Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Популярные инструменты безопасности становятся объектом все большего числа атак, поскольку злоумышленники переходят на нетехнические методы и методы подбора паролей.
Вредоносные адаптации популярных инструментов Red Teaming, таких как Cobalt Strike и Metasploit, вызывают существенные сбои и становятся доминирующей стратегией в кампаниях по распространению вредоносного ПО.
Согласно исследованию компании Elastic, занимающейся поиском угроз и известной своими решениями на основе поиска, эти два традиционных инструмента тестирования на проникновение были превращены в оружие, на долю которого в 2024 году пришлось почти половина всех вредоносных действий.
«Наиболее часто встречающиеся семейства вредоносных программ в первую очередь связаны с инструментами агрессивной безопасности (OST) — это значительный рост по сравнению с прошлым годом», — заявили исследователи из Elastic Security Labs в отчете. «Cobalt Strike, Metasploit, Sliver, DONUTLOADER и Meterpreter представляют собой около двух третей всех вредоносных программ, которые мы видели в прошлом году».
Другие важные выводы исследования Elastic включают в себя то, что предприятия чрезмерно неправильно настраивают облачные среды, что приводит к усилению враждебной активности, а злоумышленники начинают переходить от обхода защиты к прямому доступу к учетным данным.
Исследователи отметили, что возможность использовать инструмент, специально разработанный для выявления уязвимостей в корпоративных средах, представляет собой значительное преимущество для злоумышленников. Более того, предоставление такого инструмента с открытым исходным кодом может усугубить проблемы для групп по безопасности предприятий, поскольку увеличит его доступность для злоумышленников.
«Cobalt Strike и Metasploit уже давно играют роль в угрозах, поскольку Metasploit имеет открытый исходный код», — сказал Девон Керр, директор Elastic Security Labs. «Но мы также видим новые разновидности вредоносного ПО с открытым исходным кодом, доступные людям. В частности, Silver в этом году показал себя очень хорошо».
Керр далее объяснил, что эти инструменты особенно привлекательны для противников с минимальными техническими возможностями. «Они могут развернуть эти инструменты, и в некоторых средах они будут работать автоматически, а в других, с некоторой модификацией, они будут успешны», — сказал Керр.
Керр добавил, что это также усложняет процесс точного определения источника этих вредоносных действий.
Кроме того, исследование показало, что большая часть вредоносного ПО была развернута на системах Windows (66%) из-за широкой доступности этой операционной системы, за которой следуют хосты Linux (32%). Наименее уязвимой оказалась macOS, где было обнаружено менее 2% вредоносных программ.
Вредоносное ПО, маскирующееся под легальное программное обеспечение (трояны), было наиболее наблюдаемой категорией вредоносного ПО (82%).
«Разбирая неудавшиеся проверки состояния AWS, мы заметили, что 30% всех неудавшихся проверок состояния относятся к S3», — заявили исследователи, добавив, что неудавшиеся проверки состояния — это случаи, когда предприятие не выполнило установленную позицию безопасности. Сетевое взаимодействие (23%) и IAM (15,5%) были другими слабыми областями для AWS.
Учетные записи хранения (47%) и сетевые подключения (15%) остаются проблемными областями для клиентов Microsoft Azure, поскольку они не прошли большинство проверок состояния, выполненных в этих областях. В отчете отмечается, что у клиентов Google Cloud есть зияющие рабочие процессы BigQuery (44%), виртуальных машин (29%) и сетевых подключений (15%).
Еще одной растущей тенденцией, выявленной в ходе исследования, стал переход субъектов угроз от методов уклонения от защиты, которым, по-видимому, успешно противостоят, к получению законных учетных данных путем грубой силы или иным способом для дальнейшего проникновения.
«Открытия в отчете Elastic Global Threat Report за 2024 год подтверждают поведение, которое мы продолжаем наблюдать: технологии защиты работают. Наши исследования показывают снижение уклонения от защиты на 6% по сравнению с прошлым годом», — сказал Джейк Кинг, руководитель отдела разведки угроз и безопасности в Elastic. «Злоумышленники больше сосредоточены на злоупотреблении инструментами безопасности и вкладывают средства в законный сбор учетных данных для достижения своих целей, что подтверждает необходимость для организаций иметь хорошо настроенные возможности и политики безопасности».
В отчете также говорится, что 23% всех вредоносных действий в облаке были связаны с доступом к учетным данным, в основном в Microsoft Azure, причем 35% из них были совершены с помощью методов подбора, что на 12% больше, чем в прошлом году, таких как подстановка учетных данных, подбор паролей и атаки по словарю.
Источник
Вредоносные адаптации популярных инструментов Red Teaming, таких как Cobalt Strike и Metasploit, вызывают существенные сбои и становятся доминирующей стратегией в кампаниях по распространению вредоносного ПО.
