Windows
Cyberprzestępcy od dawna używają legalnych programów i komponentów systemu operacyjnego, aby atakować użytkowników systemu Microsoft Windows. Taktyka ta znana jest jako Living off the Land. W ten sposób próbują oni zoptymalizować swoje działania: zmniejszają koszty potrzebne na opracowanie zestawu narzędzi szkodliwego oprogramowania, minimalizują swój ślad w systemie operacyjnym i ukrywają własną aktywność wśród legalnych działań IT.
Innymi słowy, ich głównym celem jest utrudnienie wykrycia szkodliwej aktywności. Z tego powodu eksperci ds. bezpieczeństwa od dawna monitorują aktywność potencjalnie niebezpiecznych plików wykonywalnych, skryptów i bibliotek, a nawet prowadzą swego rodzaju rejestr w ramach projektu LOLBAS dostępnego w serwisie GitHub.
Nasi koledzy z zespołu Kaspersky Managed Detection and Response (MDR), którzy chronią wiele firm w wielu obszarach biznesowych, często spotykają to podejście w rzeczywistych atakach. W raporcie zatytułowanym „Managed Detection and Response Analyst Report” opisali, które komponenty systemu są używane dziś najczęściej do atakowania firm. Poniżej prezentujemy podsumowanie.
Złoty medal trafia do PowerShell
PowerShell, silnik oprogramowania i język skryptowy z interfejsem wiersza poleceń, jest zdecydowanie najczęściej wykorzystywanym legalnym narzędziem wśród cyberprzestępców. Nie zmienia tego fakt, że firma Microsoft stara się zwiększyć jego bezpieczeństwo i kontrolę nad nim. Spośród incydentów zidentyfikowanych przez naszą usługę MDR 3,3% dotyczyło próby wykorzystania luki w programie PowerShell. Co więcej, jeśli chodzi o incydenty o charakterze krytycznym, badanie pokazuje, że PowerShell miał udział w co piątym takim zdarzeniu (dokładnie 20,3%).
Srebrny medal trafia do rundll32.exe
Na drugim miejscu znalazł się proces hosta rundll32, który służy do uruchamiania kodu z bibliotek dołączanych dynamicznie (DLL). Brał on udział w 2% wszystkich incydentów i 5,1% o naturze krytycznej.
Brązowy medal trafia do kilku narzędzi
W 1,9% wszystkich incydentów brało udział pięć narzędzi:
- te.exe, część architektury Test Authoring and Execution Framework,
- PsExec.exe, narzędzie do uruchamiania procesów w systemach zdalnych,
- CertUtil.exe, narzędzie do obsługi informacji z urzędów certyfikacji,
- Reg.exe, narzędzie Microsoft Registry Console Tool, za pomocą którego można zmieniać i dodawać klucze w rejestrze systemowym z wiersza poleceń,
- wscript.exe, usługa Windows Script Host, przeznaczona do uruchamiania skryptów w językach skryptowych.
Te pięć plików wykonywalnych zostało użytych w 7,2% krytycznych incydentów.
Eksperci z zespołu Kaspersky MDR dodatkowo zaobserwowali użycie: msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe i shell32.exe.
Szersze wnioski z raportu pt. „Managed Detection and Response Analyst Report” można znaleźć tutaj.
Porady