Zneužití nástrojů od Microsoftu k útokům vzrostlo od roku 2023 o 51 %

Vyšla nová bezpečnostní zpráva o aktivních útočnících Active Adversay Report 1H24, která zkoumá případy reakcí na incidenty řešené týmy Incident Response (IR) a Managed Detection and Response (MDR) s cílem pochopit měnící se chování a techniky útočníků.

V rámci této nejnovější studie bezpečnostní experti zjistili, že se kyberzločinci stále častěji ukrývají na viditelných místech v sítích se systémy Windows a využívají důvěryhodných aplikací Microsoftu, jako je protokol vzdálené plochy (RDP). Tato praxe je známá jako zneužívání běžných binárních souborů, označovaných jako Living off the Land Binries (LOLbins). Mezi rokem 2023 a první polovinou roku 2024 vzrostlo zneužívání důvěryhodných aplikací o 51 % – ve srovnání s rokem 2021 dokonce o 83 %. Vzhledem k tomu, že jsou tyto nástroje od Microsoftu důvěryhodné nejen pro operační systémy, ale často ve firmách plní legitimní a kriticky důležité funkce, poskytuje jejich zneužití útočníkům velmi efektivní způsob, jak nenápadně přečkávat v systémech a pomalu shromažďovat další a další data oběti.

Další klíčová zjištění studie:
Prvotní příčiny útoků: Hlavní příčinou útoků stále zůstávají kompromitované přihlašovací údaje, a to v 39 % případů. I tak to ale znamená pokles oproti 56 % zaznamenaným v roce 2023.
Doba setrvání útočníků se v případech MDR zkracuje: U případů týmu IR zůstala doba setrvání útočníka v síti (tedy doba od zahájení útoku do jeho detekce) přibližně osm dní. V případě MDR je ale medián doby trvání všech typů incidentů pouhý jeden den a u ransomwarových útoků pouze tři dny.
Nejčastěji kompromitované verze Active Directory Serveru se blíží ke konci své životnosti: Útočníci nejčastěji napadali Active Directory Servery ve verzích 2019, 2016 a 2012. Všechny tyto tři verze již od Microsoftu nedostávají hlavní podporu, což je jen poslední krok před tím, než bude jejich životní cyklus ukončen a bez placené podpory od Microsoftu je již nebude možné záplatovat. Navíc u plných 21 % z napadených verzí Active Directory Serveru již byl jejich životní cyklus ukončen.

Zdroj: Sophos

#EVENT #KONFERENCE

16Led2025

Konference Chemická legislativa 2025

Od 8:00 Do 15:00

Rosmarin Business Centrum, konferenční sál 1. patro

Zobrazit více...