<h4 style="display:none;" Virus-free —

«Вредоносные свободный» атаки установки в крупных нарушениях, CrowdStrike находит

Украденные учетные данные, подвиги инструментов командной строки используются в 66 процентах атак.

Нет файл на основе вредоносных программ или Балаклава-требовались для большинства атак CrowdStrike исследовались в прошлом году.

Несмотря на рост массивных крипто-вымогателей атак, еще более тревожная тенденция возникла в данных, собранных фирмой безопасности CrowdStrike в прошлом году и опубликованы в компании 2017 года «Intrusion Services Casebook.» Большинство атак компания ответила на не использовать вредоносных программ на основе файла, но вместо этого эксплуатировал сочетание родного программного обеспечения систем жертв, память только от вредоносных программ, а также украденные учетные данные для получения доступа и упорствовать на целевых сетей. А средняя атака сохраняется в течение 86 дней до обнаружения.

«Мы обнаружили, что 66 процентов атак мы были исследованы файл-менее или вредоносные программы бесплатно,»сказал Брайан Йорк, директор услуг в CrowdStrike, в интервью Ars. «Эти атаки были либо заемные средства какого-то взломанные учетных данных или какой-то вредоносных программ, которая работает только в памяти.»

Некоторые из этих атак использовали вредоносные программы, которые имплантируют в памяти целевой системы, используя уязвимость программного обеспечения на системе достижимости из Интернета в качестве плацдарма, или они использовали плохо настроенные веб-систему, чтобы получить доступ, а затем в некоторых случаях заемных средств для Windows функции, такие как PowerShell или инструментарий управления Windows (WMI), чтобы установить постоянные бэкдоры и распространяться в боковом направлении на протяжении целевых сетей, не оставляя след вредоносных программ обнаружить с помощью традиционного антивирусного скрининга. «Очевидно, что память только вредоносные программы является довольно сложной задачей для защиты от» сказал Йорк.

Некоторые из этих нападений размыты различия между преступной деятельностью и государством актерского атаком-в значительной степени, Нокс говорит, из-за осознания тактики, используемых государственными структурами фильтрации в криминальное хакерском сообщество благодаря факторам, таким как утечка Shadowbrokers of NSA tools. This problem obviously extends to malware-based attacks, as demonstrated by ransomware attacks this year that used self-propagation methods based on tools from the Shadowbrokers leaks.

In some cases, malware was used only as a “dropper” to introduce memory-only malware. In one incident reported by CrowdStrike, a malicious email attachment launched a PowerShell script that created a persistent simple backdoor. PowerShell commands were then used “to push out a memory-only Metasploit implant,” CrowdStrike researchers wrote in the 2017 Casebook report. “Tracing backward, it became apparent that this PowerShell code stub had been pushed to all point-of-sale (POS) systems on the client’s network of more than 14,000 systems and 160 controllers. Further review of the implant revealed it to be RAM-scraping malware.”

Другие «вредоносные свободные» атаки не нужно, что уровень технической сложности, они эксплуатируют средства удаленного доступа, такие как серверы протокола удаленного рабочего стола или виртуальной частной сети, чтобы получить доступ к сетям жертв, или они напали внешне доступные почтовые порталы Web или облачные приложения, часто используя учетные данные, украденные с помощью фишинга или фишинга атак или других методов социальной инженерии.

«Одна из вещей, которые я видел в этом году был всплеск, когда речь идет о мошенничестве, в привлечении взломанных учетных данных, чтобы войти в Office 365 и систему Outlook Web Access,» сказал Нокс. «Часто они начинают с какой-фишинговый упражнений, где они воруют чьи-то полномочия. Это огромная тенденция проволока мошенничества на прошлой неделе, клиент потеряла 3000000 $ в серии из трех сделок такого рода атаки «.

Наиболее распространенные первоначальные методы атаки на более чем 100 случаев CrowdStrike ответ в 2017-уязвимых веб-служб лидировал.
Наиболее распространенные первоначальные методы атаки на более чем 100 случаев CrowdStrike ответ в 2017-уязвимых веб-служб лидировал.

-

In the more than 100 cases that CrowdStrike investigated this year, the company’s investigators found that attackers had an average “dwell time”—the time between their initial compromise of a network and their detection—of 86 days. “That’s a downtrend,” York noted. “Last year we were somewhere in the hundreds of days before detection”—a figure similar to those reported by other researchers.

The decrease in dwell time is indicative of the results of greater investments internally by companies in technology and staff dedicated to monitoring for malicious activity. That’s also reflected in the higher percentage of attacks that were detected by the targeted organizations themselves—68 percent, up 11 percent from last year’s CrowdStrike figures. But there are still cases where attackers have been inside networks for many months (or even years) before the compromises were detected, and a significant percentage of attacks are still only uncovered through notification by a third party—a customer, a bank, a payment processing company, or law enforcement.

en

WordPress

ПОДЕЛИТЬСЯ

Мы работаем над системой, чтобы улучшить качество сайта и наградить активных пользователей по проверке статьи, новости и качества, Благодарим Вас за улучшение Business Monkey News!

Если элемент неправильно, это неправильно переводил или отсутствует информация, вы можете изменить его, уведомит комментарий (мы исправим), или вы можете Посмотреть оригинал статьи здесь: (Статья на языке оригинала)

Изменения будут обновлены в течение 2 часов.

править История