Software

Cinci din sase atacuri cibernetice majore (84%) se folosesc de programe sau aplicatii legitime, deja instalate pe dispozitive, arata o analiza a 700.000 de incidente de securitate efectuata de catre cercetatorii Bitdefender.

Astfel, atacatorii nu mai instaleaza programe periculoase noi, ci folosesc aceleasi instrumente pe care administratorii IT le utilizeaza in activitatile lor zilnice. Aceasta tactica, denumita "Living-Off-The-Land" (LOTL), transforma instrumentele uzuale ale sistemului de operare in mijloace de atac.

Topul programelor preferate de hackeri

Pentru a intelege amploarea acestei strategii, cercetatorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numara si PowerShell, utilitar care ofera control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizatii in scopuri legitime, insa analiza Bitdefender arata particularitati importante. Desi este un instrument destinat in principal administratorilor IT, acesta ruleaza pe aproape trei sferturi dintre dispozitive si este accesat frecvent nu doar de personal tehnic autorizat, ci si de aplicatii terte care ruleaza PowerShell in fundal fara a fi vizibil.

Aceasta popularitate creeaza un paradox: cu cat un instrument este folosit mai frecvent in mod legitim, cu atat mai usor trece neobservat cand este folosit abuziv.

Cercetarea Bitdefender a identificat topul celor cinci programe Windows cel mai frecvent utilizate de atacatori:

netsh.exe - un instrument folosit de administratorii IT pentru configurarea setarilor de retea, precum conexiunea la internet si firewall-ul. Hackerii, in schimb, il exploateaza pentru a analiza configuratia sistemului si a-i identifica punctele vulnerabile.


powershell.exe - un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului.


reg.exe - editorul registrului Windows si baza de date in care sunt stocate toate setarile sistemului. Administratorii IT il folosesc pentru optimizari, insa hackerii il pot exploata pentru a-si configura programele sa porneasca automat la fiecare restart al computerului, ceea ce le ofera acces permanent la sistem.


csc.exe - un compilator cu ajutorul caruia programatorii transforma codul in aplicatii, pe care hackerii il pot exploata pentru a-si crea propriile programe periculoase direct pe dispozitivul infectat.


rundll32.exe - un program care ruleaza functii din bibliotecile Windows. Windows are sute de fisiere care contin functii predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii il pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare.

BlackBasta a atacat peste 500 de organizatii cu atacuri de tip ransomware

Liderul BlackBasta, grupare care a atacat peste 500 de organizatii cu amenintari de tip ransomware, descrie modul in care hackerii opereaza acum: "Daca folosim instrumentele standard, nu vom fi detectati. Nu lasam niciodata urme pe dispozitive."

Aceasta abordare arata eficienta strategiei hackerilor. Atacatorii nu mai risca sa fie detectati prin introducerea de amenintari informatice fiindca sistemele contin deja tot ce le trebuie.

Analiza celor 700.000 de incidente efectuata de Bitdefender confirma ca epoca securitatii bazate pe catalogarea programelor ca fiind sigure sau periculoase s-a incheiat, iar viitorul apartine solutiilor de securitate inteligente care fac distinctia intre utilizarea legitima si abuzul acelorasi instrumente.

Sursa: Bitdefender

Articolul Bitdefender: Cinci din sase atacuri cibernetice majore exploateaza aplicatii legitime deja instalate apare prima data in Go4IT.