Aproximativ 84% dintre atacurile informatice se folosesc de programe sau aplicaţii legitime, deja instalate pe dispozitive, arată o analiză a 700.000 de incidente de securitate efectuată de către cercetătorii Bitdefender, lider global în securitate cibernetică. Astfel, atacatorii nu mai instalează programe periculoase noi, ci folosesc aceleaşi instrumente pe care administratorii IT le utilizează în activităţile lor zilnice, au transmis reprezentanţii Bitdefender. Această tactică, denumită „Living-Off-The-Land” (LOTL), transformă instrumentele uzuale ale sistemului de operare în mijloace de atac.

În acest context, cercetătorii Bitdefender au analizat cele mai exploatate instrumente Windows. Printre acestea se numără şi PowerShell, utilitar care oferă control complet al sistemului de operare Windows. Acesta este folosit de 96% dintre organizaţii în scopuri legitime, însă analiza Bitdefender arată particularităţi importante, arată sursa citată.

„Deşi este un instrument destinat în principal administratorilor IT, acesta rulează pe aproape trei sferturi dintre dispozitive şi este accesat frecvent nu doar de personal tehnic autorizat, ci şi de aplicaţii terţe care rulează PowerShell în fundal fără a fi vizibil. Această popularitate creează un paradox: cu cât un instrument este folosit mai frecvent în mod legitim, cu atât mai uşor trece neobservat când este folosit abuziv.

”

În topul celor cinci programe Windows cel mai frecvent utilizate de atacatori se regăsesc netsh.exe – un instrument folosit de administratorii IT pentru configurarea setărilor de reţea, precum conexiunea la internet şi firewall-ul. Hackerii, în schimb, îl exploatează pentru a analiza configuraţia sistemului şi a-i identifica punctele vulnerabile; powershell.exe – un instrument care poate deveni un mijloc extrem de puternic pentru controlul sistemului; reg.exe – editorul registrului Windows şi baza de date în care sunt stocate toate setările sistemului. Administratorii IT îl folosesc pentru optimizări, însă hackerii îl pot exploata pentru a-şi configura programele să pornească automat la fiecare restart al computerului, ceea ce le oferă acces permanent la sistem; csc.exe – un compilator cu ajutorul căruia programatorii transformă codul în aplicaţii, pe care hackerii îl pot exploata pentru a-şi crea propriile programe periculoase direct pe dispozitivul infectat; şi rundll32.exe – un program care rulează funcţii din bibliotecile Windows. Windows are sute de fişiere care conţin funcţii predefinite, iar cu ajutorul acestui instrument ele pot fi executate. Hackerii îl pot folosi pentru a rula programe periculoase mascate ca fiind componente uzuale ale sistemului de operare, arată cercetarea Bitdefender.

Liderul BlackBasta, grupare care a atacat peste 500 de organizaţii cu ameninţări de tip ransomware, descrie modul în care hackerii operează acum: „Dacă folosim instrumentele standard, nu vom fi detectaţi. Nu lăsăm niciodată urme pe dispozitive.”  

„Această abordare arată eficienţa strategiei hackerilor. Atacatorii nu mai riscă să fie detectaţi prin introducerea de ameninţări informatice fiindcă sistemele conţin deja tot ce le trebuie”, au mai transmis reprezentanţii Bitdefender.

În acest context, cercetătorii Bitdefender au dezvoltat tehnologia PHASR – Proactive Hardening and Attack Surface Reduction. „În loc să restricţioneze accesul tuturor utilizatorilor la aceste programe, lucru ce riscă perturbarea operaţiunilor legitime, PHASR analizează comportamentul specific al fiecărui utilizator şi monitorizează exact ce acţiuni sunt executate cu fiecare program. Tehnologia PHASR este disponibilă ca extensie pentru Bitdefender GravityZone, platforma unificată de securitate şi analiză a riscurilor pentru companii.”