Вместо того, чтобы заражать сеть их собственным вредоносным программным обеспечением, сложные атакующие все более и более «живут за счет земли» при помощи инструментов компании для выполнения их работы.Сложные атакующие все более и более используют минимальное вредоносное программное обеспечение, чтобы поставить под угрозу и украсть данные из их целей, согласно предупреждению, отправленному управляемой фирмой служб безопасности Делл Секьюруоркс 2 сентября.Вместо этого в почти каждом проникновении, исследованном аналитиками по вопросам безопасности компании в прошлом году, атакующие использовали поставившие под угрозу учетные данные для получения входа в сетевые и законные инструменты администрирования для перемещения от системы до системы, заявило предупреждение. Атакующие использовали минимальное вредоносное программное обеспечение, заявила фирма.
Такие нападения избегут обороноспособности компаний, фокус обороноспособности которых на обнаружении нападений, распознавая вредоносное программное обеспечение атакующего, сказал Фил Бердетт, главный исследователь в области безопасности для Делла Секьюруоркса, eWEEK.«Существует много законных системных инструментов, которые сотрудники используют для проведения ежедневных операций, и те те же инструменты могут использоваться противниками», сказал он. «Проблема тогда становится для различения между законной деятельностью администратора и поведением противника».Делл Секьюруоркс описал три нападения в общих чертах, выделившись, как атакующий не должен использовать вредоносное программное обеспечение для выполнения их миссии.
В одном случае атакующие арестовали учетные данные сотрудника для вхождения в систему Citrix производителя. Поскольку компания не реализовывала двухфакторную аутентификацию, атакующие смогли легко зарегистрироваться в сеть.
Атакующие также использовали административное средство для распределения патчей к далее компромиссу.Второе нападение применило подобный принцип работы, с помощью украденных учетных данных Citrix, чтобы зарегистрироваться в сеть и наблюдать операции.
Атакующие использовали сервер централизованного управления, который используется, чтобы распределить антивирусные обновления, продвинуть вредоносное программное обеспечение к конечным точкам.Эти виды нападений не являются новыми. Они слушают назад первые годы действий хакеров. В 1980-х большинство хакеров нашло пути в системы и сети с помощью украденных или взломанных учетных данных.
Один раз в сети, они использовали инструменты администрирования или использование для достижения их целей.Позже, Делл Секьюруоркс предупредил в мае для компаний, чтобы быть в поисках атакующих, использующих украденные учетные данные для вторжения в сети и существующие инструменты администрирования для перемещения с машины на машину. Так как злоумышленники использовали только инструменты, которые они могли найти локально и сторонились вредоносного программного обеспечения, исследователи Делла Секьюруоркса назвали метод, «живущий за счет земли».Нападение на фармацевтического производителя, третий случай, выделенный Деллом Секьюруорксом, не использовало вредоносного программного обеспечения.
Первоначально, атакующий убедил единственного сотрудника входить в их сетевых учетных данных, изобразив из себя отдел ИТ компании. В течение нескольких часов атакующие имели доступ к виртуальной частной сети компании и поставили на кон это в более широкий доступ к сети.
«Они отправили сообщение фишинга двенадцати различным пользователям, и каждый упал для него», сказала Бюрдетт Делла Секьюруоркса. «Одно лицо влюбилось в него, и это – все, что потребовалось».Компании должны использовать двухфакторную аутентификацию, чтобы ограничить доступ к сотрудникам и сделать удостоверения пользователя менее полезными для атакующих, Делла Секьюруоркса рекомендуемый.
Любой счет привилегированного пользователя должен регулярно проверяться и ценная идентифицированная интеллектуальная собственность и затем близко проверенная.