Business Hi-Tech

Aproximativ 84% dintre atacurile informatice se folosesc de programe sau aplicatii legitime, deja instalate pe dispozitive, arata o analiza a 700.000 de incidente de securitate efectuata de catre cercetatorii Bitdefender, lider global in securitate cibernetica. Astfel, atacatorii nu mai instaleaza programe periculoase noi, ci folosesc aceleasi instrumente pe care administratorii IT le utilizeaza in activitatile lor zilnice, au transmis reprezentantii Bitdefender. Aceasta tactica, denumita "Living-Off-The-Land" (LOTL), transforma instrumentele uzuale ale sistemului de operare in mijloace de atac.

In acest context, cercetatorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numara si PowerShell, utilitar care ofera control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizatii in scopuri legitime, insa analiza Bitdefender arata particularitati importante, arata sursa citata.

"Desi este un instrument destinat in principal administratorilor IT, acesta ruleaza pe aproape trei sferturi dintre dispozitive si este accesat frecvent nu doar de personal tehnic autorizat, ci si de aplicatii terte care ruleaza PowerShell in fundal fara a fi vizibil. Aceasta popularitate creeaza un paradox: cu cat un instrument este folosit mai frecvent in mod legitim, cu atat mai usor trece neobservat cand este folosit abuziv."

In topul celor cinci programe Windows cel mai frecvent utilizate de atacatori se regasesc netsh.exe - un instrument folosit de administratorii IT pentru configurarea setarilor de retea, precum conexiunea la internet si firewall-ul. Hackerii, in schimb, il exploateaza pentru a analiza configuratia sistemului si a-i identifica punctele vulnerabile; powershell.exe - un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului; reg.exe - editorul registrului Windows si baza de date in care sunt stocate toate setarile sistemului. Administratorii IT il folosesc pentru optimizari, insa hackerii il pot exploata pentru a-si configura programele sa porneasca automat la fiecare restart al computerului, ceea ce le ofera acces permanent la sistem; csc.exe - un compilator cu ajutorul caruia programatorii transforma codul in aplicatii, pe care hackerii il pot exploata pentru a-si crea propriile programe periculoase direct pe dispozitivul infectat; si rundll32.exe - un program care ruleaza functii din bibliotecile Windows. Windows are sute de fisiere care contin functii predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii il pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare, arata cercetarea Bitdefender.

Liderul BlackBasta, grupare care a atacat peste 500 de organizatii cu amenintari de tip ransomware, descrie modul in care hackerii opereaza acum: "Daca folosim instrumentele standard, nu vom fi detectati. Nu lasam niciodata urme pe dispozitive."

"Aceasta abordare arata eficienta strategiei hackerilor. Atacatorii nu mai risca sa fie detectati prin introducerea de amenintari informatice fiindca sistemele contin deja tot ce le trebuie", au mai transmis reprezentantii Bitdefender.

In acest context, cercetatorii Bitdefender au dezvoltat tehnologia PHASR - Proactive Hardening and Attack Surface Reduction. "In loc sa restrictioneze accesul tuturor utilizatorilor la aceste programe, lucru ce risca perturbarea operatiunilor legitime, PHASR analizeaza comportamentul specific al fiecarui utilizator si monitorizeaza exact ce actiuni sunt executate cu fiecare program. Tehnologia PHASR este disponibila ca extensie pentru Bitdefender GravityZone, platforma unificata de securitate si analiza a riscurilor pentru companii."