7 старых векторов атак, которые до сих пор используют киберпреступники

Даже в нынешнюю эпоху цифровой эволюции хакеры-злоумышленники продолжают использовать векторы атак, созданные десятилетиями назад. Исследования показывают заметные периоды возрождения некоторых методов, считающихся устаревшими. Это указывает на то, что, хотя особенности атак могут меняться со временем, точки заражения, распространения и распространения могут оставаться и даже приводить к наиболее значительным нарушениям, пишет издание CSO.

«Киберпреступники, как правило, возвращаются к «старым излюбленным» методам атак, особенно когда новые векторы блокируются или их становится труднее выполнить из-за усилий правоохранительных органов и групп безопасности», - говорит вице-президент Egress Threat Intelligence Джек Чепмен.

Инженер по стратегической безопасности Cato Networks Питер Ли соглашается с этим, указывая на две основные причины, по которым киберпреступники используют «старые» векторы атак: экономика и захват цели. «Буйно развивающийся рынок эксплойтов устанавливает цену на все, что злоумышленники бросают в свои цели, и цены сильно различаются, поэтому у злоумышленников есть сильный стимул начать с дешевого и продвигаться вперед. Не нужно сжигать свой iPhone за 2 миллиона долларов нулевого дня, если вы можете скомпрометировать ту же цель, используя неисправленный веб-сервер CVE 2017 года. Во-вторых, повсеместное улучшение киберзащиты усложнило задачу киберпреступникам донести свое сообщение до ключевых целей, что иногда вынуждает их прибегать к старым векторам, которые выпали из поля зрения многих защитников».

Вот семь старых векторов атак, которые киберпреступники используют до сих пор, и практические советы по защите от них.

1. Физические запоминающие устройства для заражения систем, распространения вредоносных программ

Самые первые компьютерные вирусы распространялись через дискеты, а использование физических запоминающих устройств для заражения систем и распространения вредоносных программ сохраняется и по сей день. Об этом стало известно в январе 2022 года, когда ФБР опубликовало публичное предупреждение о BadUSB, кампании USB-атак, в ходе которой многочисленные USB-накопители с вредоносным программным обеспечением были отправлены сотрудникам транспортных, оборонных и страховых организаций.

По словам Либенберга, злоумышленники продолжают использовать этот метод атаки, потому что он работает, и используют увеличение гибридной работы в сочетании с отсутствием обучения сотрудников. «Организации, использующие USB или съемные накопители для законных бизнес-операций, должны ограничивать и, по возможности, ограничивать использование USB в среде. У них также должны быть четкие политики, ограничивающие повторное использование USB или использование USB из дома, и проводить обучение сотрудников рискам, связанным с подключением личных USB к корпоративным системам».

2. Макровирусы для использования Microsoft Word и Outlook

Злоумышленники продолжают атаковать организации с помощью вирусов, написанных на макроязыке и скрытых в документах, что является вектором атаки со времен вируса Melissa в 1999 году. Этот вирус использовал системы на основе Microsoft Word и Outlook, заражая компьютеры по электронной почте и вредоносным вложениям перед массовой рассылкой. себя первым 50 людям в списке контактов жертвы и отключению нескольких функций защиты.

«Несмотря на то, что организации могут защитить себя, а также руководство таких организаций, как NCSC Великобритании, NIST США и ACSC Австралии, полностью защититься от макросов по-прежнему сложно, - говорит Пирс Уилсон, руководитель отдела управления проектами в Huntsman Security. - Многие векторы вокруг макросов основаны на социальной инженерии. Например, документ может отображаться в виде случайных символов, в то время как в сопроводительном электронном письме говорится, что, поскольку это конфиденциальный документ, пользователям необходимо включить макросы для его декодирования».

Злоумышленники могут использовать макросы для киберпреступлений или более изощренных попыток эксплуатации, но большая часть защиты сводится к обучению пользователей и установке технических средств контроля на шлюзе и конечной точке, добавляет Уилсон. «Однако, поскольку во многих документах по-прежнему используются макросы (включая, по иронии судьбы, анкеты безопасности поставщиков), всегда существует риск того, что бдительность не сработает и атака пройдет».

3. Использование старых, незакрытых уязвимостей, чтобы получить точки атаки

Обращение к ранее выявленным уязвимостям - это очень распространенная, проверенная временем тактика, используемая злоумышленниками, и известные уязвимости могут быть использованы спустя годы, если они не будут исправлены, сообщила аналитик Forrester Элли Меллен. «Классическим примером этого является эксплойт EternalBlue. Несмотря на то, что в марте 2017 года для этой уязвимости были выпущены исправления, эксплойт был использован в мае 2017 года вымогателем WannaCry, а затем снова в июне 2017 года в кибератаке NotPetya. Вот почему так важно быстро и эффективно устанавливать исправления для систем».

Райан Линдер, инженер по рискам и уязвимостям в Censys, согласен с этим. «EternalBlue (CVE-2017-0144) и сегодня делает организации уязвимыми. Эксплойт затрагивает протокол Server Message Block (SMB). Согласно данным поиска Censys, более 200 000 систем, подключенных к Интернету, поддерживают SMBv1, созданный в 1983 году», - говорит он. Он добавляет, что многим компаниям не удается поддерживать свое программное обеспечение в актуальном состоянии, что делает их уязвимыми для критических эксплойтов, и даже когда эксплойты раскрываются публично, многие все еще не могут исправить свои системы.

