Kiberhücumlarda qanuni vasitələrdən istifadə edilir

Ötən ildə “Kaspersky” tərəfindən araşdırılan kiberhücumların demək olar ki, üçdə birində qanuni məsafədən idarəetmə vasitələrindən istifadə edilib.

Lent.az “Kaspersky"nin təhlükəsizlik insidentlərinin təhlilinin nəticələrinə istinadən xəbər verir ki, bu, təcavüzkarlara öz fəaliyyət izlərini uzun müddət gizlətməyə imkan verir. Beləliklə, kiber casusluq və məxfi məlumatların oğurlanması məqsədilə edilən bir hücum orta hesabla 122 gün davam edib.

Ən geniş yayılmış vasitə PowerShell-dir (hər dördüncü hücumda istifadə olunub). Bu güclü idarəetmə vasitəsi, məlumat toplamaqdan zərərli proqramların idarəetməsinə qədər müxtəlif məqsədlər üçün istifadə edilə bilər. Hücumların 22% -i uzaq kompüterlərdə proqramları işə salmaq üçün hazırlanmış PsExec utilitinin köməyilə edilib. İlk üçlüyü şəbəkələri taramaq üçün hazırlanmış SoftPerfect Network Scanner vasitəsi tamamlayır. Hücumların 14%-də ondan istifadə edilib.

Kiber cinayətkarlar tərəfindən qanuni vasitələrdən istifadə, onların fəaliyyətinin aşkarlanması prosesini çətinləşdirir, çünki bu cür proqramın köməyi ilə həm adi tapşırıqlar, həm də icazəsiz fəaliyyətlər həyata keçirilə bilər. Lakin bəzən fəaliyyətin xarakteri kifayət qədər tez müəyyən edilir, məsələn, pul tələb edən proqramların hücumları zamanı şifrələmə üçün qanuni utilitlərdən istifadə edildikdə. Amma bu halda zərər yalnız açıq gözlə görünür.

"Təhlükəsizlik boşluğu olan bir şəbəkədə öz hərəkətlərini gizlətmək üçün, təcavüzkarlar tez-tez sistem idarəetməsi və diaqnostikasını yerinə yetirmək üçün hazırlanmış qanuni proqramlardan istifadə edirlər," Kaspersky-nin Kompüter İnsidentlərinin Operativ Həlli İdarəsinin rəisi Konstantin Sapronov deyib. "Bu vasitələr kibercinayətkarlar tərəfindən korporativ şəbəkələr haqqında məlumat toplamaq və şəbəkəyə daha çox yerləşmək, proqram və aparat parametrlərinə dəyişiklik etmək və ya məlumatları şifrləmək kimi zərərli məqsədlər üçün istifadə olunur. Bu cür proqramlardan tamamilə imtina etmək bir çox səbəblərdən dolayı mümkün deyil, lakin lazımi təhlükəsizlik siyasəti və monitorinq sistemlərini tətbiq etsəniz, şübhəli şəbəkə fəaliyyəti və mürəkkəb hücumlar erkən mərhələdə aşkar edilə bilər."

Qanuni vasitələrdən istifadə edilərək həyata keçirilən hücumları vaxtında aşkar etmək və onlara vaxtında cavab vermək üçün digər tədbirlər arasında, təşkilatlar MDR xidməti ilə EDR həllini tətbiq etməyi planlaşdırmalıdırlar. Kaspersky Endpoint Detection and Response və Kaspersky Managed Protection da daxil olmaqla müxtəlif həlləri təhlil edən MITRE ATT&CK ® Round 2 Evaluation sınağının nəticələrinin köməyilə şirkətlər ehtiyaclarına ən yaxşı cavab verən EDR məhsulunu seçə bilərlər. Bu testin nəticələri təsdiq edir ki, bütöv qorunma üçün tam avtomatlaşdırılmış çox qatlı təhlükəsizlik məhsulu və təhdidlərin mexaniki axtarışı xidmətini özündə birləşdirən hərtərəfli bir həll tələb olunur.

Kiber hücumları həyata keçirmək üçün qanuni vasitələrdən istifadə ehtimalını minimuma endirmək üçün, Kaspersky aşağıdakıları tövsiyə edir:

• xarici IP ünvanlarından uzaqdan idarəetmə vasitələrinə girişi məhdudlaşdırın və uzaqdan idarə olunan interfeyslərə girişin məhdud sayda son cihazlardan həyata keçirilə biləcəyindən əmin olun;

• bütün İT sistemləri və çox faktorlu identifikasiya üçün ciddi bir şifrələmə siyasəti tətbiq edin;

• yüksək imtiyazlı hesabları yalnız həqiqətən də iş tapşırıqlarını yerinə yetirmək üçün ehtiyacı olan istifadəçilərə təqdim edin.

Hesabat haqqında daha ətraflı məlumatı buradan əldə edə bilərsiniz.