Floris Hulshoff Pol - 24 november 2022

Meer cyberaanvallen in de cloud maken gebruik van referentietoegang

Elastic, het bedrijf achter Elasticsearch, heeft het Elastic Global Threat Report 2022 uitgebracht , waarin de evoluerende aard van cyberbeveiligingsbedreigingen en de toegenomen verfijning van de cloud worden beschreven  en endpoint-gerelateerde aanvallen.

De geïdentificeerde trends bieden organisaties de operationele informatie die nodig is om hun beveiligingstechnologie te versterken en de strategieën die nodig zijn om bedrijfskritische bedrijfssystemen te observeren en te beschermen tegen cyberdreigingen. Dit rapport is opgesteld door Elastic Security Labs, het engineeringteam voor bedreigingsonderzoek, malwareanalyse en detectie van het bedrijf, en samengesteld met behulp van telemetrie van wereldwijde implementaties van Elastic Security van augustus 2021 tot augustus 2022.

De belangrijkste trends die in het rapport worden behandeld, zijn:

Menselijke fouten vormen het grootste risico voor cloudbeveiliging, aangezien gebruikers de beveiliging van hun cloudimplementaties overschatten

Bijna 1 op de 3 (33%) aanvallen in de cloud maken gebruik van referentietoegang, wat aangeeft dat gebruikers de beveiliging van hun cloudomgevingen vaak overschatten en deze bijgevolg niet adequaat configureren en beschermen.

Aanvullende belangrijke bevindingen op het gebied van cloudbeveiliging:

Bijna 57% van de cloudbeveiligingstelemetrie was afkomstig van AWS, gevolgd door 22% voor Google Cloud en 21% voor Azure.

AWS: meer dan 74% van de waarschuwingen had betrekking op toegang tot inloggegevens, initiële toegang en persistentietactieken, waarbij bijna 57% van de technieken betrekking had op poging tot diefstal van tokens voor toegang tot applicaties, een van de meest voorkomende vormen van inloggegevensdiefstal in de cloud.

Google Cloud: bijna 54% van de waarschuwingen had betrekking op misbruik van serviceaccounts, waarbij 52% van de technieken gebruikmaakt van accountmanipulatie en aangeeft dat het misbruik van serviceaccounts hoogtij viert wanneer de standaardaccountreferenties niet worden gewijzigd.

Microsoft Azure: meer dan 96% van de waarschuwingen had betrekking op authenticatiegebeurtenissen, waarbij 57% van de authenticatiegebeurtenissen probeerde OAUTH2-tokens op te halen.

58% van de eerste toegangspogingen gebruikte een combinatie van traditionele brute-force-pogingen en eerder gecompromitteerde wachtwoord-spraying.

Commerciële software die is ontworpen om beveiligingsteams te helpen, wordt door bedreigingsactoren gebruikt om diezelfde teams te ontwijken

Hoewel commerciële simulatiesoftware voor tegenstanders, zoals CobaltStrike, nuttig is voor de verdediging van hun omgeving door veel teams, wordt het ook gebruikt als een kwaadaardig hulpmiddel voor het implanteren van massale malware. Elastic Security Labs ontdekte dat CobaltStrike de meest voorkomende kwaadaardige binary of payload was voor Windows-eindpunten, goed voor bijna 35% van alle detecties, gevolgd door AgentTesla met 25% en RedLineStealer met 10%.

Aanvullende belangrijke malwarebevindingen:

Meer dan 54% van alle wereldwijde malware-infecties werd gedetecteerd op Windows-eindpunten, terwijl meer dan 39% op Linux-eindpunten gebeurde.

Bijna 81% van de wereldwijd waargenomen malware is gebaseerd op trojans, gevolgd door cryptominers met 11%.

MacKeeper gerangschikt als de grootste bedreiging voor macOS met bijna 48% van alle detecties, met XCSSet op de tweede plaats met bijna 17%.

Eindpuntaanvallen worden steeds diverser in pogingen om verdedigingen te omzeilen

Meer dan 50 endpoint-infiltratietechnieken worden gebruikt door bedreigingsactoren, wat suggereert dat endpoint-beveiliging goed werkt, aangezien de verfijning ervan vereist dat bedreigingsactoren voortdurend nieuwe of nieuwe aanvalsmethoden vinden om succesvol te zijn.

Drie MITRE ATT&CK-tactieken vertegenwoordigden 66% van alle endpoint-infiltratietechnieken:

Een gecombineerde 74% van alle verdedigingsontwijkingstechnieken bestond uit maskeren (44%) en systeem binaire proxy-uitvoering (30%). Dit geeft aan dat verdedigingsontwijkingstechnieken niet alleen de beveiligingsinstrumenten omzeilen, maar ook de zichtbaarheid omzeilen, wat resulteert in langere verblijftijden voor bedreigingen.

59% van de uitvoeringstechnieken had betrekking op opdracht- en native scripting-interpreters, gevolgd door 40% toegeschreven aan misbruik van Windows Management Instrumentation, wat aangeeft dat kwaadwillenden misbruik maken van PowerShell, Windows Script Host en Windows-snelkoppelingsbestanden om opdrachten, scripts of binaire bestanden uit te voeren.

Bijna 77% van alle toegangstechnieken voor referenties wordt toegeschreven aan het dumpen van OS-referenties met algemeen bekende hulpprogramma's. Dit volgt de trend van kwaadwillenden die vertrouwen op geldige accounts om minder argwaan te wekken bij beheerders in hybride implementatieomgevingen tussen on-premise hosting en Cloud Service Providers.

Hoewel toegangstechnieken voor inloggegevens lange tijd een prioriteit zijn geweest voor aanvallers, wijzen investeringen van tegenstanders in technieken voor verdedigingsontduiking op een reactie op verbeteringen in beveiligingstechnologieën die hun succes hebben beïnvloed. In combinatie met uitvoeringstechnieken kunnen aanvallers geavanceerde eindpuntcontroles omzeilen terwijl ze onopgemerkt blijven binnen de omgevingen van organisaties

"Om cyberbeveiligingsbedreigingen effectief te voorkomen, hebben organisaties meer nodig dan alleen geweldige beveiligingssoftware: ze hebben een programma nodig dat zich uitstrekt tot gedeelde inzichten en best practices en een gemeenschap gericht op beveiligingsgegevens om de waarde van dat product voor klanten uit te breiden", aldus Ken Exner , Chief Product Officer, Elastic . " Het Elastic Global Threat Report 2022 is een belangrijk onderdeel van ons holistische aanbod van beveiligingsprogramma's en we zijn verheugd om onze zichtbaarheid, capaciteiten en expertise te delen met de bredere gemeenschap."

Bekijk de volledige bevindingen van het Elastic Global Threat Report 2022.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024