Hlavní techniky kyberútoků v roce 2024

1. Injektáž procesů (T1055)

Injektáž procesů je technika, při které útočníci vkládají svůj škodlivý kód do běžících, legitimních procesů. Tento postup jim umožňuje spouštět svůj kód v kontextu těchto důvěryhodných procesů, čímž úspěšně obchází bezpečnostní opatření, která by jejich kód jinak detekovala.

Typické využití této techniky je maskování škodlivé aktivity jako součást legitimního procesu. Tento způsob nejen ztěžuje detekci malwaru, ale také umožňuje útočníkům získat vyšší oprávnění, pokud je infikovaný proces provozován s administrátorskými právy.

Jak se bránit:

  • Behaviorální detekce: Zaměřte se na podezřelé aktivity, jako jsou neočekávané injektáže kódu do důvěryhodných procesů.
  • Strojové učení: Nasazení modelů strojového učení, které identifikují anomálie v chování procesů.

2. Skriptovací interprety (T1059)

Útočníci často využívají nativní nástroje operačních systémů, jako je PowerShell, bash nebo Windows Command Prompt, k provádění škodlivých skriptů. Tyto nástroje jsou běžně používány správci systémů a jsou obvykle povolené v korporátních prostředích, což ztěžuje jejich detekci.

Skriptovací interprety útočníkům umožňují provádět širokou škálu operací, od exfiltrace dat až po šíření malwaru v síti. Díky těmto technikám mohou útočníci provádět své operace skrytě, bez nutnosti zavádět nové, nápadné aplikace nebo nástroje.

Jak se bránit:

  • Přísnější pravidla pro PowerShell a jiné interprety: Nastavení pravidel pro povolené skripty a monitorování jejich aktivity.
  • Audit a řízení přístupů: Omezení oprávnění pro použití těchto nástrojů jen na administrátory a pravidelné audity jejich využití.

3. Zneškodnění obran (T1562)

Tato technika zaznamenala alarmující nárůst, což naznačuje, že útočníci stále častěji nechtějí pouze obcházet bezpečnostní systémy, ale také je přímo ničí nebo deaktivují. Malware typu „Hunter-Killer“ záměrně útočí na detekční systémy, firewally a systémy logování, aby prodloužil dobu, po kterou zůstane neodhalen.

Tento přístup je mimořádně nebezpečný, protože eliminuje klíčové bezpečnostní mechanismy, čímž útočníkům poskytuje volný přístup k dalším částem sítě a systémům, aniž by byl jejich útok rychle detekován.

Jak se bránit:

  • Diversifikace bezpečnostních systémů: Nasazení více vrstev zabezpečení, které nebudou závislé na jednom řešení.
  • Zálohy a segmentace: Zajištění, že bezpečnostní systémy mohou být rychle obnoveny a že jsou izolovány od hlavních operací.

4. Získávání systémových informací (T1082)

Útočníci se často snaží získat podrobné informace o systému, na který útočí. To zahrnuje hardware, nainstalovaný software, síťové konfigurace a další data, která mohou pomoci malware přizpůsobit konkrétnímu prostředí. Tyto informace pak mohou využít k přizpůsobení svého útoku nebo ke zlepšení schopnosti malwaru zůstat neodhalen.

Jak se bránit:

  • Segmentace sítě: Omezte množství informací, které může útočník získat, tím, že rozdělíte síť na menší segmenty.
  • Monitorování přístupů: Pravidelně sledujte, které procesy a aplikace vyhledávají systémové informace.

5. Šifrování dat pro dopad (T1486)

Tato technika je typická pro ransomware útoky, kdy útočníci zašifrují data a požadují výkupné za jejich dešifrování.

Jak se bránit:

  • Pravidelné zálohování: Provádějte pravidelné zálohy důležitých dat a udržujte je offline nebo na izolovaných systémech.
  • Monitorování a detekce šifrovacích aktivit: Nasazení systémů, které mohou detekovat hromadné šifrování souborů a zastavit podezřelé procesy.

6. Dumpování přihlašovacích údajů (T1003)

Získávání přihlašovacích údajů přímo z operačního systému je stále jednou z nejdůležitějších technik používaných útočníky. Jakmile útočníci získají přístup k pověření uživatele nebo administrátora, mohou se volně pohybovat po síti a provádět škodlivé operace.

