Aproximativ 84% dintre atacurile cibernetice se folosesc de programe sau aplicaţii legitime, deja instalate pe dispozitive, arată o analiză a 700.000 de incidente de securitate efectuată de către cercetătorii Bitdefender, scrie Agerpres.
Potrivit unui comunicat, atacatorii nu mai instalează programe periculoase noi, ci folosesc aceleaşi instrumente pe care administratorii IT le utilizează în activităţile lor zilnice. Această tactică, denumită "Living-Off-The-Land" (LOTL), transformă instrumentele uzuale ale sistemului de operare în mijloace de atac.
"Pentru a înţelege amploarea acestei strategii, cercetătorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numără şi PowerShell, utilitar care oferă control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizaţii în scopuri legitime, însă analiza Bitdefender arată particularităţi importante. Deşi este un instrument destinat în principal administratorilor IT, acesta rulează pe aproape trei sferturi dintre dispozitive şi este accesat frecvent nu doar de personal tehnic autorizat, ci şi de aplicaţii terţe care rulează PowerShell în fundal fără a fi vizibil. Această popularitate creează un paradox: cu cât un instrument este folosit mai frecvent în mod legitim, cu atât mai uşor trece neobservat când este folosit abuziv", se menţionează în comunicat.
Cercetarea Bitdefender a identificat topul celor cinci programe Windows cel mai frecvent utilizate de atacatori:
- netsh.exe - un instrument folosit de administratorii IT pentru configurarea setărilor de reţea, precum conexiunea la internet şi firewall-ul. Hackerii, în schimb, îl exploatează pentru a analiza configuraţia sistemului şi a-i identifica punctele vulnerabile;
- powershell.exe - un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului;
- reg.exe - editorul registrului Windows şi baza de date în care sunt stocate toate setările sistemului. Administratorii IT îl folosesc pentru optimizări, însă hackerii îl pot exploata pentru a-şi configura programele să pornească automat la fiecare restart al computerului, ceea ce le oferă acces permanent la sistem;
- csc.exe - un compilator cu ajutorul căruia programatorii transformă codul în aplicaţii, pe care hackerii îl pot exploata pentru a-şi crea propriile programe periculoase direct pe dispozitivul infectat;
- rundll32.exe - un program care rulează funcţii din bibliotecile Windows. Windows are sute de fişiere care conţin funcţii predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii îl pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare.
"Dacă folosim instrumentele standard, nu vom fi detectaţi. Nu lăsăm niciodată urme pe dispozitive", a descris liderul BlackBasta, grupare care a atacat peste 500 de organizaţii cu ameninţări de tip ransomware, modul în care hackerii operează în prezent.
Bitdefender subliniază că această abordare arată eficienţa strategiei hackerilor şi atacatorii nu mai riscă să fie detectaţi prin introducerea de ameninţări informatice, fiindcă sistemele conţin deja tot ce le trebuie.
"Analiza celor 700.000 de incidente efectuată de Bitdefender confirmă că epoca securităţii bazate pe catalogarea programelor ca fiind sigure sau periculoase s-a încheiat, iar viitorul aparţine soluţiilor de securitate inteligente care fac distincţia între utilizarea legitimă şi abuzul aceloraşi instrumente", precizează sursa citată.
În acest context, cercetătorii Bitdefender au dezvoltat tehnologia PHASR - Proactive Hardening and Attack Surface Reduction. În loc să restricţioneze accesul tuturor utilizatorilor la aceste programe, lucru ce riscă perturbarea operaţiunilor legitime, PHASR analizează comportamentul specific al fiecărui utilizator şi monitorizează exact ce acţiuni sunt executate cu fiecare program.
Bitdefender este un lider recunoscut în domeniul securităţii IT, care oferă soluţii de prevenţie, detecţie şi răspuns la incidente de securitate cibernetică. Ca urmare a investiţiilor în cercetare şi dezvoltare, laboratoarele Bitdefender descoperă sute de noi ameninţări informatice în fiecare minut şi validează zilnic 30 de miliarde de interogări privind ameninţările. Fondată în 2001, compania Bitdefender are clienţi în peste 170 de ţări şi birouri pe toate continentele.
