Aamir Lakhani tarafından, Fortinet'in Fortiguard Labs ile Siber Bir Güvenlik Araştırması ve Uygulayıcı
Son zamanlarda, Fortiguard Labs, 2021'in ikinci yarısı için en son global tehdit peyzaj raporunu piyasaya sürdü. İçinde bir ton veri ve birkaç anahtar paket servisi var. Bu raporda örünen ana temalar, siber suçlayıcı sofistike ve hızdaki artışla ilgilidir.
İlk olarak, sofistike neden raporun belirgin bir yönü olduğunu tartışalım. Halen, siber suç tehdidi manzarasının en son teknolojisi, gelişmiş kalıcı tehditler (APTS), tehdit aktörleri ve ulus devletler arasındaki yakınsama dayanmaktadır. Onlar iyi finanse edilir ve çoğunlukla saldırı öldürme zincirin keşif ve silahlanma kısmına odaklanmıştır.
Geçmişte, siber suçlular, saldırının sol tarafında o kadar fazla odaklanmadı, zinciri öldürün. Ancak şimdi, o saldırı öncesi çerçeveye odaklanan ve taze sıfır gün güvenlik açıklarına atlamaya odaklanan daha fazla ve daha fazla cybercriminal imparatorluk vakasını görmeye başlıyoruz.
Siber suçluların sofistike atak yöntemlerini kullanması için tipik davranışı olmamıştır. Geçmişte, internette serbestçe erişilebilecek "araçlar", değiştirebilecekleri konsept kodu gibi kullandılar.
Fortiguard Labs, birçok saldırıda daha spesifik tasarım ve gelişmeyi görmeye başlıyor.
Ticaret peyzaj raporumuzdan büyük bir fayda, size her gün yabani otlarda çalıştığınız için size bir genel bakış sunmasıdır. Bir adım geri adım atıncaya kadar büyük resmi göremeyebilirsiniz ve özellikle bir makro seviyesinde olanlara, özellikle de "Trend'in ne var" perspektifinden.
Kötü amaçlı yazılımdaki karmaşıklığın artmasıyla ilgili rapordan gelen bir diğer önemli vahiy ve diğer birçok saldırı türü, siber suçlamaların şimdi gelişmiş kodlamadan yararlanmalarıdır. Her şey şimdi sadece Python değil. Kötü adamlar Linux ve IOT tabanlı saldırılar için C ++ gibi çok daha sofistike kodlama kullanırlar. Ayrıca, Go ve Java kullanıyorlar.
Cybercriminals, platformlarda, ortamlarda ve organizasyonlarda zayıflıkları ortaya çıkarmak için keşif kullanır. Açıkçası, bu güvenlik açıklarından yararlanmak onların hedefidir. Bununla birlikte, güvenlik açıklarından yararlanılacağını ve daha önce hiç düşünülmeyen ya da yaygın olarak kullanılmayan teknikleri kullanarak radarın altında nasıl kalacağınızı anlıyorlar.
Ayrıca güvenlik kontrollerini kaçırma girişimlerinde güçlü bir kalıcı görüyoruz.
Raporun yakın bir çalışması, daha karmaşıklığa ek olarak siber suç saldırılarının daha agresif, özellikle fidye yazılımı haline geldiğini ortaya koymaktadır.
Geçen yıl, görünmeyen seviyelerde amansız, sürekli bir Ransomware ve Ransomware yerleşimlerinin dalgalanması gördü. Bu çokla ilgilidir çünkü riskler, karmaşıklıkla bolluk eklerken olağanüstü seviyelere tırmanır. Ancak sadece daha yükseğe saldırma riski değil, tehditlerin fiili yıkıcılığı fırlatıcıdır.
Noktadaki durum: Silecek yazılımı.
Hız, son saldırılarda gördüğümüz tutarlı bir temadır. Fortiguard Labs, pencerenin küçüldüğünü görüyor - başka bir deyişle, bir saldırı ne kadar çabuk yürütülür - özellikle geçmişin hedefli saldırılarını düşündüğünüzde.
