Rośnie liczba złośliwego oprogramowania typu Hunter-Killer


Wyspecjalizowany łowca-zabójca złośliwe oprogramowanie który jest w stanie zidentyfikować i wyłączyć kluczowe narzędzia bezpieczeństwa cybernetycznego, takie jak zapory ogniowe nowej generacji, oprogramowanie antywirusowe oraz rozwiązania do wykrywania i reagowania na punkty końcowe (EDR), odnotował czterokrotny wzrost wolumenu w 2023 r., co świadczy o dramatycznej zmianie zdolności podmiotów zagrażających do neutralizowania obrony przedsiębiorstw.

Tak wynika z najnowszego raportu Picus Security coroczny Raport Picus Redw ramach którego przeanalizowano ponad 600 000 próbek szkodliwego oprogramowania zaobserwowanych w tym okresie i przypisano średnio 11 technik na złośliwe oprogramowanie na ponad siedem milionów Mitra ATT&CK techniki.

„Jesteśmy świadkami wzrostu liczby ultrawymykających się, wysoce agresywnych szkodliwych programów, które mają cechy łodzi podwodnych-zabójców” – powiedział Suleyman Ozarslan, współzałożyciel Picus Security i wiceprezes jednostki badawczej Picus Labs firmy, która przygotowała raport dane.

„Tak jak te łodzie podwodne płyną cicho po głębokich wodach i przeprowadzają niszczycielskie ataki, aby pokonać obronę swoich celów, tak nowe złośliwe oprogramowanie ma nie tylko omijać narzędzia bezpieczeństwa, ale także aktywnie je niszczyć. Uważamy, że cyberprzestępcy zmieniają taktykę w odpowiedzi na znaczną poprawę bezpieczeństwa przeciętnych firm i powszechnie stosowane narzędzia oferujące znacznie bardziej zaawansowane możliwości wykrywania zagrożeń.

„Rok temu przeciwnicy wyłączali kontrole bezpieczeństwa stosunkowo rzadko. Obecnie takie zachowanie widać w jednej czwartej próbek złośliwego oprogramowania i jest wykorzystywane przez praktycznie każdą grupę zajmującą się oprogramowaniem ransomware oraz grupę APT” – powiedział Ozarslan.

„Jesteśmy świadkami wzrostu liczby ultrawymykających się, wysoce agresywnych szkodliwych programów, które mają cechy łodzi podwodnych myśliwych i zabójców”

Suleyman Ozarslan, ochrona Picus

Wykorzystywanie złośliwego oprogramowania typu „hunter-killer” stanowi technikę Mitre ATT&CK oznaczoną jako T1562 Impair Defence, a dramatyczny wzrost jej wykorzystania sprawił, że stała się ona trzecią najczęściej obserwowaną techniką Mitre w 2023 r.

Reklama

Picus stwierdził, że wzrost ten został dodatkowo zniuansowany przez zmianę przeznaczenia narzędzi zapewniających bezpieczeństwo cybernetyczne na złośliwe narzędzia. Na przykład w 2023 roku ekipa oprogramowania ransomware LockBit zamieniła narzędzie antyrootkitowe TDSSKiller firmy Kaspersky w broń aby zabić oprogramowanie zabezpieczające punkt końcowy – w tym Microsoft Defender.

Gwałtowny wzrost liczby szkodliwego oprogramowania typu „myśli” wpisuje się w szerszy trend, zgodnie z którym ugrupowania cyberprzestępcze optymalizują swoje szanse na pomyślne ataki, omijając cyberobronę swoich ofiar – 70% złośliwego oprogramowania przeanalizowanego na potrzeby raportu wykorzystuje obecnie techniki ukrywania się, aby uniknąć wykrycia oraz ustanowić i utrzymać trwałość . Picus zaobserwował podwojenie wykorzystania zaciemnionych plików lub informacji, których celem jest utrudnianie skuteczności narzędzi bezpieczeństwa oraz unikanie wykrycia, reakcji na incydenty i późniejszej analizy kryminalistycznej.

„Wykrycie, czy atak spowodował wyłączenie lub zmianę konfiguracji narzędzi bezpieczeństwa, może być niezwykle trudne, ponieważ może się wydawać, że nadal działają zgodnie z oczekiwaniami” – powiedział Huseyin Can Yuceel, kierownik ds. badań nad bezpieczeństwem w Picus Security.

