5 Krajnji napadi Antivirus se neće uhvatiti

  • Za cyber napadače krajnja je točka THE point
  • Kako ovi napadi izbjegavaju otkrivanje antivirusom
  • Ova 4 kritična koraka pokazuju kako se to radi

Krajnje točke predstavljaju mjesto ulaska u vaše okruženje, vaše podatke, vjerodajnice i potencijalno cijelu tvrtku. Kompromitirana krajnja točka pruža sve što napadaču treba da se upori na vašoj mreži, ukrade podatke i potencijalno ih drži za otkupninu. Ako ne zaštitite svoje kritične krajnje točke (uključujući poslužitelje, prijenosna računala i radne površine), možda ćete ostavljati ulazna vrata širom otvorena za napadače.

Napadači su osmislili kako zaobići tradicionalni antivirusni softver s dizajnom napada bez datoteka kako bi se sakrili unutar sankcioniranih aplikacija, pa čak i unutar samog OS-a.

Napadači su osmislili kako zaobići tradicionalni antivirusni softver s dizajnom napada bez datoteka kako bi se sakrili unutar sankcioniranih aplikacija, pa čak i unutar samog OS-a. Dakle, čak i ako budno pazite na instaliranje zakrpa i potezanja antivirusnih ažuriranja, vaša organizacija je vjerojatno još uvijek u opasnosti. Nastavite čitati da biste razumjeli:

  • Kako su napadači prilagodili svoju taktiku za izbjegavanje tradicionalnog antivirusa
  • Kako djeluju ti sve češći napadi
  • Kako brzo razviti strategiju otkrivanja prijetnji

5 napada vaš tradicionalni antivirus neće zahvatiti

1. Kriptominiranje zlonamjernog softvera

Alati za kriptominiranje pretvaraju računalnu snagu u prihod. Tržište kriptovaluta brzo raste, a Centralna procesna jedinica (CPU) koja se zahtijeva da se rudnik za kripto valute dogodi vrlo skupo.1 Dakle, napadači stvaraju zlonamjerni softver i druge napade kako bi tiho sipali računske resurse žrtava za kriptominiranje. Metode uključuju:

  • Iskorištavanje izloženih resursa AWS ili vjerodajnica AWS računa za krađu resursa računalnog oblaka, često nazivanih "kriptojaking"
  • Napadi temeljeni na pregledniku koji djeluju dok posjetitelj pregledava legitimnu i istovremeno ugroženu web lokaciju
  • Kriptominiranje zlonamjernog softvera, koji se često isporučuje putem phishing kampanja, a koji troši CPU na vašim krajnjim točkama

Bilo koji okus napada kriptominiranja može imati katastrofalne učinke na vaše poslovanje. Napadači mogu pretvoriti kompromitirane krajnje točke i oblake u tihe armije zombija krivokutnih rudara - i sve to bez ijednog antivirusnog upozorenja. Bez naprednih alata za otkrivanje prijetnji koji obuhvaćaju vaše krajnje točke i javne oblake, vaš jedini pokazatelj da su možda ugrađeni vaši računalni resursi, mogao biti hit aplikacije ili mrežne performanse ili skok raćunarski AWS fakture.

2. Obrnuti PowerShell napadi

Čak i u špijunskim romanima, svi znaju da je najbolji način da se izbjegne otkrivanje ponašati se kao da pripadate. Napadači slijede ovaj pristup, jer sve više koriste PowerShell i druge sankcionirane usluge za izbjegavanje tradicionalnog antivirusnog softvera. Dobivanjem pristupa administrativnim vjerodajnicama i izvršavanjem ovlaštenih radnji administracije, cyber napadači mogu smanjiti svoju ovisnost o zlonamjernom softveru i iskorištavati setove te lakše izbjeći otkrivanje, čineći još jednostavniju operaciju krađe podataka.

3. Daljinsko spajanje protokola za radnu površinu (RDP)

Protokol udaljene radne površine (RDP) omogućuje vam daljinsko povezivanje s Windows sustavom, obično zahtijevajući da navedete korisničku lozinku prije nego što dobijete pristup sesiji. Međutim, poznati podvig za zaobilaženje ovoga je pokretanje tscon.exe (RDP klijentskog postupka) kao korisnika sustava SYSTEM, koji vas ne traži da unesete lozinku. A, antivirusni alarmi se ne isključuju.

Savjet: Javno dostupne RDP usluge na vašim krajnjim točkama služe kao otvoreni poziv napadačima, pa provjerite je li pravilo vatrozida gateway-a blokiralo ove veze prema zadanim postavkama (ili dopušta samo veze s ovlaštenih IP adresa).

