Nadużycie LOLbinów w cyberatakach gwałtownie rośnie — twierdzi Sophos. Zagrożenia cybernetyczne coraz poważniejszym zmartwieniem dla firm.
Wzrost nadużycia LOLbinów Microsoftu (Living Off the Land binaries) w pierwszej połowie 2024 roku jest niczym innym jak alarmującym, twierdzi nowy raport Sophos.
Raport Sophos 2024 Active Adversary, który analizuje przypadki obsługiwane przez zespoły Incident Response (IR) i Managed Detection and Response (MDR), mówi, że w pierwszej połowie tego roku hakerzy użyli 187 LOLbinów w swoich atakach, co stanowi wzrost o 51% w porównaniu do 2023 roku. W 2021 roku zespół zaobserwował dokładnie 100 użytych LOLbinów.
Living Off the Land Binaries to legalne pliki wykonywalne i skrypty natywne dla systemów operacyjnych, często preinstalowane, które atakujący nadużywają do wykonywania złośliwych działań, unikając wykrycia. Są to zaufane narzędzia, takie jak PowerShell czy cmd.exe, co sprawia, że ich aktywność jest trudniejsza do odróżnienia od normalnych zadań administracyjnych.
RPD rządzi krajobrazem
Sophos twierdzi, że najczęściej nadużywane LOLbiny w tym roku to RDP, PowerShell, cmd.exe i net.exe, przy czym samo RDP było zaangażowane w prawie 89% przypadków. Nie było to zaskoczeniem dla badaczy: „W większości przypadków nazwy w powyższej tabeli nie są zaskoczeniem dla regularnych czytelników Raportu o Aktywnych Przeciwnikach – RDP rządzi krajobrazem, a cmd.exe, PowerShell i net.exe pokazują swoją zwykłą siłę,” powiedzieli.
Ponadto, pliki wykonywalne zwykle używane do odkrywania lub enumeracji wydają się być najbardziej rozpowszechnione, ponieważ z 29 najważniejszych LOLbinów, 16 służyło takiemu celowi. Narzędzia Microsoftu są coraz częściej wykorzystywane ze względu na ich legalność, podpisany status i powszechność w systemach operacyjnych, jak stwierdzono.
Aby złagodzić nadużycie LOLbinów Microsoftu, organizacje powinny przyjąć wielowarstwowe podejście do bezpieczeństwa, konkluduje Sophos.
Obejmuje to szereg działań, od ograniczenia dostępu do często nadużywanych narzędzi, po monitorowanie i rejestrowanie użycia plików wykonywalnych. Ponadto, powinny wdrożyć rozwiązania do wykrywania i reagowania na zagrożenia na punktach końcowych (EDR) oraz wyłączyć nieużywane LOLbiny. Wreszcie, regularne stosowanie aktualizacji oprogramowania i edukowanie pracowników w zakresie rozpoznawania ataków phishingowych i inżynierii społecznej może dodatkowo zmniejszyć ryzyko, jak stwierdzili.