„Zapobieganie atakom, które w innym przypadku byłyby niezauważone, wymaga stosowania wielu środków kontroli bezpieczeństwa w ramach podejścia polegającego na dogłębnej obronie. Walidacja bezpieczeństwa musi być dla organizacji punktem wyjścia do lepszego zrozumienia swojej gotowości i zidentyfikowania luk.

„Chyba że organizacja aktywnie symuluje ataki, aby ocenić reakcję swoich ataków EDR, XDR [extended detection and response], SIEM [security information and event management]i inne systemy obronne, które mogą zostać osłabione lub wyeliminowane przez złośliwe oprogramowanie zabójcze, nie zorientują się, że nie działają, dopóki nie będzie za późno” – powiedział Yuceel.

10 najczęściej obserwowanych taktyk, technik i procedur Mitre ATT&CK (TTP) widocznych w danych Picus to:

  1. Wstrzykiwanie procesu T1055 — wykorzystywane w celu zwiększenia zdolności ugrupowania zagrażającego do pozostania niewykrytym i potencjalnego podniesienia jego uprawnień poprzez wstrzyknięcie złośliwego kodu do legalnego procesu, maskując w ten sposób to, co się naprawdę dzieje.
  2. Interpreter poleceń i skryptów T1059 – używany do wykonywania poleceń, skryptów i plików binarnych w systemie ofiary, umożliwiając cyberprzestępcom interakcję z zaatakowanym systemem, pobieranie większej liczby ładunków i narzędzi lub ominięcie środków obronnych.
  3. T1562 Impair Defenses – szczegółowo opisano wykorzystanie złośliwego oprogramowania typu „łowca-zabójca”.
  4. T1082 Wykrywanie informacji o systemie – służy do gromadzenia danych o zaatakowanym systemie, takich jak wersja systemu operacyjnego, identyfikator jądra i potencjalne luki w zabezpieczeniach, poprzez wykorzystanie wbudowanych narzędzi.
  5. T1486 Data Encrypted for Impact – używany przez szafki ransomware i narzędzia do usuwania danych.
  6. T1003 OS Credential Dumping – używany do uzyskiwania loginów do kont i danych uwierzytelniających w celu uzyskania dostępu do innych zasobów i systemów w środowisku ofiary.
  7. Protokół warstwy aplikacji T1071 – używany do manipulowania standardowymi protokołami sieciowymi, co umożliwia atakującym infiltrację systemów i kradzież danych poprzez wmieszanie się w normalny ruch sieciowy.
  8. T1547 Boot or Logon Autostart Execution – służy do konfigurowania ustawień systemowych w celu automatycznego uruchamiania programów podczas uruchamiania systemu lub logowania użytkowników, w celu utrzymania kontroli lub eskalacji uprawnień.
  9. T1047 Instrumentacja zarządzania Windows (WMI) – używana do wykonywania złośliwych poleceń i ładunków na zaatakowanych hostach z systemem Windows poprzez wykorzystanie narzędzia do zarządzania danymi i operacjami WMI.
  10. T1027 Zaciemniane pliki lub informacje – używane do ukrywania zawartości złośliwego pliku lub pliku wykonywalnego podczas przesyłania poprzez jego szyfrowanie, kodowanie lub kompresję.

Ozarslan stwierdził, że aby zwalczać złośliwe oprogramowanie zabójcze dla łowców i nie wyprzedzić niektórych innych TTP, które mają być nadal dobrze wykorzystywane w 2024 r., organizacje muszą zrobić więcej, aby zweryfikować swoje zabezpieczenia przed strukturą Mitre ATT&CK i przyjąć w razie potrzeby wykorzystanie uczenia maszynowego jako asystenta.

Można przygotować pełny raport, zawierający wiele szczegółów na temat najczęściej obserwowanych technik Mitre ATT&CK pobrany z Picus Security tutaj.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Apple @ Work: wdrożenie Meraki w T-Mobile uwypukla niewykorzystaną szansę dla Apple

Usługa Apple @ Work jest dostarczana wyłącznie przez firmę Mosyle, jedyna zunifikowana platforma Apple. Mosyle to jedyne rozwiązanie, które integruje w jednej...

Czego można się spodziewać po MWC 2024

Nie szukając żadnych przecieków ani plotek, założę się, że prawdopodobnie mógłbyś naszkicować większość telefonów, o których mówi się, że mają premierę o godz....

MWC 2024: wszystkie telefony, urządzenia do noszenia i gadżety zaprezentowane w Barcelonie

Oferta telefonów Xiaomi ma nowego lidera. The Xiaomi 14 Ultra właśnie pojawił się w Chinach i oferuje szereg imponujących parametrów fotograficznych, w...
Advertisment