Istraživači bezbjednosti upozorili su da je sve veći broj svestranih varijanti malicioznog softvera sposoban za izvođenje više malicioznih radnji u lancu cyberkill-a.
Picus Security je sastavio svoj “Crveni izvještaj” za 2023. godinu analizirajući više od 500.000 uzoraka malicioznog softvera prošle godine, identifikujući njihove taktike, tehnike i procedure (TTP) i izdvajajući preko 5,3 miliona “akcija”.
Zatim je mapirao ove akcije u MITRE ATT&CK tehnike.
Izvještaj je otkrio da prosječna varijanta malicioznog softvera sada koristi 11 TTP-ova ili devet MITER ATT&CK tehnika. Jedna trećina (32%) koristi više od 20 TTP-a, a jedan od 10 koristi preko 30 TTP-a, navodi se u izvještaju.
“Moderni maliciozni softver ima mnogo oblika. Neki rudimentarni tipovi malicioznog softvera dizajnirani su za obavljanje osnovnih funkcija. Drugi, poput skalpela hirurga, dizajnirani su za obavljanje pojedinačnih zadataka s velikom preciznošću” objasnio je suosnivač Picus Security-a, Suleyman Ozarslan.
“Sada vidimo više malicioznog softvera koji može sve i svašta. Ovaj maliciozni softver ‘Swiss Army knife’ može omogućiti napadačima da se kreću kroz mreže neotkriveni velikom brzinom, dobiju kredencijale za pristup kritičnim sistemima i šifruju podatke.”
Ističući fokus za mnoge hakere danas, Picus je otkrio da je 40% najzastupljenijih tehnika MITER ATT&CK koje je identifikao korišteno za pomoć pri lateralnom kretanju.
To su uključivale isprobane tehnike kao što su interpretator komandi i skripti i izbacivanje kredencijala OS-a, kao i novije kao što su Remote Services, Remote System Discovery i WMI.
Najčešća tehnika na listi top 10 izvještaja bila je Command and Scripting Interpreter, koja uključuje zloupotrebu legitimnih tumača kao što su PowerShell, AppleScript i Unix shells za izvršavanje proizvoljnih naredbi. Ovo naglašava kako hakeri favorizuju legitimne postojeće alate u svojim napadima, a ne prilagođene razvijene, rekao je Picus.
Drugi na listi je bio OS Credential Dumping, koji napadači koriste za otmicu naloga i lateralno pomjeranje. Treći je Data Encrypted for Impact, koji otkriva kontinuiranu prijetnju koju predstavlja ransomware.
„Cilj operatera ransomware-a i aktera država je postizanje cilja što je brže i efikasnije moguće. Činjenica da više malicioznog softvera može voditi lateralno kretanje je znak da su protivnici svih vrsta primorani da se prilagode razlikama u IT okruženju i više rade kako bi dobili svoju isplatu” rekao je Ozarslan.
“Suočeni sa odbranom od sve sofisticiranijeg malicioznog softvera, sigurnosni timovi također moraju nastaviti da razvijaju svoje pristupe. Davanjem prioriteta najčešće korištenim tehnikama napada i kontinuiranim potvrđivanjem djelotvornosti sigurnosnih kontrola, organizacije će biti mnogo bolje pripremljene za odbranu kritične imovine.”
Izvor: Infosecurity Magazine