5 ataków na endpointy, których Twój antywirus nie wychwyci

Dla cyberprzestępców ataki na endpointy są celem. To kwestia związana z wtargnięciem do Twojego środowiska, Twoich danych, referencji oraz do całej firmy. Endpoint zapewnia wszystko, czego potrzebuje przestępca, aby zdobyć taką pozycję, z której wykona dalsze działania. Może ukraść dane lub zachować je dla późniejszego szantażu. Jeśli nie chronisz swoich sprzętów (laptopów, komputerów stacjonarnych, serwerów) stwarzasz okazję dla cyberprzestępców. Atakujący wiedzą w jaki sposób ominąć tradycyjne zabezpieczenia antywirusów za pomocą bezplikowego oprogramowania. Potrafią nawet zagnieździć się w systemie operacyjnym lub w pozornie chronionych aplikacjach. Nawet zachowując czujność, w momencie instalowania nowych, potrzebnych aktualizacji, jesteś narażony na atak.

• Jak atakujący omijają tradycyjne antywirusy?
• Jaka jest ich taktyka?
• Czym charakteryzują się powszechne ataki?
• W jaki sposób szybko wykrywać zagrożenia?

Poznaj 5 ataków na endpointy:

1.  Cryptomining malware

Narzędzia do wydobywania kryptowalut przekształcają swoją moc obliczeniową w dochód. Rynek bardzo szybko się rozwija, a CPU – kopanie bywa kosztowne, dlatego atakujący tworząc złośliwe oprogramowanie przejmują zasoby obliczeniowe dla swoich korzyści. Metody obejmują:

• wykorzystywanie ujawnionych zasobów AWS lub konta AWS często do kradzieży zasobów przetwarzanych w chmurze „cryptojacking”
• ataki w przeglądarce, które działają, gdy odwiedzający przegląda legalne strony, ale już zainfekowane
• złośliwe oprogramowanie wydobywające kryptowaluty, często dostarczane za pośrednictwem kampanii phishingowych, które pochłaniają procesor na endpointach

Każdy rodzaj naruszeń związany z wydobywaniem kryptowalut może mieć katastrofalne skutki. Atakujący są w stanie przekształcić punkty końcowe i chmury w cichych złodziei kryptowalut - poza alertami antywirusowymi. Bez zaawansowanych narzędzi do wykrywania zagrożeń, które obejmują endpointy, chmury publiczne, zasoby komputerowe, aplikacje, komputer może zostać przejęty przez cyberprzestępców.

2. Odwrotne ataki PowerShell

Najlepszym sposobem na uniknięcie wykrycia jest umiejętność odpowiedniego zachowania. Atakujący coraz częściej używają PowerShella oraz innych usług by zmylić programy antywirusowe. Uzyskując dostęp do poświadczeń administratora i wykonywania autoryzowanych czynności mogą w łatwy sposób oszukać a dzięki temu dotrzeć do danych.

3. RDP Protokół zdalnego pulpitu

Umożliwia zdalne łączenie z systemem Windows. Zazwyczaj musisz podać hasło użytkownika, zanim zdobędziesz dostęp do sesji. Jednak znane exploity pozwalają na obejście, należy uruchomić tscon.exe (proces klienta RDP) jako SYSTEM użytkownika, który nie wymaga hasła. Pro-tip: Publicznie dostępne usługi PROW w endpointach – upewnij się, że firewall blokuje połączenia domyślnie lub zezwala tylko na połączenia z autoryzowanego adresu IP.

4. Zaawanasowane, trwałe zagrożenia (APTs) / rootkits

Zaawansowane, trwałe zagrożenia (APT) wymagają podjęcia szeregu kroków, jednak każdy z nich można w łatwy sposób ominąć. Często zaczynają się od e-maila z phishingiem by przechwycić dane uwierzytelniające. Następnie instalowane jest złośliwe oprogramowanie takie jak rootkity, które osadza się w głębi systemu operacyjnego endpointów. Uzyskując dostęp do root, na poziomie jądra, system zostaje przejęty.

