- 2 January 2019
- |Fortinet, Securitate digitala
- | 0
- 2,732
Vara lui 2018 marcheaza un nou trend in industria securitatii IT – amenintari atat de complexe si avansate incat pot combina mai multe variante de malware intr-un singur atac.
Atacuri prea complexe pentru sistemele de securitate traditionale
Mylobot, spre exemplu, este un botnet de o complexitate destul de rara pentru vremurile actuale, in special datorita tehnicilor sale evazive – anti-VM, anti-sandbox si anti-debugging. Si tolba cu surprize nu se opreste aici. Mylobot contine 3 nivele de fisiere, incorporate unul in celalalt, iar fiecare nivel il executa pe celalalt. Ultimul nivel folosind o tehnica numita Reflective EXE.
O alta amenintare avansata ce a facut valva in luna iunie pe scena securitatii digitale a fost Thrip, care combina nu mai putin de 123 de malware-uri cu diferite tool-uri publice.
Cum sunt construite noile amenintari
De regula, atacurile sunt proiectate sa contina un singur malware si sa fie distribuite pe modelul „spray and pray” sau atacuri foarte bine tintite care permit malware-ului sa identifice si sa se extinda in dispozitivele vulnerabile.
In schimb, aceste noi atacuri sunt incarcate cu o varietate mare de instrumente menite sa duca la bun sfarsit misiunea. Desi nu e o veste buna pentru organizatii, aceste doua noi atacuri inregistrate luna trecuta sunt dovada clara ca atacurile cibernetice au devenit tot mai complexe si mai greu sa identificat.
Disclaimer: Acest articol a fost publicat folosind datele partenerilor nostri Fortinet, lideri pe piata mondiala de securitate IT si furnizori ai solutiei de securitate Fortigate.
De exemplu, Mylobot a fost conceput sa execute mai multe task-uri, printre care deactivarea antivirusului si a update-urilor windows, precum si adaugarea de porturi pentru a bloca firewall-ul inaintea lansarii atacului principal.
Un alt trend interesant pe care cercetatorii l-au remarcat la aceste atacuri este introducerea in continutul lor a unor instrumente specifice de administrare. Programe precum PSEXEC si PowerShell continua sa fie folosite de catre atacatori pentru a le permite miscarea pe lateral in cadrul retelei fara a fi detectati. Diferenta fata de alte atacuri de acest gen este ca Thrip a cuplat aceste instrumente cu alte malware-uri pentru a maximiza capacitatea de a compromite reteaua dintr-o singura lovitura.
Ce pot face organizatiile pentru a detecta si a se proteja de astfel de atacuri?
Pe masura ce atacurile devin mai complexe, la fel si solutiile de securitate se dezvolta pentru a putea raspunde amenintarilor. Vizibilitatea in intreaga retea, de la un capat la altul, care ajuta la interconectarea dispozitivelor de securitate, managementul si analiza centralizata, precum si raspunsul automatizat ajuta organizatiile sa raspunda unor astfel de atacuri in mod eficient.
Vrei sa afli mai multe despre cum iti poti proteja reteaua de atacurile complexe? Inscrie-te la demo-ul gratuit oferit de BLADE si vezi cum raspunde FortiGate provocarilor actuale in securitate!