Studie HP Wolf Security ukazuje, že útočníci aplikují techniky living-off-the-land, aby obešli slabiny v detekčních mechanismech.
Společnost HP vydala svůj nejnovější Threat Insights Report, který ukazuje, jak stále častější používání kombinace technik „living-off-the-land“ (LOTL – využití běžně dostupných nástrojů a funkcí systému k provádění útoků) a phishingu obchází tradiční nástroje pro detekci bezpečnostních hrozeb. Tyto techniky, kdy útočníci využívají legitimní nástroje a funkce počítače k provedení útoku, jsou už dlouho součástí výbavy kyberzločinců. HP však varuje, že stále častější zneužití různých, často neobvyklých binárních souborů v rámci jedné kampaně, ztěžuje rozlišování mezi škodlivou a legitimní aktivitou.
Threat Insights Report poskytuje analýzu reálných kyberútoků. Na základě dat z milionů koncových zařízení využívajících HP Wolf Security identifikoval tým HP následující kampaně:
• Falešné PDF faktury v Adobe Reader: útočníci připojili skript, který umožňuje vzdálený přístup k napadenému zařízení. Tento skript byl ukrytý v malé SVG návnadě, která vypadala jako realistická faktura PDF s falešným načítacím barem, což mělo navýšit šance na otevření souboru a spuštění infekčního řetězce.
• Malware skrytý v pixelech obrázků: útočníci využili soubory Microsoft Compiled HTML Help k tomu, aby ukryli škodlivý kód v pixelech obrázků. Tyto soubory byly maskované jako projektové dokumenty a obsahovaly XWorm payload, který následně vykonal několik kroků infekčního řetězce zahrnujícího techniky LOTL. PowerShell byl použit pro spuštění CMD souboru, který odstranil důkazy o stažených souborech.
• Lumma Stealer v IMG archivech: Lumma Stealer byla jedna z nejaktivnějších rodin malwaru v druhém čtvrtletí. Útočníci jej distribuovali pomocí archivních souborů IMG, které využívaly techniky LOTL k obcházení bezpečnostních filtrů.
Alex Holland, hlavní výzkumník v HP Security Lab, komentuje aktuální situaci následovně: „Útočníci nevyvíjejí nové metody, ale zdokonalují ty stávající. Techniky living-off-the-land, reverzní shelly a phishing jsou tu už desetiletí, ale dnešní hackeři je stále vylepšují. Vidíme častější propojení nástrojů living-off-the-land a používání méně nápadných typů souborů, jako jsou obrázky, k obcházení detekce. Vezměme si například reverzní shelly – nemusíte nasazovat plně funkční RAT (Remote Access Trojan), když stačí jednoduchý a tenký skript, který dosáhne stejného efektu. Je to jednoduché, rychlé a často to unikne pozornosti, protože je to tak triviální.“
Popsané kampaně ukazují, jak kreativní a adaptabilní útočníci jsou. Skrytí škodlivého kódu v obrázcích, zneužívání důvěryhodných systémových nástrojů a přizpůsobování útoků konkrétním regionům, činí detekci pomocí tradičních nástrojů stále obtížnější.
Izolace hrozeb, které unikly detekčním nástrojům na počítačích, a zároveň možnost bezpečné detonace malwaru uvnitř zabezpečených kontejnerů, dávají HP Wolf Security konkrétní přehled o nejnovějších technikách, které kyberzločinci používají. Do dnešního dne zákazníci HP Wolf Security klikli na více než 55 miliard e-mailových příloh, webových stránek a stažených souborů, aniž by došlo k hlášeným narušením bezpečnosti.
Další klíčová zjištění:
• Alespoň 13 % hrozeb v e-mailech identifikovaných pomocí HP Sure Click obcházelo jeden nebo více skenerů bran;
• Archivní soubory byly nejpopulárnějším způsobem doručení (40 %), následovaly spustitelné soubory a skripty (35 %);
• Útočníci i nadále používají .rar archivy (26 %), což naznačuje, že zneužívají důvěryhodný software jako například WinRAR k tomu, aby nevzbudili podezření.
Ian Pratt, globální vedoucí bezpečnosti pro osobní systémy ve společnosti HP Inc., říká: „Techniky living-off-the-land jsou problematické a těžko řešitelné, protože je těžké rozlišit legitimní aktivitu od útoku. Jste mezi dvěma kameny – buď zablokujete aktivitu, což může způsobit problémy uživatelům a vytvořit nutnost otevřít tiket pro SOC, nebo to necháte otevřené a riskujete, že útočník projde. I ten nejlepší detekční systém některé hrozby přehlédne, proto je nezbytné mít víceúrovňovou obranu s izolací a blokováním útoků, aby byly zadrženy dříve, než způsobí škody.“
