Conform clasificatii MITRE ATT&CK cele mai populare trei tehnici folosite de atacatori in 2021 au fost:
- User Execution
- Spearphishing
- Exploatarea serviciilor remote
User execution
Aceasta tehnica necesita o actiune din partea utilizatorului pentru ca atacul sa aiba success. Utilizatorul este de regula conectat on-premises sau de la distanta la reteaua companiei si dispozitivul sau va fi folosit ca poarta de intrare in interiorul infrastructurii organizatiei. Hacker-ul reuseste sa castige acces la dispozitivul utilizatorului convingandu-l pe acesta sa deschida un fisier care contine malware sau dand click pe un link malitios care vor trece dispozitivul sub controlul atacatorului. Acesti vectori de intrare sosesc la utilizator printr-un mesaj de phishing (email, sms, mesagerie instant). In unele cazuri, atacaorii folosesc tehnici de inginerie sociala care nu implica niciun fel de malware, convingand utilizatorul, prin tactici de persuasiune bine puse la punct, sa ofere controlul asupra dispozitivului sau atacatorului care pozeaza ca un inginer de suport din echipa de helpdesk sau ca reprezentantul unei companii la care utilizatorul are un cont cu “probleme” care trebuie sa fie rezolvate cat mai repede. Caracterul present, urgent care necesita o actiune imediata din partea utilizatorului il fac pe acesta sa nu mai fie vigilent si sporeste sansele de success ale atacului.
Spearphishing
Aceasta tactiva implica anexarea unui fisier malitios intr-un email si impersonarea expeditorului ca si cum mesajul vine din partea unei personae de conducere din cadrul organizatiei (team leader, manager direct, CxO). Acest atac se bazeaza pe implicarea utilizatorului si pe tehnici de inginerie sociala pentru a face emailul cat mai veridic. Payload-urile malitioase care sunt folosite de cele mai multe ori sunt fisiere executabile, arhive, fisiere PDF si documente de tip Office.
Exploatarea serviciilor remote
Organizatiile folosesc sau cel putin experimenteaza cu scenarii de munca in sistem hibrid, ceea implica disponibilitatea resurselor 24×7 din orice locatie. Conectarea la resurse se face folosind mijloace de acces de la distanta si necesita expunerea acestora in Internet, marind suprafata de atac care poate fi exploatata de atacatori. Daca sistemele din Internet sunt vulnerabile, ele pot fi compromise si pot fi folosite pentru a castiga acces la infrastructura interna a organizatiei. Cele mai vizate sisteme sunt serverele web, serverele de email si cele de fisiere, dar si sisteme precum camere IP de supraveghere, NVR-uri (Network Video Recorder) si baze de date.
MITRE ATT&CK ne spune si care sunt cele mai eficiente metode de protectie impotriva acestor tehnici de atac:
- Educarea utilizatorilor cu privire la pericolele din online la care sunt expusi in timp ce isi desfasoara activitatea la servivciu, dar si in timpul liber (angajatul poate sa isi folosesca laptopul dat de companie si in timpul personal)
- Folosirea unei solutii de protectie la nivel de endpoint care sa poata detecta activitatea anormala sau malitioasa si sa o poata bloca, sa identifice fisierele care contin malware si sa le carantineze inainte de a provoca pagube.
- Protejarea serviciului de email cu o solutie de securitate care sa poate identifica domeniile malitioase, sa inspecteze fisierele anexate si sa decida daca sunt maligne sau nu, eventual prin tehnici de sandboxing. Este de asemenea recomandat ca organizatia sa foloseasca tehnicile de protectie recomandate pentru un sistem de email: SPF, DKIM si DMARC.
- Serviciile care sunt accesibile de la distanta ar trebui sa impuna o dubla autentificare utilizatorilor pentru a se proteja impotriva uni hacker care a reusit sa obtina un set de credentiale valide. De asemenea, serviciile accesibile din Internet ar trebui sa fie segmentate de restul infrastructurii si sa nu ruleze cu privilegii de root/administrator. Orice serviciu nefolosit ar trebui dezactivat, iar serverele si aplicatiile critice sa aiba sistemele de operare si patch-urile la zi.
Mihai Dumitrascu, Sr Systems Engineer