Gotovo trećina (30%) sajber napada koje je istražio Global Emergency Response tim kompanije Kaspersky u 2019. godini, uključivali su legitimne alate za daljinsko upravljanje i administraciju, dok su u Srbiji u 3,70% sajber napada korišćeni ovakvi legitimni alati. Kao rezultat toga, napadači ostaju neprimećeni duži vremenski period. Na primer, kontinuirani sajberšpijunažni napadi i krađe poverljivih podataka trajali su u proseku 122 dana. Ovi nalazi se nalaze u novom izveštaju kompanije Kaspersky pod nazivom Incident Response Analytics Report.
Softver za nadgledanje i upravljanje IT i mrežnim administratorima pomaže u obavljanju svakodnevnih poslova, kao što su rešavanje problema i pružanje tehničke podrške zaposlenima. Ipak, sajber kriminalci takođe mogu da iskoriste ove legitimne alate tokom sajber napada na infrastrukturu kompanije. Ovaj softver im omogućava da pokrenu procese na krajnjim tačkama, ostvare pristup i dođu do osetljivih informacija, zaobilazeći različite bezbednosne kontrole koje za cilj imaju detektovanje malvera.
Ukupno, analiza anonimnih podataka iz slučajeva odgovora na incident (incident response - IR) pokazala je da su napadači zloupotrebili 18 različitih legitimnih alata u maliciozne svrhe. Najkorišćeniji alat bio je PowerShell (25% slučajeva). Ovaj alat za administraciju može biti korišćen u razne svrhe, od prikupljanja informacija do pokretanja malvera. PsExec alat je korišćen u 22% napada. Ova aplikacija za konzolu namenjena je pokretanju procesa na udaljenim krajnjim tačkama. Ovaj alat je praćen alatom SoftPerfect Network Scanner (14%), koji je namenjen za skupljanje informacija o mrežnim sredinama.
Bezbednosnim rešenjima je teže da detektuju napade sprovedene korišćenjem legitimnih alata zato što ovakve aktivnosti mogu biti i deo planirane sajber-kriminalne aktivnosti ili regularnog posla administratora sistema. Na primer, u segmentu napada koji su trajali duže od mesec dana, sajber- incidenti su u proseku trajali 122 dana. Kako su bili nedetektovani, sajber kriminalci su mogli da sakupe osetljive podatke žrtava.
Međutim stručnjaci kompanije Kaspersky ukazuju na to da se maliciozne aktivnosti koje koriste legitimni softver ponekada poprilično brzo otkriju. Na primer, oni se često koriste u slučaju ransomver napada, i šteta je jasno vidljiva. Prosečno trajanje napada u slučaju kratkih napada je bio jedan dan.
“Kako bi izbegli detektovanje i ostali nevidljivi na kompromitovanoj mreži što je duže moguće, napadači često koriste softver koji je programiran za normalne aktivnosti korisnika, administratorske poslove i sistemsku dijagnostiku. Sa ovim alatima, napadači mogu da prikupe informacije o korporativnim mrežama i zatim da sprovedu lateralno kretanje, promene softverska i hardverska podešavanja ili čak sprovedu neki vid maliciozne aktivnosti. Na primer, mogu da iskoriste legitimni softver za šifriranje podataka o klijentima. Legitimni softver napadačima takođe može pomoći da ostanu neprimećeni od strane bezbednosnih analitičara, s obzirom na to da oni često detektuju napad tek nakon što je šteta učinjena. Nemoguće je u potpunosti isključiti ove alate iz mnoštva razloga, ipak, pravilno uspostavljeni sistemi za logovanje i nadgledanje pomoći će u detektovanju sumnjivih aktivnosti na mreži i složenih napada u ranijim fazama,” komentariše Konstantin Sapronov, direktor Global Emergency Response tima kompanije Kaspersky.
Kako bi blagovremeno detektovale i reagovale na takve napade organizacije, između ostalog, treba da razmotre implementiranje Endpoint Detection and Response rešenja sa MDR uslugom. Evaluacija MITRE ATT&CK ® Round 2 Evaluation — gde su različita rešenja, uključujući Kaspersky EDR i Kaspersky Managed Protection usluge procenjivane – može pomoći klijentima da izaberu EDR proizvode koji zadovoljavaju specifične potrebe njihove organizacije. Rezultati ATT&CK evaluacije dokazuju značaj sveobuhvatnog rešenja koje kombinuje u potpunosti automatizovan višeslojni bezbednosni proizvod i manualni servis za lov na pretnje.
Kako bi minimizovali šanse za korišćenjem softvera za daljinsko upravljanje u cilju proboja infrastrukture, kompanija Kaspersky takođe preporučuje sledeće mere:
• Ograničite pristup alatima za daljinsko upravljanje eksternim IP adresama. Vodite računa da je interfejsima za daljinsku kontrolu pristup omogućen samo sa ograničenog broja krajnjih tačaka.
• Primenite strogu politiku lozinke za sve IT sisteme i višefaktorsku autentifikaciju
• Pridržavajte se principa pružanja ograničenih privilegija zaposlenima i obezbedite visoko privilegovane naloge samo za one kojima je to potrebno kako bi obavljali svoj posao