Атака №7: Malware & Infostealers

Когато данните и достъпът се извличат тихо

Обобщение – Malware & Infostealers

Как работи атаката

Malware и infostealers рядко целят незабавно въздействие.
Те целят да останат незабелязани.

Атакуващите доставят зловреден код чрез phishing имейли, сваляне на файлове, компрометирани сайтове или заразени софтуерни пакети. След като бъде изпълнен, malware започва да събира данни във фонов режим.

Infostealers са насочени конкретно към:

• запазени креденшъли в браузъра
• сесийни токени
• cookies
• запазена информация за плащания

Това позволява на атакуващите да заобиколят пароли изцяло и да използват вече активни сесии.

В много случаи потребителят не забелязва нищо необичайно.

Атаката успява тихо.
А последствията се появяват по-късно.

Кого таргетира най-често

Malware не таргетира директно организацията.
Той таргетира точките на достъп.

Роли

• служители, използващи имейл и браузър
• remote потребители
• IT потребители с повишени права
• външни партньори и контрагенти

Сектори

• всички сектори
• особено организации с разпределени екипи
• SaaS ориентирани среди
• компании, разчитащи на браузърни процеси

Тип организации

• организации без силна защита на крайни точки
• среди с unmanaged устройства
• компании, позволяващи лични устройства (BYOD)
• бързо растящи екипи с непоследователни контроли

Най-слабата крайна точка често се превръща във входна точка.

На какво разчита атаката

Malware работи чрез комбинация от човешко поведение и технически пропуски.

Човешки фактор

• кликване върху злонамерени линкове
• сваляне на непроверени файлове
• инсталиране на непознат софтуер
• игнориране на предупреждения

Технически пропуски

• липса на защита на крайни точки
• остарели системи
• слаба защита на браузъра
• липса на мониторинг

Процесни слабости

• липса на управление на устройствата
• липса на контрол върху инсталиран софтуер
• недостатъчно patching
• липса на процеси за откриване на инциденти

Infostealers използват това, което вече е запазено и доверено в системата.

Как се хваща

Откриването често зависи от поведенчески сигнали.

Какво може да забележи потребителят

• забавяне на системата
• необичайно поведение на браузъра
• непознати приложения

Какво вижда IT екипът

• необичаен изходящ трафик
• непознати процеси
• подозрителна активност

Какво вижда SOC

• модели на кражба на креденшъли
• връзки към command-and-control сървъри
• необичайно поведение при автентикация
• използване на откраднати сесии

Колкото по-рано се засече атаката, толкова по-малък е ефектът.

Как се ограничава въздействието

Ограничаването трябва да е насочено към контрол на идентичността и устройствата.

Основни действия:

• изолиране на засегнатите устройства
• смяна на компрометирани креденшъли
• прекратяване на активни сесии и токени
• премахване на зловредния софтуер
• преглед на активността по достъп

Какво не помага:

• предположението, че проблемът е само в едно устройство
• забавяне на смяната на креденшъли
• игнориране на компрометирани сесии

Malware често е само първата стъпка в по-голяма атака.

Какво реално помага

Намаляването на риска изисква многослоен подход.

Хора

• осведоменост за рисковете при сваляне и кликане
• разбиране на браузърните заплахи
• докладване на подозрително поведение

Процеси

• управление на устройствата
• patch management
• контрол върху софтуера
• готовност за реакция при инциденти

Технологии

• EDR решения
• защита на браузъра
• мрежов мониторинг
• защита на идентичността

Превенцията намалява риска. Откриването намалява щетата.

Чести митове

„Антивирусът е достатъчен“
„Ако няма симптоми, няма проблем“
„Само големи компании са таргет“
„Силните пароли са достатъчни“

В действителност infostealers заобикалят паролите чрез кражба на сесии и запазени креденшъли.

Атака №1: Фишинг и социално инженерство

Атака №2: Злоупотреба с акаунти и превземане на достъп

Атака №3: Компрометиране на бизнес имейли

Атака №4: Ransomware

Атака №5: Supply Chain Attack

Атака №6 – Insider Threat

Следва: Атака №8 – Data Exfiltration