Хакери фокусують свої зусилля на популярних у користувачів додатках

08:52
Хакери фокусують свої зусилля на популярних у користувачів додатках

     Компанія Fortinet опублікувала результати свого новітнього щоквартального звіту про глобальні загрози безпеці Global Threat Landscape Report. Дослідження показує, що кіберзлочинці продовжують удосконалювати методи своїх атак, в тому числі використовують спеціально розроблені програми-вимагачі і створюють індивідуальний код для здійснення ряду спрямованих атак, і навіть використовують LoTL-атаки та загальну інфраструктуру для розширення своїх можливостей. 

     Дослідження, що ставлять собі за мету з'ясувати, розбивають зловмисники свої атаки на окремі етапи, здійснюючи їх в різні дні тижня, показало, що кіберзлочинці прагнуть завжди в максимальному ступені використовувати можливості, що відкриваються. Порівнюючи обсяг веб-фільтрації по двох фазах поетапних кібератак (cyber kill chain phases) по робочім дням тижня та у вихідні, з'ясувалося, що активність до моменту компрометації втричі вище протягом робочого тижня, при цьому трафік після компрометації в цьому відношенні менш диференційований. 

      Це головним чином пояснюється тим, що для пошуку вразливостей найчастіше потрібен хтось, хто міг би виконувати будь-які дії, наприклад, пройти по посиланню в фішинговому листі. На противагу цьому, для активних дій (command-and-control, C2) подібних вимог немає, тому таку активність можна спостерігати в будь-який час. Кіберзлочинці розуміють це і намагаються по максимуму використовувати можливості протягом робочого тижня, коли користувачі найчастіше знаходяться в інтернеті. Використання різних практик веб-фільтрації для будніх днів і вихідних грає важливу роль для більш повного розуміння Кілл-Чейна різних атак. 

      Ступінь використання різними погрозами тієї чи іншої інфраструктури дозволяє скласти уявлення про ряд важливих тенденцій. Деякі загрози частіше за інших використовують єдину загальну інфраструктуру, ніж якісь унікальні або спеціалізовані інфраструктури. Майже 60% загроз здійснювалися в рамках як мінімум одного загального домену, а це, у свою чергу, вказує на те, що більшість бот-мереж використовують вже сформувані інфраструктури. 

      Троян IcedID є прикладом такого підходу «навіщо купувати або будувати, якщо можна позичити». Крім того, коли загрози використовують якусь загальну інфраструктуру, вони, як правило, роблять це на одному і тому ж етапі Кілл-Чейні. Ситуації, коли загроза використовує певний домен для вивчення обставин та пошуку вразливостей, а потім в цьому ж домені здійснює передачу трафіку C2, відбуваються досить рідко. Це говорить про те, що інфраструктура відіграє особливу роль при реалізації шкідливих кампаній. Розуміння того, які загрози використовують одну і ту ж саму інфраструктуру і в яких саме точках ланцюжка атак, дозволяє організаціям прогнозувати потенційні точки розвитку і зміни шкідливих програм або бот-мереж в майбутньому. 

      Зловмисники, як правило, переходять від однієї можливості до іншої цілими кластерами, націлюючись на уразливості та технології що найбільш успішно використовуються, знаходяться в даний момент на підйомі, щоб швидко скористатися можливістю що відкрилася. Прикладом нових технологій, яким кіберзлочинці останнім часом приділяють особливу увагу, є веб-платформи, що полегшують користувачам і підприємствам створення веб-сайтів. Ці платформи, разом з плагінами від сторонніх розробників, продовжують залишатися поширеною мішенню для кіберзлочинців. Все це підтверджує необхідність миттєвої установки оновлень безпеки, а також вимагає з боку організацій повного розуміння кіберзагроз що постійно розвиваються, якщо вони хочуть залишатися на крок попереду хакерів.

  Основні висновки дослідження: 

    Активність злочинців до моменту компрометації втричі вище протягом робочого тижня, при цьому трафік після компрометації в цьому відношенні менш диференційований. 

     Деякі загрози частіше за інших використовують єдину загальну інфраструктуру, ніж якісь унікальні або спеціалізовані інфраструктури. 

     Прикладом нових технологій, яким кіберзлочинці останнім часом приділяють особливу увагу, є веб-платформи, що полегшують користувачам і підприємствам створення веб-сайтів. 

      Програми-вимагачі не зникли, а стали більш таргетовану і націлені на заможних користувачів. 

      Зловмисники все частіше використовують інструменти подвійного призначення або інструменти, вже встановлені на цільових системах і дозволяють здійснювати кібератаки.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.