Örneğin, on yıl sonra, Stuxnet ve diğer ünlü uzun soluklu saldırılarla uğraşmak zorunda kaldığımızda, yapımında iki yıl olabilir. Ancak 2021'in sonunda LOG4J ile gördüklerimiz, sadece 10 günde, tüm raporlama dönemimizde en fazla hacmi hesaba katın.
LOG4J'ü 2020'den MS Exchange ile MS Exchange ile birlikte güvenlik açıklarını karşılaştırırsak, 50 kat daha hızlı. Yeni bir metrik, bu 10 günlük pencerede yayılma oranını koyduk ve onu proxylogon'a benzer 10 günlük bir pencereye kıyasla. Ne kadar hızlı olduğu oldukça inanılmazdı.
Log4j gibi bir tehdit o kadar popülerliğe sahip olduğunda, "Mavi Takım" savunucuları, farklı organizasyonları ve kendilerini savunmasız olup olmadıklarını görmek için kendi kuruluşlarını tarayacaklar, "Kırmızı Takım" (bilgisayar korsanları) tüm internet üzerinden tarıyorlar.
LOG4J'in doğası nedeniyle, kamuoyu duyurusu olduğunda, interneti her türlü medyada tarayan insanlarla trafikte çılgınca bir başlık vardı.
Öyleyse, 10 günde gördüğümüz veri miktarı, geçmişte gördüğümüz her şeyi seçti.
Günümüzde, savunucuların günler ve saatlerde tehditler hakkında düşünmesi gerekir. Bir SOC (Güvenlik Operasyon Merkezi) perspektifinden, analistlerin bu tehditlere ne kadar hızlı bir şekilde hazırladıkları ve tepki göstermesi 48 saatlik bir pencerede olmalıdır.
SOCS ve Network ve Güvenlik kuruluşlarının uzun süredir yaptığı bir şey, API altyapılarını kullanarak otomasyondan yararlanmaktadır ve sadece bir şeyleri olabildiğince çabuk yapılandırmaya çalışın.
Ancak saldırganlar, "Hey," Hey, bundan ne faydalanabileceğimi biliyorsunuz. Bunu 'karanlık taraf için kullanabilirim.' "Bir kuruluşun özel olarak saldırmasına yönelik kod yazmak yerine, kitle taramaları yapıyorlar.
Sibercriminaller, doğrudan yerleşik olan API Kodu, API altyapısı, kötü amaçlı yazılım ve kötü amaçlı yazılım kitlerinden yararlanır. Daha önce görmediğimiz bir sofistike düzeyi. Ayrıca, kötü amaçlı yazılım yazarlarının ve saldırganların kuruluşlara girmeye çalışmak için sistemlere soktuğu otomasyonu gösterir. Bununla birlikte, bu, "iyi adamların" bu kötü amaçlı yazılım motorlarından yararlanmak için kendi programlarını geliştirmelerine izin veriyor.
Bu yeni sofistike ve hız seviyesi de siber suçlar için ne kadar karlı olduğunu gösteriyor. Bunu bu kadar çok çalışacaklarsa ve tekrar tekrar kullanılabilir hale getiriyorlarsa, yatırımlarının (ROI) üzerinde önemli bir getiri gerçekleştirmeleri gerekir. Asla unutma, çoğu siber suçlular gayri meşru bir iş yürütüyorlar ve daha fazla headcount ve döngüleri azaltabilir ve otomasyon yapabilecekleri daha karlı olacaklar.
Tehdit Peyzaj Raporu, sibercriminal TTPS (taktikler, teknikler ve prosedürler) de bir görünüm sağlar. Gönye Attack Framework TTPS'den ne gördüğümüz manzaraları vurgulamaktadır.
