamist, intsidentidele reageerimist ja sellele järgnevat kohtuekspertiisi analüüsi.
"Võib olla uskumatult raske tuvastada, kas rünnak on turbetööriistad keelanud või ümber konfigureerinud, sest need võivad siiski näida toimivat ootuspäraselt," ütles Picus Security turbeuuringute juht Huseyin Can Yuceel.
Muidu radari all tegutsevate rünnete ärahoidmine nõuab mitmete turvakontrollide kasutamist põhjaliku kaitsega. Turvalisuse valideerimine peab olema organisatsioonide jaoks lähtepunkt, et mõista paremini oma valmisolekut ja tuvastada lünki.
"Kui organisatsioon ei simuleeri ennetavalt ründeid, et hinnata oma EDR-i, XDR-i [laiendatud tuvastamine ja reageerimine], SIEM-i [turbeteave ja sündmuste haldamine] ja muid kaitsesüsteeme, mida Hunter-Killer pahavara võib nõrgestada või kõrvaldada, ei tea, et nad on maas, enne kui on liiga hilja,” ütles Yuceel.
10 kõige sagedamini täheldatud Mitre ATT&CK taktikat, tehnikat ja protseduuri (TTP), mida Picuse andmetes on näha, on järgmised:
- T1055 protsessi sisestamine – kasutatakse selleks, et suurendada ohus osaleja võimet jääda märkamatuks ja potentsiaalselt tõsta oma privileege, sisestades pahatahtlikku koodi seaduslikku protsessi, varjates nii tegelikult toimuvat.
- T1059 käsu- ja skriptitõlk – kasutatakse käskude, skriptide ja binaarfailide täitmiseks ohvrisüsteemis, võimaldades ohus osalejatel suhelda ohustatud süsteemiga, hankida rohkem kasulikke koormusi ja tööriistu või mööda minna kaitsemeetmetest.
- T1562 Impair Defenses – jahimees-tapja pahavara kasutamine vastavalt üksikasjalikele andmetele.
- T1082 System Information Discovery – kasutatakse andmete kogumiseks ohustatud süsteemi kohta, nagu operatsioonisüsteemi versioon, kerneli ID ja võimalikud haavatavused, kasutades sisseehitatud tööriistu.
- T1486 Data Encrypted for Impact – kasutavad lunavarakapid ja andmepuhastid.
- T1003 OS Credential Dumping – kasutatakse konto sisselogimiste ja mandaatide hankimiseks, et pääseda ligi teistele ohvrikeskkonna ressurssidele ja süsteemidele.
- T1071 Application Layer Protocol – kasutatakse standardsete võrguprotokollidega manipuleerimiseks, mis võimaldab ründajatel tungida süsteemidesse ja varastada andmeid, sulandudes tavapärasesse võrguliiklusse.
- T1547 Boot või Login Autostart Execution – kasutatakse süsteemisätete konfigureerimiseks, et käivitada automaatselt programme, kui süsteemid käivituvad või kasutajad sisse logivad, eesmärgiga säilitada juhtimine või suurendada privileege.
- T1047 Windows Management Instrumentation (WMI) – kasutatakse pahatahtlike käskude ja koormuste täitmiseks ohustatud Windowsi hostidel, kasutades ära WMI andmete ja operatsioonide haldustööriista.
- T1027 Hägustatud failid või teave – kasutatakse pahatahtliku faili või käivitatava faili sisu varjamiseks edastamisel selle krüptimise, kodeerimise või tihendamise teel.
Täieliku aruande, mis sisaldab palju üksikasju kõige sagedamini täheldatud Mitre ATT&CK tehnikate kohta, saab Picus Securityst alla laadida siit.
https://www.computerweekly.com/news/...s-seen-surging