4. Napredne trajne prijetnje (APT-ovi) / rootkiti

Napredne trajne prijetnje (APT) uključuju niz koraka od kojih svaki može lako izbjeći tradicionalne metode otkrivanja (svaki od ovih koraka detaljno ćemo se pozabaviti u sljedećem odjeljku). Ove kombinirane prijetnje često počinju s phishing e-poštom za prikupljanje vjerodajnica, a zatim prelaze na instaliranje zlonamjernog softvera poput rootkita koji se ugrađuju duboko u OS krajnje točke. Nakon što dobijete korijenski pristup na razini kernela, sve oklade su isključene i sustav je u potpunom vlasništvu.

5. Ransomware

Napadači znaju inovirati. Najnovije ransomware inovacije uključuju nuđenje ransomware-a-kao-usluge, kao i ciljanje široko korištenih korporativnih aplikacija u oblaku. Primjer koji lako izbjegava antivirusni program je ShurL0ckr ransomware, koji cilja platforme za razmjenu datoteka zasnovane na oblaku. Ransomware-as-a-service omogućuje napadačima da autoru plate postotak otkupnine nakon što se generira i distribuira korisni teret koji šifrira datoteke na disku.

Kako ovi napadi izbjegavaju otkrivanje antivirusom

Iako se ovi napadi mogu razlikovati, imaju neke specifične karakteristike koje im pomažu da izbjegnu otkrivanje tradicionalnim antivirusnim alatima.

Iako se ovi napadi mogu razlikovati, imaju neke specifične karakteristike koje im pomažu da izbjegnu otkrivanje tradicionalnim antivirusnim alatima.

Ova 4 kritična koraka pokazuju kako se to radi.

1. dostava

Antivirusni alati na temelju potpisa pokušavaju uhvatiti i staviti u karantenu zlonamjerne datoteke dok se preuzimaju ili izvršavaju na krajnjim točkama. Problem je što moderni napadi djeluju bez preuzimanja ili izvršavanja zlonamjernih datoteka na tvrdom disku. Umjesto toga, oni koriste društveni inženjering (lažno predstavljanje), iskorištavaju ranjivosti OS-a i pakiraju zlonamjerni kod unutar datoteka normalnog izgleda kako bi izbjegli otkrivanje u procesu isporuke.

Na primjer, trojanac može upotrijebiti phishing e-pošte kako bi isporučio zlonamjerni kôd kao poznati makro softvera. Jednom kada se napadač upori na krajnjoj točki žrtve, pomoću PowerShell-a može preuzeti teret i širiti se. Budući da je tradicionalni antivirus izgrađen da traži neobične datoteke, PowerShell i ostali izvorni procesi lako se odvijaju pod njihovim radarima.

2. evazija

Najbolje djelo je korištenje izvornih komponenti sustava protiv sebe. Koristeći ono što je već na krajnjoj točki (npr. Tscon.exe, PowerShell, itd.), Cyber ​​napadači izvršavaju napade mnogo brže, a istovremeno izbjegavaju otkrivanje antivirusa.

3. Bočno kretanje

Krajnje točke pružaju napadačima neophodno uporište u mreži žrtve. Jednom kada je krajnja točka ugrožena - a bilo koja krajnja točka će učiniti - sljedeći korak je bočno kretanje kroz mrežu radi pronalaženja željenih sredstava i ciljeva (administratorske vjerodajnice domene, poslužitelji datoteka itd.). Jednom kada napadač ima vjerodajnice administratora domene, može se doseliti doslovno bilo gdje unutar te domene, krađu i eksfiltrirajući podatke bez protuvirusnog softvera koji pokreće jedno upozorenje.

4. Pokrijte pjesme

Nakon što obavi svoj prljavi posao, pametni napadač će pokriti njihove tragove. Pomoću vjerodajnica administratora domene napadači lako brišu datoteke dnevnika sa svake krajnje točke koju su koristili unutar te domene kako ne bi ostavili kritičke forenzičke dokaze za istražiteljima. Jednom PowerShell skriptu sve krađe krađe nestaju - a niti jedan antivirusni alat to ne primjećuje.

Da biste pročitali u potpunosti preuzmite članak:

[bsa_pro_ad_space id = 4]

websecuremedia

Pristupite najnovijim dokumentima informacijske tehnologije, istraživanjima, studijama slučaja i još mnogo toga što pokriva širok raspon tema poput IT upravljanja, upravljanja poduzećima, upravljanja informacijama i Interneta stvari (IOT).
https://websecuremedia.com/

Ostavi odgovor