Saldırganlar hızlanıyor. Yeni araştırma, bir sisteme ilk erişimi elde etmekten aynı ağdaki diğer cihazlara saldırmaya geçiş yapmaları gereken süreden birkaç dakika daha kısalttıklarını ortaya koyuyor.
CrowdStrike, bir ağdaki diğer sistemlere bir saldırı başlatmadan önce, ilk uzlaşmadan 79 dakika sonra gereken ortalama izinsiz girişi bulur. Bu süre, 2022’de 84 dakikadan düştü. CrowdStrike’ın Salı günü yayınlanan 2023 Tehdit Avı Raporu, 2022’de işlenen 85.000’den fazla olaya dayalı olarak, ilk erişim ile uzlaşmayı genişletme girişimleri arasındaki en hızlı sürenin yedi dakika olduğunu ortaya koyuyor.
CrowdStrike’ın OverWatch güvenlik hizmeti başkan yardımcısı Param Singh, bir saldırganın asıl amacının diğer sistemlere geçmek ve ağda bir varlık oluşturmak olduğunu, böylece olaya müdahale ekipleri orijinal sistemi karantinaya alsa bile saldırganın yine de geri gelebileceğini söylüyor. Buna ek olarak, saldırganlar meşru kullanıcı kimlik bilgileri aracılığıyla diğer sistemlere erişim elde etmek istiyor, diyor.
Singh, “Alan denetleyicisi olurlarsa oyun biter ve her şeye erişimleri olur” diyor. “Ancak etki alanı yöneticisi olamazlarsa, daha iyi erişime sahip kilit kişilerin peşine düşeceklerdir. [valuable] varlıklar … ve ayrıcalıklarını bu kullanıcılara yükseltmeye çalışın.”
Kaçış süresi, bir saldırganın kurumsal ağları tehlikeye atarken çevikliğinin bir ölçüsüdür. Savunucuların kullandığı bir başka önlem de, olay müdahale firması Mandiant’ın yıllık M-Trends raporuna göre, ilk güvenlik ihlali ile saldırganın tespit edilmesi arasında geçen ve bekleme süresi olarak bilinen ve 2022’de 16 güne kadar düşen süredir. Birlikte, iki ölçüm, çoğu saldırganın bir uzlaşmadan hızlı bir şekilde yararlandığını ve tespit edilmeden önce iki haftadan uzun bir süre tam yetkiye sahip olduğunu gösteriyor.
İnteraktif İzinsiz Girişler Artık Norm
CrowdStrike’a göre saldırganlar, 2023’ün ikinci çeyreğinde bir önceki yılın aynı çeyreğine göre %40 artan ve tüm olayların yarısından fazlasını oluşturan etkileşimli izinsiz girişlere geçişlerini sürdürdüler.
Etkileşimli izinsiz girişlerin çoğu (%62) meşru kimliklerin ve hesap bilgilerinin kötüye kullanılmasıyla ilgiliydi. Kimlik bilgilerinin toplanması, “gizli anahtarları ve diğer kimlik bilgilerini toplama” çabalarında %160’lık bir artışla yükselişe geçerken, Kerberoasting olarak bilinen bir teknik olan Windows sistemlerinden Kerberos bilgilerini toplama işlemi yaklaşık %600 arttı. CrowdStrike Tehdit Avı raporu açıklandı.
Saldırganlar, şirketlerin yanlışlıkla kimlik materyali yayınladığı veri havuzlarını da tarıyor. CrowdStrike, Kasım 2022’de bir kuruluşun kök hesabının erişim anahtarı kimlik bilgilerini yanlışlıkla GitHub’a aktardığını ve saldırganlardan hızlı bir yanıt aldığını söyledi.
Raporda, “Saniyeler içinde, otomatik tarayıcılar ve birden çok tehdit aktörü, güvenliği ihlal edilmiş kimlik bilgilerini kullanmaya çalıştı.” “Bu suiistimalin başlatılma hızı, birden çok tehdit aktörünün – bulut ortamlarını hedefleme çabalarında – sızdırılmış bulut kimlik bilgileri için GitHub gibi hizmetleri izlemek için otomatik araçlar kullandığını gösteriyor.”
Saldırganlar bir sisteme girdikten sonra fark edilmemek için makinenin kendi yardımcı programlarını kullanır veya meşru araçları indirir. Sözde “karadan yaşamak” teknikleri, daha bariz kötü amaçlı yazılımların tespit edilmesini engeller. CrowdStrike’a göre, şaşırtıcı olmayan bir şekilde, rakipler AnyDesk, ConnectWise ve TeamViewer gibi meşru uzaktan yönetim ve izleme (RMM) araçlarını kullanımlarını üç katına çıkardı.
Saldırganlar Buluta Odaklanmaya Devam Ediyor
Şirketler, özellikle koronavirüs pandemisinin başlamasının ardından, operasyonel altyapılarının çoğu için bulutu benimserken, saldırganlar da onu takip etti. CrowdStrike, daha fazla “bulut bilincine sahip” saldırı gözlemledi ve bulut istismarı 2022’de neredeyse ikiye katlandı (%95 arttı).
Buluttaki en yaygın iş yükü Linux kapsayıcıları veya sanal makineler olduğu için genellikle saldırılar Linux’a odaklanır. CrowdStrike, ayrıcalık yükseltme aracı LinPEAS’ın, izinsiz girişlerde bir sonraki en yaygın kötüye kullanılan araçtan üç kat daha fazla kullanıldığını söyledi.
CrowdStrike’tan Singh, trendin daha da hızlanacağını söylüyor.
“Benzer tehdit aktörlerinin bulutun daha fazla farkına vardığını görüyoruz; bulut ortamını anlıyorlar ve tipik olarak bulutta görülen yanlış yapılandırmaları anlıyorlar” diyor. “Ama gördüğümüz diğer bir şey de… tehdit aktörünün şirket içi taraftaki bir makineye girmesi ve ardından kimlik bilgilerini ve her şeyi buluta taşımak için kullanması… ve çok fazla hasara yol açması.”
Ayrı bir gelişmede, CrowdStrike, 8 Ağustos’ta yaptığı basın açıklamasında, tehdit istihbaratı ve tehdit avı ekiplerini Counter Adversary Operations grubu adı altında tek bir varlıkta birleştirmeyi planladığını duyurdu.