Kod yürütme taktik grafiğine bakarsanız (Şekil 11 Rapordan - aşağıya bakınız), API ve komut dosyasının çoğunluk teknikleri için, tüm kod yürütme tekniklerinin% 60'ının üzerinde hesaplandığını göreceksiniz; Kullanıcı etkileşimi beklemek ve diyaloglar ve kötü amaçlı bağlantılara tıklamak anlamına gelir.
Açıkçası, şu anda o otomasyona özel bir odak noktası var. Geçmişte, kullanıcı etkileşimi, ayrıcalık yükselişi için bir fırsat almak gibi işleri yapmanın tek yolu idi, böylece sisteme girebilir ya da bazı yönetici veya yükseltilmiş ayrıcalıklarla bir kullanıcının hesabını devralın. Olmazsa, kötü adamlar bu yükseltilmiş ayrıcalıkları kazanmak için başka bir istismar kullanırlar.
Bununla birlikte, API'lerle, kötü adamlar tüm saldırıyı otomatikleştirebilir ve diğer yüksek değerli hesap türlerini arayabilirler.
API'lerin karanlık tarafına birçok avantaj var. Biri "Kapıyı vurmak" zorunda değilsiniz. Bu, faydalanabilecekleri ve bu güvenlik açığından ya da sömürünün ne kadar değerli olabileceğini belirleyebilecekleri bir güvenlik açısından arayan bir tekniği için bir cybercriminal terimdir.
API'lerle tehdit aktörleri tüm işlemi otomatikleştirebilir. Evildoers bir komut dosyası çalıştırabilir ve onlara geri döndüğünde, ne başarabileceklerini iyi bir anlayışa sahip olacaklar. Exploit'in zaman harcama yapılması durumunda bir fikir edinirler. Böylece, bu teknik kötü adamlar için maliyetleri önemli ölçüde azaltır. Ancak, aynı yöntemler iyi adamlar tarafından SOCS'den bulut dağıtımlarına ve ötesine kadar çeşitli şekillerde kullanılmaktadır.
Bu nedenle, proaktif olarak hızlı bir şekilde tepki vermek için otomasyona sahip olmak için bir SOC bakış açısından eleştireldir.
Fortiguard Labs tehdit araştırması ve Fortiguard Security abonelikleri ve hizmetleri portföyü hakkında daha fazla bilgi edinin.
Fortinet Ücretsiz Siber Güvenlik Eğitim Girişimi, Fortinet NSE Eğitim Programı, Güvenlik Akademisi Programı ve Gaziler Programı hakkında daha fazla bilgi edinin.
Aamir Lakhani, güvenlik endüstrisinde 18 yılı aşkın tecrübesiyle Fortinet'in Fortiguard Labs ile Siber Güvenlik Araştırmacısı ve uygulayıcısıdır. BT güvenlik çözümlerini önemli ticari ve federal kurumsal kuruluşlara sunmaktan sorumludur. Lakhani, savunma ve zeka ajansları için siber çözümler tasarlamış ve kendilerini aktif saldırılardan savunmada yardımcı olan kuruluşlara yardımcı oldu. Lakhani, Siber Savunma, Mobil Uygulama Tehditleri, Kötü Amaçlı Yazılım ve İleri Kalıcı Tehdit (APT) araştırması ile ilgili konulardaki ayrıntılı mimari angajlamaları ve projelerin desteklenmesinde bir endüstri lideri olarak kabul edilir.
Ransomware Haftası - 24 Aralık 2021 - Yorgun İçin Dinlenme Yok
Microsoft, Lapsus $ gasp grubu tarafından hacklendiklerini onaylar.
Beyaz Saray, Rus CyberAtpacks'a sayaç için kontrol listesini paylaşıyor
Yunanistan'ın Kamu Posta Servisi Ransomware Saldırısı nedeniyle Çevrimdışı
CISA, saldırılarda sömürülen kusurların listesine 15 güvenlik açığı ekler.
Kaynak: Bleeping Computer