W niemal jednej trzeciej (30%) cyberataków zbadanych w 2019 r. przez globalny zespół firmy Kaspersky ds. reagowania na cyberincydenty wykorzystywano legalne narzędzia zdalnego zarządzania i administracji. Dzięki nim sprawcy mogą pozostać niezauważeni przez dłuższy czas – średnia długość nieprzerwanych ataków cyberszpiegowskich oraz incydentów kradzieży poufnych danych to aż 122 dni. Dane te pochodzą z nowego raportu z analizy reagowania na incydenty firmy Kaspersky.


Oprogramowanie do monitorowania i zarządzania pomaga administratorom IT wykonywać codzienne zadania obejmujące rozwiązywanie problemów oraz pomoc techniczną. Jednak takie legalne narzędzia mogą zostać również wykorzystane przez cyberprzestępców podczas przeprowadzania ataków na infrastrukturę firmy. Tego rodzaju oprogramowanie pozwala im uruchamiać procesy na punktach końcowych, uzyskiwać dostęp i wydobywać wrażliwe informacje, jak również obchodzić różne systemy bezpieczeństwa umożliwiające wykrycie szkodliwego oprogramowania.

 

Z analizy zanonimizowanych danych dotyczących przypadków reagowania na incydenty wynika, że cyberprzestępcy wykorzystywali do swoich szkodliwych celów łącznie 18 różnych legalnych narzędzi. Najpopularniejszym okazał się PowerShell (25% przypadków). To rozbudowane narzędzie administracyjne może zostać wykorzystywane do wielu celów – od gromadzenia informacji po uruchamianie szkodliwego oprogramowania. Z kolei PsExec został wykorzystany w 22% ataków. Jest to aplikacja konsoli służąca do uruchamiania procesów na zdalnych punktach końcowych. Na trzecim miejscu uplasowało się narzędzie SoftPerfect Network Scanner (14%) służące do uzyskiwania informacji na temat środowisk sieciowych.

 

Ataki przeprowadzone przy użyciu legalnych narzędzi są trudniejsze do wykrycia przez rozwiązania zabezpieczające, ponieważ wykonywane przez nie działania mogą stanowić zarówno element zaplanowanej aktywności cyberprzestępczej, jak i typowych działań przeprowadzanych przez administratorów. W przypadku ataków trwających ponad miesiąc średnia długość cyberincydentów wynosiła aż 122 dni. Unikając wykrycia przez tak długi czas, cyberprzestępcy mogli zgromadzić wiele wrażliwych danych ofiar.

 

Eksperci z firmy Kaspersky zauważają jednak, że niekiedy szkodliwe działania wykonywane przy użyciu legalnego oprogramowania ujawniają się dość szybko. Dzieje się tak na przykład w przypadku ataku narzędzi szyfrujących ransomware, gdzie szkody są wyraźnie widoczne niemal od razu. Średnia długość takich krótkotrwałych ataków wynosiła jeden dzień.

 

Publikacja: Sebastian Kubiak

Dodaj komentarz

Kod antyspamowy
Odśwież

­