Постоянная установка исправлений также является очень сложной задачей на большом сложном предприятии, поэтому важно расставить приоритеты в этих усилиях и сделать их общекорпоративными, говорит Меллен.

4. Внедрение SQL для управления веб-приложениями/страницами, доступ к базам данных

SQL-атакам уже более 20 лет, но хакеры продолжают использовать их, чтобы использовать веб-приложения/веб-страницы и получать доступ к базам данных, которые стоят за ними, говорит Чепмен. «Это не новый или инновационный подход, но киберпреступники знают, что им не нужно изобретать велосипед, чтобы получить результаты». Он добавляет, что SQL-инъекции все еще работают, потому что разработчики часто сокращают код, не заботясь о безопасности.

Действительно, SQL-инъекции занимают 3-е место в десятке лучших веб-уязвимостей OWASP, а в 2021 году 718 SQL-инъекций были признаны CVE. «Организации могут предотвратить эти атаки, проводя динамическое тестирование безопасности приложений (DAST) и статическое тестирование безопасности приложений (SAST)», - добавляет Чепмен.

5. Мошенничество с предоплатой для мошеннических пользователей

Этот метод заработал свою репутацию благодаря мошенничеству 419, широко известному как трюк «богатый потерянный родственник, который умер и оставил вам деньги». Исследования показывают, что он восходит к 19 веку и часто используется мошенниками в наши дни. Этот метод использует нехватку времени - например: «Вы упустите шанс, если не будете действовать быстро, и вы получите большую прибыль за небольшие затраты».

«Хотя электронная почта «богатого дяди» все еще распространяется в наши дни, этот метод гораздо более вероятно будет использоваться в контексте мошенничества с криптовалютой (вложите небольшую сумму для крупного неожиданного дохода), мошенничества с банковскими переводами/мошенничества с подарочными картами (помогите ваш босс добивается благосклонности на рабочем месте) или фальшивые аферы со штрафами (заплатите налоговой службе немного денег, чтобы они отменили налоговый счет)», - рассказал основатель Bugcrowd Кейси Эллис. По его словам, эти мошенничества эффективны, потому что они вызывают жадность, неприятие потерь и предвзятость к дефициту.

«Если жертва успешно эксплуатируется, часто злоумышленник использует ошибку невозвратных затрат и удваивает ставку, чтобы получить от нее больше». Социальная изоляция и сдвиги в социальной динамике, вызванные пандемией COVID-19, привели к росту мошенничества подобного типа, поскольку обычная способность перепроверить, является ли участие в деятельности разумным или нет, для потенциальной жертвы более трудна, сообщила Элли. «Внутри компании развитие культуры «доверяй, но проверяй», наряду с отсутствием обвинений (и нулевой критикой за перепроверку того, законно что-то или нет), может быть эффективным способом укрепить персонал против такого типа атак, и если это будет сделано хорошо, они могут поделиться своими уроками и активной паранойей, чтобы лучше защитить свои семьи и друзей».

6. Атаки по протоколу удаленного рабочего стола (Remote Desktop Protocol) для раскрытия систем

Уязвимости RDP были проблемой в течение многих лет, однако примерно одна треть кибератак по-прежнему начинается с компьютеров Windows с RDP, подключенных к Интернету, говорит Рэй Канцанезе, директор Netskope Threat Labs. «Злоумышленники полностью автоматизировали свои процессы для обнаружения и атаки открытых сервисов, таких как RDP».

Кансанезе добавляет, что RDP никогда не должен быть подключен к Интернету, и если вам нужен доступ по RDP, когда вы находитесь вне дома или вне офиса, вы должны использовать одно из многих решений для виртуальной частной сети (VPN) или доступа к сети с нулевым доверием (ZTNA), которые позволяют вам использовать RDP, не раскрывая его. «Вы можете использовать решение VPN или ZTNA, чтобы гарантировать, что никакие сетевые сервисы не будут доступны в Интернете, чтобы стать мишенью для злоумышленников».

7. Кастинговый фишинг, нацеленный на группы жертв

Фишинговые атаки по электронной почте с использованием сети были названы в честь традиционной техники рыболовства, когда рыбак забрасывает сравнительно небольшую сеть в пруд или другое небольшое место. Им все равно, какую рыбу они поймают, но она будет из того небольшого пространства. «В отличие от целевого фишинга, который очень плотно сфокусирован на атаке конкретного человека, или дрифтерного фишинга, который может рассылать от тысяч до миллионов электронных писем в надежде поймать кого-то на приманку, кастинг-сетка нацелена на любого в определенной организации», - говорит старший технический инженер Vulcan Cyber ​​Майк Паркин. «Атакующему все равно, кто в организации клюнет на приманку, пока он получает кого-то в целевом пространстве».

Паркин добавляет, что несмотря на то, что это метод атаки, который существует уже много лет, он все еще используется сегодня, поскольку он является наиболее эффективным для киберпреступников. «Эти атаки могут использовать своевременную зацепку, такую ​​как местное спортивное мероприятие или открытие нового ресторана поблизости, которую целевая организация сочтет правдоподобной и сможет пройти фильтры массового спама. Что-то подобное требует гораздо меньше исследований, чем создание крючка, который может поймать одну особь. Как только злоумышленник ухватится за ногу, он сможет расширить свою точку опоры в среде организации».

Автор: Michael Hill