מחקר: תוקפים שוהים בממוצע 11 ימים ללא זיהוי ברשתות שנפרצו
מאת:
מערכת Telecom News,6.6.21, 13:40
פורסם מדריך, שמטרתו לסייע לצוותי אבטחה להבין מה תוקפים עושים במהלך התקפה וכיצד לזהות ולהגן מפני פעילות זדונית ברשתות שלהם. כשתוקפים מבלים זמן רב ברשת ומטמיעים את ההתקפות שלהם בפעילות ה-IT השגרתית, חיוני, שמגינים יבינו את סימני האזהרה אותם צריך לחקור. קיימת קורלציה מעניינת בין 5 הכלים המובילים, שנמצאו ברשתות של קורבנות.
סופוס, שעוסקת באבטחת הדור הבא, פרסמה את מדריך "
Active Adversary Playbook 2021 ", שמציג התנהגויות, כלים, טכניקות ותהליכים (
TTP), שציידי האיומים וצוותי התגובה לאירועים של החברה תצפתו בשטח במהלך 2020. נתוני זיהוי ה-
TTP כוללים גם את תחילת 2021.
הממצאים מראים, שהזמן בו תוקף שוהה ברשת לפני שזוהה עמד על 11 ימים בממוצע, או 264 שעות. הזמן הארוך ביותר בו פריצה התרחשה ללא זיהוי עמד על 15 חודשים. תוכנות כופר, שמופיעות ב-81% מהאירועים ו-69% מההתקפות האחרות כללו שימוש בפרוטוקול גישה מרחוק (
RDP) לצורך ביצוע תנועה רוחבית בתוך הרשת.
המדריך מבוסס על נתוני הטלמטריה של החברה וכן על 81 חקירות של אירועים ותובנות מצוות התגובה המנוהלת לאיומים (
MTR), שמורכב מציידי איומים ואנליסטים, ומצוות התגובה המהירה (
Sophos Rapid Response) שלה. מטרת המדריך היא לסייע לצוותי אבטחה להבין מה תוקפים עושים במהלך התקפה וכיצד לזהות ולהגן מפני פעילות זדונית ברשתות שלהם.
ממצאים מרכזיים במדריך כוללים:
ממוצע הזמן בו תוקף שוהה ברשת לפני גילוי עמד על 11 ימים - המשמעות היא, שהתוקפים מקבלים 264 שעות פנויות לביצוע פעילות זדונית, כגון ביצוע תנועה רוחבית, איסוף מודיעין,
credential dumping, חילוץ נתונים ועוד. חלק מהפעולות האלו יכולות לארוך החל ממספר דקות ועד מספר שעות עד להטמעה, ולעיתים קרובות הן מתבצעות במהלך הלילה או מחוץ לשעות העבודה הרגילות. כך, ש-11 ימים מספקים לתוקפים זמן מספיק כדי לגרום נזק לרשת הארגונית. יש לציין, שמתקפות כופר דורשות זמן קצר להתבססות ברשת מאשר התקפות "חמקניות", מכיוון שהן יותר ממוקדות בהרס.
90% מההתקפות שנצפו כללו שימוש בפרוטוקול גישה מרחוק (RDP) - וב-69% מכל המקרים התוקפים השתמשו ב-
RDP לצורך ביצוע תנועה רוחבית. לרוב, אמצעי אבטחה עבור
RDP, כגון
VPN ואימות רב שלבי, נוטים להתמקד בהגנה על גישה מבחוץ, אך אלה לא יעבדו אם התוקף כבר מצא את דרכו אל תוך הרשת. השימוש ב-
RDP לצורך תנועה רוחבית הוא נפוץ יותר בהתקפות פעילות המערבות עבודה ידנית, כגון אלו הכוללות תוכנות כופר.
קיימת קורלציה מעניינת בין 5 הכלים המובילים, שנמצאו ברשתות של קורבנות. לדוגמא, כאשר
PowerShell נמצא בשימוש במסגרת התקפה,
Cobal Strike נצפה ב-58% מהמקרים,
PsExec נמצא ב-49% ,
Mimikatz ב-33% ו-
GMER ב-19%.
Cobalt Strke ו-
PsExec נמצאו יחדיו ב-27% מההתקפות, בעוד
Mimikatz ו-
PsExec הופעלו יחדיו ב-31% מההתקפות. לבסוף, השילוב של
Cobalt Striks,
PowerShell ו-
PsExec התרחשו ב-12% מכלל ההתקפות. זיוהי קוארלציה כזו הוא חשוב מכיוון שהזיהוי שלהם על השרת יכול לספק התראה מוקדת להתקפה שבדרך, או כדי לאמת נוכחות של התקפה פעילה.
תוכנות כופר מעורבות ב-81% מההתקפות שחקרה החברה. הפעלת תוכנת הכופר היא בד"כ הנקודה בה מתקפה נחשפת בפני צוות אבטחת ה-
IT. לכן, אין זו הפתעה, שרוב האירועים, שהחברה הגיבה אליהם, כוללים תוכנת כופר. סוגי התקפות נוספים שנחקרו כוללים גניבת נתונים בלבד, כריית מטבעות וירטואליים, סוסים טרויאנים לבנקאות, מוחקים (
Wipers),
droppers, כלי בדיקת חדירה (
pen test/attack) ועוד.
נושאים נוספים במדריך כוללים טקטיקות וטכניקות המרכיבות פעילות עוינת ודורשת חקירה מעמיקה יותר, סימנים מוקדמים ביותר להתקפות, סוגי איומים וממצאים זדוניים, קבוצות התוקפים הפעילות ביותר שנצפו, ועוד.
ג'ון שיאר, יועץ אבטחה בכיר בסופוס: "אופק האיומים הופך לצפוץ ומורכב יותר, עם התקפות מצד תוקפים בעלי טווח רחב של יכולות ומשאבים, החל מילדוני מקלדת (
script kiddies) ועד לקבוצות איום הפועלות בגיבוי מדינות. אופק כזה הופך את החיים מאתגרים ביותר לצד המגן. במהלך השנה האחרונה, צוות המגיבים שלנו סייע לנטרל התקפות, שהופעלו ע"י 37 קבוצות תקיפה, עם כ-400 כלים שונים. רבים מהכלים האלה נמצאים בשימוש גם ע"י מנהלי
IT ומומחי אבטחה במהלך העבודה היומיומית שלהם. כך, שלזהות את ההבדל בין פעילות זדונית לפעילות רגילה זה לא תמיד פשוט.
כשהתוקפים מבלים ממוצע של 11 ימים ברשת ומטמיעים את ההתקפות שלהם בפעילות ה-
IT השגרתית, חיוני, שמגינים יבינו את סימני האזהרה אותם צריך לחקור. אחד מהדגלים האדומים האלה, לדוגמא, מופיע כאשר כלי או פעילות לגיטימיים מופיעים במקום בלתי צפוי. יותר מהכל, המגינים צריכים לזכור, שטכנולוגיה יכולה לעשות הרבה, אבל עם אופק האיומים של היום, ייתכן וזה לא מספיק. ניסיון אנושי והיכולת להגיב צריכים להיות חלק חיוני מכל פתרון אבטחה".