TrickBot ve Emotet suşları proses enjeksiyonunu en yaygın saldırı tekniği haline getirir

Bir Kırmızı Kanarya çalışması, tehditleri belirlemek için altı milyon adayı analiz etti ve 2019'da solucanların en önemli etkiye sahip olduğunu buldu.

Mimecast 202 milyar e-posta analizinde Hizmet Olarak Kötü Amaçlı Yazılım trendini takip ediyor
Yazılım güvenlik şirketi 4. çeyrekte 92 milyar kötü niyetli posta, Emotet ve fidye yazılımında ani artış tespit etti.
http://www.techrepublic.com/

Siber güvenlik firması Red Canary'deki araştırmacılar, 2019'da yaklaşık 15.000 onaylanmış tehdidi analiz etti ve hangi tehditlerin en yaygın olduğunu anladılar ve raporun "mümkün olduğunca çok sayıda sistemi enfekte etmek için otomatik yanal hareketten yararlanan tehditler" olduğunu belirterek bu yılki sıralamasında en önemli etki. Kızıl Kanarya 2020 Tehdit Tespit Raporu, şirket, Ocak 2019'dan Aralık 2019'a kadar altı milyon soruşturma potansiyelini analiz etti ve dünya çapındaki kuruluşların karşılaştığı en yaygın siber saldırı tekniklerini geliştirdi.

Red Canary'nin verileri güncellenmiş güvenlik operasyonlarına ve analizlere dayandığından ve yalnızca olay yanıtına dayandığından, ekibi tradecraft'ta benzersiz optiklere ve saldırı yaşam döngüsünü kapsayan trendlere sahiptir. TrickBot ve Emotet gibi kötü amaçlı yazılım türleri, Red Canary'deki tehdit algılama ve yanıt uzmanlarına göre yaygındı.

"Solucan benzeri davranış sergileyen çok sayıda tehdit belki de 2020 Tehdit Tespit Raporundan en açık eğilimdir ve TrickBot bu etkinliğin ana itici gücüdür. Öne çıkan bir diğer eğilim de yanal hareket için uzaktan yönetim ve ağ yönetim araçlarının kullanılmasıdır. ve icra "dedi.

"Solucanlar, TrickBot ve / veya uzak yönetici araçlarının kullanımı bu tekniklerin yaygınlığını tamamen açıklamıyor, ancak önemli bir rol oynuyorlar. Anekdot olarak, solucanlar 2010'ların son yarısında giderek yaygınlaştı. ilk olarak 2016 yılında hastaneleri etkileyen fidye yazılımı olaylarının döküntüsü, 2017'de WannaCry ve NotPetya salgınları ve daha yakın zamanda 2019'da belediye hükümet organizasyonlarına yönelik büyük ölçekli fidye yazılımı saldırıları ile. 2020 Tehdit Tespit Raporu sadece bu eğilimi verilerle desteklemiyor, ayrıca bu yeni paradigmanın sıklıkla nasıl oynandığına dair spesifik örnekler de sunuyor "diye konuştu.

GÖRMEK: Zararsız kötü amaçlı yazılım bulaşmalarını en aza indirmenin 10 yolu (ücretsiz PDF) (TechRepublic)

Rapor, toplam tehditlerin yüzdesine dayanarak, saldırılarda kullanılan en iyi 10 tekniğin, tüm tehditlerin, zamanlanmış görevlerin ve% 13'te Windows yönetici paylaşımlarının% 17'sini temsil eden süreç enjeksiyonu, PowerShell, uzaktan dosya kopyalama, maskeli, komut dosyası olduğunu buldu. , DLL arama sırası ele geçirme, etki alanı güven bulma ve güvenlik araçlarını devre dışı bırakma.

Red Canary tespit mühendisi Jason Killam'a göre, süreç enjeksiyonu, siber saldırganlar tarafından kötü niyetli etkinlikleri oldukça rutin olan işletim sistemi süreçleriyle karıştırmak için kullanılan bir tekniktir.

Killam, "En yararlı işlevi, meşru bir sürece enjekte edildiğinde, rastgele kodun o sürecin ayrıcalıklarını devralabilir veya benzer şekilde işletim sisteminin başka türlü bulunmaması gereken kısımlarına erişebilmesidir."

Zamanlanmış görevler benzer şekilde siber suçluların öngörülen zamanlarda belirli eylemlerde bulunmalarına izin vererek, yürütme, kalıcılık ve ayrıcalık artışına olanak tanıyarak normal işlevlerden yararlanmak üzere tasarlanmıştır.

Kızıl Kanarya gelişmiş tehdit algılama ve araştırma direktörü Michael Haag, Zamanlanmış Görevlerin Windows işletim sisteminin işlevsel olarak gerekli bir bileşeni olduğunu ve rutin olarak yürütüldüklerini ve kötü niyetli görevlerin iyi huylu olanlarla kolayca karıştığını söyledi.