5. Ransomware

Atakujący wiedzą w jaki sposób wprowadzić innowacje. Najnowsze oprogramowanie ransomware obejmuje usługi i jest ukierunkowane na chmury, aplikacje np. ShurL0ckr ransomware działa w chmurze jako platforma udostępniania plików dla przedsiębiorstw. Ransomware as a service umożliwia cyberprzestępcy wyłudzenie danych i późniejsze szantażowanie ofiary. Chociaż ataki i jego formy są różne, podejmowane działania mają kilka specyficznych cech.

4 krytyczne, przykładowe kroki:

1. Dostawa

Narzędzia antywirusowe oparte na sygnaturach próbują wychwycić, poddać kwarantannie złośliwe pliki w miarę ich pobierania lub w węzłach końcowych. Główny problem dotyczy tego, że nowoczesne ataki działają bez pobierania lub łączenia na dysku twardym. Używają (phishingu), wykorzystują luki w systemie operacyjnym i wprowadzają zainfekowany kod do normalnie wyglądających plików. Np. trojan może wykorzystać phishing e-mail do dostarczenia złośliwego kodu (kiedy haker ma dostęp do punktów końcowych może użyć PowerShella). Antywirus wykrywa wyłącznie podejrzane pliki.

2. Unik

Używając tego, co już jest w endpointach (np. tscon.exe, PowerShell, itp.), cyberataki można przeprowadzić znacznie szybciej, unikając jednocześnie wykrycia przez program antywirusowy.

3. Ruch poboczny

Endpointy zapewniają cyberprzestępcom wiele możliwości. Gdy punkt końcowy jest zagrożony istnieje możliwość uzyskania dostępu do uprawnień administratora, domeny, serwera, plików itp. Dzięki temu można przenieść się dosłownie wszędzie i przechwycić dane.

4. Osłona

Po wykonaniu ataku sprytny napastnik ukrywa swoje ślady. Dzięki poświadczeniom administratora domeny atakujący z łatwością usuwa pliki z dzienników w każdym endpoincie.  Za pomocą jednego skryptu PowerShell znikają wszystkie pozostałości. Jedno z narzędzi antywirusowych jest zbudowane tak aby wykryć zagrożenie tego typu:

Wykrywanie zaawansowanych zagrożeń związanych z endpointami z EDR

3 kluczowe strategie, które mają na celu zapewnienie skuteczności, skalowalności oraz obronę wrażliwych endpointów:

1.  Zapobieganie jest konieczne, ale nie wystarczające

Namierzanie zagrożeń związanych z endpointami w każdym z 4 etapów, wymaga szerszego spojrzenia, bardziej holistycznego jako na zbiór wydarzeń. Pamiętaj! Archiwizacja logów zdarzeń endpointów, pozwala na dostęp do kluczowych danych potrzebnych w przypadku naruszenia.

2. Monitoruj wszystko

Monitoring jest cenny, gdy jest kompleksowy. Zwracaj uwagę na swoje aplikacje w chmurze z systemem uwierzytelniania, zapory ogniowe, lokalne domeny.

3. Zarządzanie i skalowanie

Aby nadążyć za pojawiającymi się zagrożeniami, uprość swoje narzędzia, zadbaj o aktualizacje. Jeżeli monitorujesz bezpieczeństwo w sieci, hosta, chmurę w ramach jednej platformy/ zabezpieczeń sieci możesz szybciej zareagować na incydenty mając przy tym pełny obraz sytuacji. Zautomatyzowanie pozwoli także na zatrzymanie niektórych ataków w momencie wykrycia.

Wyjdź poza możliwości EDR

AlienVault® Unified Security Management® (USM) firmy AT&T Cybersecurity zapewnia zaawansowane wykrywanie zagrożeń, reagowanie na naruszenia, zarządzanie i monitorowanie. Wszystko odbywa się w ramach jednej platformy. Urządzenie łączy w sobie wszystkie niezbędne zabezpieczenia do skutecznego monitorowania bezpieczeństwa w środowiskach lokalnych, chmurowych, a także alerty o aktualizacjach i informacjach o zagrożeniach. Źródło: AT&T Cybersecurity