Infractorii cibernetici prefera sa cripteze comunicatiile
Atacatorii cibernetici folosesc criptarea pentru a-și ascunde comunicațiile, a dezvăluit un studiu Vectra Networks.
O comparație a tunelurilor ascunse în traficul criptat cu cele ascunse în traficul clar arată că atacatorii preferă HTTPS-ul pentru tuneluri ascunse, potrivit ultimului Raport Post-Instrustion, scrie Smartnews.
Dacă o sesiune HTTP poartă o conversație secundară ascunsă, vor există modele vizibile în calendarul, volumul și succesiunea traficului, potrivit Vectra Networks.
“Învățând aceste modele, Vectra a construit modele pentru a identifica tunelele ascunse în HTTP, HTTPS și DNS”, arată raportul.
Această abordare nu necesită vizibilitate directă în payload-ul traficului, ceea ce înseamnă că este posibil a detecta tunele ascunse cu HTTPS fără a decripta traficul, permițând o comparație directă și egală a tunelurilor, atât în traficul criptat, cât și în cel clar.
“Criptarea oferă un strat suplimentar de protecție pentru a ascunde traficul atacatorului”, a arătat raportul. Studiul a 40 de rețele analizează amenințările care se sustrag perimetrului de apărare, precum și acțiunile atacatorilor odată ce ajung în interiorul rețelei țintă.
Raportul include detecții ale tuturor fazelor unui atac cibernetic și expune tendințele în comportamentul malware, tehnicile de comunicare ale atacatorilor, recunoașterea internă, mișcările laterale și exfiltrațiile de date.
Potrivit raportului, o existat o crestee non-lineară în mișcarea laterală (580%) și detecțiile de recunoaștere (270%), care au depășit creșterea de 97% în detectarea de ansamblu, comparativ cu 2014. Aceste comportamente sunt semnificative, deoarece prezintă semne de atacuri targeted care auu penetrat perimetrul de securitate, a informat raportul.
În timp ce comunicarea de comandă și control a arătat cea mai mică creștere (6%), high-risk Tor și detectarea accesului de la distanță au scăzut semnificativ, detectarea Tor crescând cu peste 1.000% comparativ cu 2014 și reprezentând 14% din totalul traficului de comandă și control, iar accesul extern de la distanță crescând cu 183% comparativ cu 2014.
Potrivit studiului, comportamentul de monetizare botnet a crescut liniar comparativ cu 2014 și că fraudă click a fost cel mai frecvent observat comportament de monetizare botnet, reprezentând 85% din totalul detecțiilor botnet.
În categoria detecțiilor de mișcare laterală, atacurile de forță brută au reprezentat 56%, replicarea automată 22% și atacurile bazate pe Kerberos 16%, acestea din urmă crescând cu 400% comparativ cu 2014. Din detecțiile recunoașterilor interne, scanările de porturi au reprezentat 53%, în timp ce scanările darknet au reprezentat 47%, asemănător cu comportamentul detectat în 2014, potrivit raportului.
Potrivit Vectra Networks, raportul oferă o analiză de primă mână a amenințărilor active de rețea care ocolesc firewall-urile de ultimă generație, sistemele de prevenire a intruziunilor, sandbox-urile malware, sistemele de securitate host-based și alte apărări enterprise.
Studiul include date de la organizații din educație, energie, inginerie, servicii financiare, guvern, asistență medicală, media, retail, servicii juridice și tehnologie.
