Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
A B C D E F G H I J K L Ł M N O P R S T U V W X Z INNE

Luka w zabezpieczeniach

Luka jest wadą w zabezpieczeniach aplikacji lub systemu operacyjnego, która umożliwia hakerom lub twórcom wirusów uzyskanie nieautoryzowanego dostępu do zdalnych komputerów oraz korzystanie z nich. Do wykorzystania luki haker musi stworzyć szkodliwy program.

Po wykryciu luki (przez twórcę oprogramowania lub inne osoby) producenci aplikacji zazwyczaj tworzą "łatę" lub "poprawkę" blokującą dziurę w zabezpieczeniach. W rezultacie producenci, eksperci do spraw bezpieczeństwa oraz twórcy wirusów biorą udział w niekończącym się wyścigu, kto pierwszy odnajdzie jakiś słaby punkt.

W ostatnich latach przedział czasu między odkryciem słabego punktu a stworzeniem szkodliwego kodu wykorzystującego dziurę w zabezpieczeniach zmniejsza się. Oczywiście najgorszy z możliwych scenariuszy to tak zwany "exploit zero-day" - szkodliwy kod publikowany przez hakerów w dniu wykrycia luki w oprogramowaniu, gdy nie ma jeszcze usuwającej ją łaty. Nie pozostawia on producentom czasu na stworzenie łaty, a administratorom IT na wdrożenie innych środków zabezpieczających.



Atak Living off the Land (LotL)

Atak Living off the Land (LotL) oznacza działania, w których cyberprzestępcy korzystają z legalnego oprogramowania i funkcji dostępnych w systemie do prowadzania szkodliwych operacji.

W tym kontekście angielska fraza "living off the land" oznacza przetrwanie z użyciem tego, co jest już dostępne. Operatorzy ataków LotL przeglądają atakowane systemy w poszukiwaniu narzędzi, które można wykorzystać do osiągnięcia określonych celów. Ataki LotL często określane są mianem bezplikowych, ponieważ nie pozostawiają po sobie żadnych śladów na maszynach ofiar.

Narzędzia LotL

W większości ataków LotL cyberprzestępcy korzystają z następujących legalnych narzędzi:

  • PowerShell - platforma do uruchamiania skryptów, oferująca szeroką funkcjonalność w zakresie zarządzania systemem Windows. Atakujący używają PowerShella do uruchamiania szkodliwych skryptów, podnoszenia uprawnień, instalowania backdoorów itd.
  • WMI (Windows Management Instrumentation) - interfejs umożliwiający uzyskiwanie dostępu do komponentów systemu Windows. Dla cyberprzestępców szczególnie cenna jest możliwość pobierania informacji o danych logowania, obchodzenia systemów bezpieczeństwa (takich jak kontrola konta użytkownika i ochrona antywirusowa), wykradania plików i przeszukiwania sieci.
  • PsExec - narzędzie zdalnego wykonywania poleceń, które może zostać wykorzystane przez atakujących do zagnieżdżenia w systemie szkodliwego kodu.
  • Mimikatz - narzędzie do skanowania zabezpieczeń w systemie Windows, które zapisuje w logu dane logowania użytkowników.

Ryzyko związane z atakami LotL

Ze względu na to, że podczas przeprowadzania ataków LotL cyberprzestępcy nie zostawiają żadnych śladów na dyskach ofiar, nie można ich wykryć poprzez porównywanie sygnatur szkodliwych plików.

Ponadto, narzędzia systemu operacyjnego - takie jak PowerShell oraz WMI, zwykle znajdują się na listach dozwolonego oprogramowania, w związku z czym ich działanie może nie być interpretowane jako niebezpieczne przez system ochrony.

Wreszcie, fakt, że cyberprzestępcy korzystają z legalnych narzędzi utrudnia pracę badaczom ds. bezpieczeństwa.

Ochrona przed atakami LotL

Aby skutecznie walczyć z atakami LotL, eksperci ds. cyberbezpieczeństwa korzystają z rozwiązań opartych na analizie behawioralnej. Pozwala to na wykrywanie anomalii w działaniu programów i aktywności użytkownika.

Do narzędzi wykorzystywanych podczas walki a atakami LotL należą rozwiązania EDR oraz techniki polowania na zagrożenia.