Astfel, atacatorii nu mai instalează programe periculoase noi, ci folosesc aceleași instrumente pe care administratorii IT le utilizează în activitățile lor zilnice. Această tactică, denumită „Living-Off-The-Land” (LOTL), transformă instrumentele uzuale ale sistemului de operare în mijloace de atac.
Topul programelor preferate de hackeri
Pentru a înțelege amploarea acestei strategii, cercetătorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numără și PowerShell, utilitar care oferă control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizații în scopuri legitime, însă analiza Bitdefender arată particularități importante. Deși este un instrument destinat în principal administratorilor IT, acesta rulează pe aproape trei sferturi dintre dispozitive și este accesat frecvent nu doar de personal tehnic autorizat, ci și de aplicații terțe care rulează PowerShell în fundal fără a fi vizibil.
Această popularitate creează un paradox: cu cât un instrument este folosit mai frecvent în mod legitim, cu atât mai ușor trece neobservat când este folosit abuziv.
Cercetarea Bitdefender a identificat topul celor cinci programe Windows cel mai frecvent utilizate de atacatori:
- netsh.exe – un instrument folosit de administratorii IT pentru configurarea setărilor de rețea, precum conexiunea la internet și firewall-ul. Hackerii, în schimb, îl exploatează pentru a analiza configurația sistemului și a-i identifica punctele vulnerabile.
- powershell.exe – un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului.
- reg.exe – editorul registrului Windows și baza de date în care sunt stocate toate setările sistemului. Administratorii IT îl folosesc pentru optimizări, însă hackerii îl pot exploata pentru a-și configura programele să pornească automat la fiecare restart al computerului, ceea ce le oferă acces permanent la sistem.
- csc.exe – un compilator cu ajutorul căruia programatorii transformă codul în aplicații, pe care hackerii îl pot exploata pentru a-și crea propriile programe periculoase direct pe dispozitivul infectat.
- rundll32.exe – un program care rulează funcții din bibliotecile Windows. Windows are sute de fișiere care conțin funcții predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii îl pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare.
Liderul BlackBasta, grupare care a atacat peste 500 de organizații cu amenințări de tip ransomware, descrie modul în care hackerii operează acum: „Dacă folosim instrumentele standard, nu vom fi detectați. Nu lăsăm niciodată urme pe dispozitive.”
Această abordare arată eficiența strategiei hackerilor. Atacatorii nu mai riscă să fie detectați prin introducerea de amenințări informatice fiindcă sistemele conțin deja tot ce le trebuie.
Analiza celor 700.000 de incidente efectuată de Bitdefender confirmă că epoca securității bazate pe catalogarea programelor ca fiind sigure sau periculoase s-a încheiat, iar viitorul aparține soluțiilor de securitate inteligente care fac distincția între utilizarea legitimă și abuzul acelorași instrumente.
Soluția: securitate personalizată pentru fiecare angajat
În acest context, cercetătorii Bitdefender au dezvoltat tehnologia PHASR – Proactive Hardening and Attack Surface Reduction. În loc să restricționeze accesul tuturor utilizatorilor la aceste programe, lucru ce riscă perturbarea operațiunilor legitime, PHASR analizează comportamentul specific al fiecărui utilizator și monitorizează exact ce acțiuni sunt executate cu fiecare program. Tehnologia PHASR este disponibilă ca extensie pentru Bitdefender GravityZone, platforma unificată de securitate și analiză a riscurilor pentru companii.
