V roku 2019 takmer tretina (30 %) kybernetických útokov, ktoré vyšetroval tím Kaspersky Global Emergency Response, zneužila legitímne nástroje na vzdialenú správu a riadenie. Útočníci tak mohli škodiť spoločnosti dlhšiu dobu bez odhalenia. Napríklad nepretržité kyberšpionážne útoky a krádež dôverných údajov dosiahli v trvaní útoku strednú hodnotu 122 dní. Tieto zistenia pochádzajú zo správy spoločnosti Kaspersky analyzujúcej kybernetické incidenty – Kaspersky Incident Response Analytics Report.
Monitorovací a riadiaci softvér pomáha IT administrátorom a správcom sietí vykonávať ich každodenné úlohy, ako je riešenie IT problémov a poskytovanie technickej podpory zamestnancom. Kyberzločinci však môžu tieto legitímne nástroje zneužiť počas kyberútoku na infraštruktúru spoločnosti. Tento softvér im umožňuje spúšťať procesy v koncových bodoch, pristupovať k citlivým informáciám a extrahovať ich, či obchádzať rôzne bezpečnostné kontroly zamerané na detekciu malvéru.
Z analýzy reakcií na incidenty (Incident Response), ktorá vychádza z anonymizovaných údajov, vyplýva, že útočníci zneužívali 18 rôznych legitímnych nástrojov na škodlivé aktivity. Najpoužívanejším z nich bol PowerShell (v 25 % prípadov). Tento výkonný administratívny nástroj je možné použiť na mnohé účely, od zhromažďovania informácií až po spustenie malvéru. Násroj PsExec bol využitý v 22 % útokov. Táto konzolová aplikácia je určená na spustenie procesov na vzdialených koncových bodoch. Tretím v poradí je nástroj Soft Perfect Network Scanner (14 %), ktorý je určený na získavanie informácií o sieťových prostrediach.
Pre bezpečnostné riešenia je ťažšie odhaliť útoky vykonávané pomocou legitímnych nástrojov, pretože tieto úkony môžu byť buď plánovanou aktivitou kyberzločincov, ale aj bežnou aktivitou administrátora systému. Napríklad pri útokoch, ktoré trvali viac ako mesiac mali kyberincidenty medián trvania 122 dní. A keďže neboli odhalené, kyberzločinci tak mohli zhromažďovať citlivé údaje obetí.
Experti spoločnosti Kaspersky však poznamenávajú, že niekedy je možné škodlivé aktivity spojené s legitímnym softvérom odhaliť pomerne rýchlo. Často sa napríklad používajú pri ransomvérových útokoch, kde je poškodenie znateľné. Medián trvania pri krátkych útokoch bol jeden deň.
„Útočníci zvyknú používať softvér vyvinutý na bežné aktivity používateľov, úlohy administrátorov či diagnostiku systému, aby predišli odhaleniu a zostali neviditeľnými v kompromitovanej sieti tak dlho, ako sa len dá. S takýmito nástrojmi totiž dokážu zhromažďovať informácie o korporátnych sieťach a následne vykonávať nenápadné úkony, meniť nastavenia softvéru a hardvéru alebo dokonca realizovať nejakú formu škodlivej činnosti. Môžu napríklad použiť legitímny softvér na šifrovanie údajov o zákazníkoch. Legitímny softvér môže tiež útočníkom pomôcť zostať mimo dosah bezpečnostných analytikov, ktorí takýto útok často odhalia až potom, čo už napáchal škody. Tieto nástroje nie je možné vylúčiť z mnohých dôvodov, avšak správne nasadené prihlasovacie a monitorovacie systémy vedia pomôcť odhaliť podozrivú aktivitu v sieti ako aj komplexné útoky v ich počiatočných fázach,“ upozorňuje Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Na včasné odhalenie a reagovanie na takéto útoky by organizácie okrem iných opatrení mali zvážiť aj implementáciu riešenia zameraného na detekciu útoku na koncové body a následnú reakciu (tzv. EDR – Endpoint Detection and Response) spolu so službou nepretržitej riadenej ochrany MDR (tzv. Managed Detection and Response). Napríklad MITRE ATT&CK® Round 2 Evaluation vyhodnocuje rôzne bezpečnostné riešenia vrátane služby Kaspersky EDR a Kaspersky Managed Protection a táto znalostná databáza útočných taktík a techník môže pomôcť zákazníkom pri výbere EDR produktov, ktoré zodpovedajú špecifickým potrebám ich organizácie. Výsledky hodnotenia ATT&CK potvrdzujú dôležitosť komplexného riešenia, ktoré kombinuje plne automatizovaný viacvrstvový bezpečnostný produkt a manuálnu službu na vyhľadávanie hrozieb.
Pre minimalizáciu rizika, že softvér na vzdialenú správu nebude zneužitý na prienik do vašej infraštruktúry, spoločnosť Kaspersky odporúča nasledovné opatrenia:
- Obmedzte prístup k nástrojom vzdialenej správy z externých IP adries. Zaistite, aby k rozhraniam vzdialenej kontroly bolo možné pristupovať iba z obmedzeného počtu koncových bodov.
- Presadzujte prísne pravidlá v oblasti hesiel pre všetky IT systémy a implementujte viacfaktorovú autentifikáciu.
- Dodržiavajte zásadu poskytovania obmedzených privilégií zamestnancom a udeľujte vysoko privilegované účty iba tým, ktorí to potrebujú na plnenie svojej práce.
Viac informácií o riešení Kaspersky Endpoint Detection and Response nájdete na stránke spoločnosti.