Um novo relatório fora hoje da Bitdefender Labs, o braço de pesquisa da empresa de segurança cibernética Sc bitdefender srl, constatou que 84% dos principais incidentes de segurança agora envolvem o uso de ferramentas legítimas do sistema, uma tática conhecida como “Residing da terra”.
O relatório, com base em um estudo de 700.000 incidentes de segurança, revela que quase todos os principais incidentes de segurança envolvem o uso de binários, ferramentas e serviços públicos confiáveis já presentes em ambientes corporativos. Validação adicional do serviço de detecção e resposta gerenciado do Bitdefender confirmou a tendência, com 85% dos incidentes de alta sexuação com técnicas de LOTL.
As ferramentas consideradas mais frequentemente usadas pelos invasores incluem netsh.exe, um utilitário Home windows padrão usado para gerenciar configurações de rede, que apareceram em um terço dos ataques importantes. Em seguida, havia ferramentas familiares como PowerShell.exe, reg.exe, cscript.exe e rundll32.exe, todos os administradores de serviços públicos confiam, mas que os invasores aprenderam a manipular seu próprio ganho.
Embora algumas das ferramentas que estão sendo exploradas sejam bem conhecidas, o relatório também constata que os invasores estão ficando astutos e também explorando ferramentas menos conhecidas, como SC.EXE, msbuild.exe e ngen.exe, usadas principalmente pelos desenvolvedores. Verificou -se que o uso de tais ferramentas escapa na detecção de escapar porque se enquadrava fora do escopo do monitoramento típico de segurança.
O BitDefender Labs argumenta que o caso de uso duplo de funcionalidade e potencial de exploração essenciais pode criar um sério desafio para os defensores, encarregados de manter a estabilidade operacional, garantindo uma segurança robusta.
Tornar a situação ainda mais complexa, a análise regional encontrou diferenças significativas nas práticas de uso de ferramentas. Powershell.exe, por exemplo, foi encontrado em 97,3% das organizações na Europa, Oriente Médio e África, mas period muito menos prevalente na região da Ásia-Pacífico, onde apareceu em apenas 53,3% dos casos. Por outro lado, o uso do Reg.exe foi considerado maior no APAC do que em qualquer outra região, destacando comportamentos diferentes que podem afetar como os controles de segurança são implementados.
Adicionado à mistura está a necessidade de detectar o comportamento legítimo versus o LOTL. Ferramentas como PowerShell e Wmic.exe foram comumente invocadas não apenas pelos administradores, mas também por aplicativos de terceiros que executam código incorporado, complicando a capacidade de discernir o que é o uso legítimo e não.
“Os atacantes são comprovadamente bem -sucedidos em fugir das defesas tradicionais, manipulando habilmente os utilitários de sistemas em que confiamos e confiamos diariamente e os atores de ameaças operam com uma afirmação confiante de indetectabilidade”, escrevem os pesquisadores. “Essa realidade gritante exige uma mudança elementary para soluções de segurança, como o Phasr do Bitdefender, que vai além do bloqueio contundente para discernir e neutralizar a intenção maliciosa dentro dessas ferramentas”.
Imagem: Siliconangle/Reve
Seu voto de apoio é importante para nós e nos ajuda a manter o conteúdo livre.
Um clique abaixo suporta nossa missão de fornecer conteúdo gratuito, profundo e relevante.
Junte -se à nossa comunidade no YouTube
Junte -se à comunidade que inclui mais de 15.000 especialistas em #Cubealumni, incluindo o CEO da Amazon.com, Andy Jassy, o fundador e CEO da Dell Applied sciences, Michael Dell, o CEO da Intel Pat Gelsinger e muito mais luminárias e especialistas.
OBRIGADO
