Bitdefender: Cinci din șase atacuri cibernetice majore exploatează aplicații legitime deja instalate 

Cinci din șase atacuri cibernetice majore (84%) se folosesc de programe sau aplicații legitime, deja instalate pe dispozitive, arată o analiză a 700.000 de incidente de securitate efectuată de către cercetătorii Bitdefender.

Astfel, atacatorii nu mai instalează programe periculoase noi, ci folosesc aceleași instrumente pe care administratorii IT le utilizează în activitățile lor zilnice. Această tactică, denumită „Living-Off-The-Land” (LOTL), transformă instrumentele uzuale ale sistemului de operare în mijloace de atac.

Topul programelor preferate de hackeri

Pentru a înțelege amploarea acestei strategii, cercetătorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numără și PowerShell, utilitar care oferă control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizații în scopuri legitime, însă analiza Bitdefender arată particularități importante. Deși este un instrument destinat în principal administratorilor IT, acesta rulează pe aproape trei sferturi dintre dispozitive și este accesat frecvent nu doar de personal tehnic autorizat, ci și de aplicații terțe care rulează PowerShell în fundal fără a fi vizibil.

Această popularitate creează un paradox: cu cât un instrument este folosit mai frecvent în mod legitim, cu atât mai ușor trece neobservat când este folosit abuziv.

Cercetarea Bitdefender a identificat topul celor cinci programe Windows cel mai frecvent utilizate de atacatori:

1. netsh.exe – un instrument folosit de administratorii IT pentru configurarea setărilor de rețea, precum conexiunea la internet și firewall-ul. Hackerii, în schimb, îl exploatează pentru a analiza configurația sistemului și a-i identifica punctele vulnerabile.

1. powershell.exe – un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului.

1. reg.exe – editorul registrului Windows și baza de date în care sunt stocate toate setările sistemului. Administratorii IT îl folosesc pentru optimizări, însă hackerii îl pot exploata pentru a-și configura programele să pornească automat la fiecare restart al computerului, ceea ce le oferă acces permanent la sistem.

1. csc.exe – un compilator cu ajutorul căruia programatorii transformă codul în aplicații, pe care hackerii îl pot exploata pentru a-și crea propriile programe periculoase direct pe dispozitivul infectat.

1. rundll32.exe – un program care rulează funcții din bibliotecile Windows. Windows are sute de fișiere care conțin funcții predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii îl pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare.

BlackBasta a atacat peste 500 de organizații cu atacuri de tip ransomware

Liderul BlackBasta, grupare care a atacat peste 500 de organizații cu amenințări de tip ransomware, descrie modul în care hackerii operează acum: „Dacă folosim instrumentele standard, nu vom fi detectați. Nu lăsăm niciodată urme pe dispozitive.”

Această abordare arată eficiența strategiei hackerilor. Atacatorii nu mai riscă să fie detectați prin introducerea de amenințări informatice fiindcă sistemele conțin deja tot ce le trebuie.

Analiza celor 700.000 de incidente efectuată de Bitdefender confirmă că epoca securității bazate pe catalogarea programelor ca fiind sigure sau periculoase s-a încheiat, iar viitorul aparține soluțiilor de securitate inteligente care fac distincția între utilizarea legitimă și abuzul acelorași instrumente.

Sursa: Bitdefender