Jak se bránit:

  • Vícefaktorová autentizace (MFA): Implementujte vícestupňové ověřování pro všechny uživatele, zejména pro privilegované účty.
  • Silné heslové politiky: Pravidelně měňte hesla a používejte bezpečné postupy při vytváření hesel.

7. Aplikační vrstvy protokolů (T1071)

Útočníci často využívají aplikační vrstvy protokolů (např. HTTP, HTTPS), aby mohli komunikovat s napadenými systémy nebo přenášet data. Tímto způsobem se dokážou skrýt mezi běžnou internetovou komunikací, což jim umožňuje obcházet bezpečnostní systémy, které monitorují pouze provoz na nižších úrovních.

Jak se bránit:

  • Monitorování provozu aplikační vrstvy: Implementujte detekční mechanismy, které dokáží odhalit podezřelé aktivity na aplikační vrstvě, jako je neobvyklá komunikace nebo přenos velkých objemů dat.
  • Šifrování komunikace: Používejte šifrované protokoly a sledujte pokusy o neautorizované připojení.

8. Automatické spouštění při bootu nebo přihlášení (T1547)

Tato technika útočníkům umožňuje spouštět svůj škodlivý kód pokaždé, když se systém spustí nebo když se uživatel přihlásí. Využívá zranitelná místa v mechanismech automatického spouštění, jako jsou registry nebo plánovače úloh ve Windows, což útočníkům zaručuje stálý přístup do systému.

Jak se bránit:

  • Monitorování a audit spouštěcích záznamů: Pravidelně kontrolujte, které aplikace a služby se automaticky spouštějí, a sledujte podezřelé přidání nových záznamů.
  • Řízení přístupu: Omezte oprávnění pro úpravy registrů a automatických spouštěcích služeb na minimální nutné množství uživatelů.

9. Správa systémů Windows (T1047)

Útočníci mohou využívat nástroje správy systému Windows, jako je Windows Management Instrumentation (WMI), k provádění škodlivých akcí na napadených systémech. Tyto nástroje se často používají k administraci systému, což útočníkům umožňuje provádět škodlivé skripty nebo příkazy bez vyvolání podezření.

Jak se bránit:

  • Omezení používání WMI: Správci by měli omezit přístup k WMI a sledovat jeho používání v síti.
  • Detekce anomálií: Implementujte systémy pro sledování a detekci neobvyklých aktivit, které využívají nástroje správy systému.

10. Obfuskace souborů a informací (T1027)

Obfuskace (zastírání) je technika, při které útočníci zakódují, zašifrují nebo jinak skryjí svůj škodlivý kód, aby se vyhnuli detekci. Čím dál častěji používají tuto techniku k tomu, aby zmátli bezpečnostní systémy a forenzní analýzy, což jim umožňuje zůstat neodhaleni po delší dobu.

Jak se bránit:

  • Monitorování neobvyklých souborových aktivit: Sledujte aktivity spojené s podezřelým šifrováním souborů a jejich změnami.
  • Nástroje pro deobfuskaci: Implementujte nástroje, které mohou analyzovat a dešifrovat podezřelé soubory, aby byla jejich pravá povaha odhalena.

Jak se připravit na kyberútoky v roce 2024?

Podle Picus Red Report 2024 útočníci stále zdokonalují své metody, a organizace proto musí investovat do pokročilých obranných technologií. Zde jsou doporučení:

  • Behaviorální analýza a strojové učení: Identifikace anomálií pomocí pokročilých technologií.
  • Pravidelné audity a testování: Simulace útoků pro odhalení slabin.
  • Zálohy a zotavení: Zálohování dat a vytvoření plánů zotavení po útoku.
  • Ochrana přihlašovacích údajů: Vícefaktorová autentizace a silná hesla.
  • Zlepšení viditelnosti aktiv: Nasazení nástrojů pro monitorování všech zařízení a aktivit v síti.

Závěr

Kyberútoky v roce 2024 jsou sofistikovanější než kdy dříve, a proto je nutné kombinovat pokročilé technologie a proaktivní obranné strategie, aby se firmy dokázaly efektivně bránit proti nejnovějším hrozbám.