Согласно исследованию компании Elastic, занимающейся поиском угроз и известной своими решениями на основе поиска, эти два традиционных инструмента тестирования на проникновение были превращены в оружие, на долю которого в 2024 году пришлось почти половина всех вредоносных действий.
«Наиболее часто встречающиеся семейства вредоносных программ в первую очередь связаны с инструментами агрессивной безопасности (OST) — это значительный рост по сравнению с прошлым годом», — заявили исследователи из Elastic Security Labs в отчете. «Cobalt Strike, Metasploit, Sliver, DONUTLOADER и Meterpreter представляют собой около двух третей всех вредоносных программ, которые мы видели в прошлом году».
Другие важные выводы исследования Elastic включают в себя то, что предприятия чрезмерно неправильно настраивают облачные среды, что приводит к усилению враждебной активности, а злоумышленники начинают переходить от обхода защиты к прямому доступу к учетным данным.
Хорошая защита становится лучшим нападением
Cobalt Strike (27%) и Metasploit (18%) были двумя наиболее распространенными OST, наблюдаемыми в исследовании Elastic. Другие подобные инструменты включали Silver (9%), DonutLoader (7%) и Meterpreter (5%).Исследователи отметили, что возможность использовать инструмент, специально разработанный для выявления уязвимостей в корпоративных средах, представляет собой значительное преимущество для злоумышленников. Более того, предоставление такого инструмента с открытым исходным кодом может усугубить проблемы для групп по безопасности предприятий, поскольку увеличит его доступность для злоумышленников.
«Cobalt Strike и Metasploit уже давно играют роль в угрозах, поскольку Metasploit имеет открытый исходный код», — сказал Девон Керр, директор Elastic Security Labs. «Но мы также видим новые разновидности вредоносного ПО с открытым исходным кодом, доступные людям. В частности, Silver в этом году показал себя очень хорошо».
Керр далее объяснил, что эти инструменты особенно привлекательны для противников с минимальными техническими возможностями. «Они могут развернуть эти инструменты, и в некоторых средах они будут работать автоматически, а в других, с некоторой модификацией, они будут успешны», — сказал Керр.
Керр добавил, что это также усложняет процесс точного определения источника этих вредоносных действий.
Кроме того, исследование показало, что большая часть вредоносного ПО была развернута на системах Windows (66%) из-за широкой доступности этой операционной системы, за которой следуют хосты Linux (32%). Наименее уязвимой оказалась macOS, где было обнаружено менее 2% вредоносных программ.
Вредоносное ПО, маскирующееся под легальное программное обеспечение (трояны), было наиболее наблюдаемой категорией вредоносного ПО (82%).
Предприятия, не прошедшие комплексную проверку
Большое количество предприятий, использующих популярные облачные среды, не выполнили рекомендации CIS по безопасной конфигурации. Общие оценки состояния для пользователей AWS, Google Cloud и Microsoft составили 57, 47 и 45 из 100.«Разбирая неудавшиеся проверки состояния AWS, мы заметили, что 30% всех неудавшихся проверок состояния относятся к S3», — заявили исследователи, добавив, что неудавшиеся проверки состояния — это случаи, когда предприятие не выполнило установленную позицию безопасности. Сетевое взаимодействие (23%) и IAM (15,5%) были другими слабыми областями для AWS.
Учетные записи хранения (47%) и сетевые подключения (15%) остаются проблемными областями для клиентов Microsoft Azure, поскольку они не прошли большинство проверок состояния, выполненных в этих областях. В отчете отмечается, что у клиентов Google Cloud есть зияющие рабочие процессы BigQuery (44%), виртуальных машин (29%) и сетевых подключений (15%).
Еще одной растущей тенденцией, выявленной в ходе исследования, стал переход субъектов угроз от методов уклонения от защиты, которым, по-видимому, успешно противостоят, к получению законных учетных данных путем грубой силы или иным способом для дальнейшего проникновения.
«Открытия в отчете Elastic Global Threat Report за 2024 год подтверждают поведение, которое мы продолжаем наблюдать: технологии защиты работают. Наши исследования показывают снижение уклонения от защиты на 6% по сравнению с прошлым годом», — сказал Джейк Кинг, руководитель отдела разведки угроз и безопасности в Elastic. «Злоумышленники больше сосредоточены на злоупотреблении инструментами безопасности и вкладывают средства в законный сбор учетных данных для достижения своих целей, что подтверждает необходимость для организаций иметь хорошо настроенные возможности и политики безопасности».
В отчете также говорится, что 23% всех вредоносных действий в облаке были связаны с доступом к учетным данным, в основном в Microsoft Azure, причем 35% из них были совершены с помощью методов подбора, что на 12% больше, чем в прошлом году, таких как подстановка учетных данных, подбор паролей и атаки по словарю.
Источник