Haag, "Zamanlanmış Görevler, rakipler için çok yönlü bir aracı temsil ediyor. Gerekli ayrıcalıklarla, bir saldırgan görevleri uzaktan planlayabilir. Teknik, PowerShell gibi çeşitli yaygın olarak kullanılan komut dosyası dilleriyle birlikte yürütme ve kalıcılık için de yararlıdır." Dedi.

Algılama mühendisi Keya Horiuchi, Windows Yönetici Paylaşımlarının çoğu Windows sisteminde varsayılan olarak etkinleştirildiğini ve genellikle uzak ana bilgisayar yönetimini işlemek için kullanıldıklarından, saldırganlara bir ortamda sessizce yanal hareket etmeleri için basit bir yol verdiğini yazdı.

Horiuchi'ye göre, kendiliğinden yayılan fidye yazılımları ve kripto para madencileri, her ikisi de hızla ortaya çıkan tehditler.

Tüm bu teknikler, farklı suç amaçlarına hizmet eden farklı türde kötü amaçlı yazılımları yayma çabalarının bir parçasıydı. Çalışma, TrickBot, Emotet ve Ryuk ransomware'in birlikte mümkün olduğunca fazla bilgi elde etmek ve önemli hasar vermek için birlikte kullanıldığını açıklıyor.

"TrickBot sıklıkla Emotet truva atıyla başlayan ve Ryuk fidye yazılımı enfeksiyonuyla biten bir üçlü enfeksiyonun bir parçasıdır. Özünde, Emotet ana bilgisayarlarına bulaşır ve virüslü makinelerden bir ağ etrafında yanal geçerken kimlik bilgilerini çalan TrickBot'u yükler. TrickBot rotasını çalıştırdı, bir ağdaki virüslü tüm ana bilgisayarları şifreleyen ve bunların kilidini açmak için bir fidye ödemesi talep eden Ryuk fidye yazılımını düşürüyor "dedi.

Süreç enjeksiyonu gibi teknikler TrickBot'un işlevselliği için kilit önemdeydi, çünkü Windows Servis Ana Bilgisayarı aracılığıyla rastgele kod çalıştırabilirler, ancak spearphishing ekleri ve Powershell gibi diğer saldırılar Emotet tarafından daha fazla kaldı.

Süreç enjeksiyonunun listede bu kadar yüksek olmasının bir kısmı, Red Canary müşterilerinin çoğunun Emotet zaten hasarını verdikten ve TrickBot'un önemli miktarda cihazını enfekte ettikten sonra onlara endişelerle gelmesiydi. Kızıl Kanarya'nın güvenlik izlemesine daha fazla dahil olduğu diğer şirketler için, Emotet tehditlerini bir sistem üzerinden yayılmadan önce tespit edip durdurabildiler.

Rapor ayrıca, her sektörde öne çıkan tehditler nedeniyle raporu bozdu. Eğitim için, zamanlanmış görevler ve Windows yönetici paylaşımları en önde gelenleriyken, finans ve perakende şirketleri en çok PowerShell ve kimlik bilgisi dökümü gibi tekniklerden muzdaripti.

Perakendecilik ve enerji endüstrileri en çok PowerShell tarafından rahatsız edilirken, sağlık, üretim ve teknoloji süreç enjeksiyonuyla en çok saldırıya uğradı.

Red Canary kurucu ortağı ve baş güvenlik görevlisi Keith McCammon, kuruluşların hem teknoloji hem de uzmanlık alanındaki yatırımlarına öncelik vermek için saldırganların kullandığı tehdit ortamını ve tekniklerini anlamaları gerektiğini söyledi.

"Farklı tekniklerin bir listesi olarak değil, ilk 10'a bütünsel olarak bakarak başlayın. Tekniklerin ortak özelliklerine dikkat edin – birçok temel platform özelliğinden yararlanır veya güçlü yönetim araçlarıdır. Devre dışı bırakamayacağınız şeyler, ama kontrol etmeli, "dedi McCammon.

"Çoğu durumda, nokta ürünlerden ücretsiz, kolayca erişilebilen işletim sistemi özelliklerine kadar seçenekleriniz var," dedi. Sonra, karşılayabildiğiniz kadar görünürlük uygulayın. Göremediğiniz tehditleri tespit edemez, araştıramaz veya yanıt veremezsiniz. Görünürlük kazanmak, sizi önleyici kontrollerin kaçırdığı tehditleri tespit edebilecek bir konuma getirir. Son olarak, büyük algılama kapsamını uygulayarak ve çalıştırarak bu görünürlükten değer alın. Bu, tehdit istihbaratı, algılama mühendisliği, triyaj ve analizi içermelidir. "

Ayrıca bakınız

solucan "veri-orijinal =" https://tr4.cbsistatic.com/hub/i/r/2019/10/17/863008f2-2c41-4f53-9b62-bb54e190d104/resize/770x/d1a33b910eb9d8b40d8a17bbfb269bf5/istock-27.27.

Resim: Getty Images / iStockphoto

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*