Sophos: sterke groei misbruik van vertrouwde applicaties

De gegevens zijn afkomstig van bijna 200 incident response (IR)-gevallen, onderzocht door zowel het Sophos X-Ops IR-team als het Sophos X-Ops Managed Detection and Response (MDR)-team. Uit de analyse blijkt dat aanvallers steeds vaker gebruikmaken van vertrouwde applicaties en tools in Windows-systemen – ook wel “living off the land”-binaries genoemd (LOLbins) – om systemen te verkennen en aanwezig te blijven. Vergeleken met 2023 zag Sophos een toename van 51% in het misbruik van LOLbins; sinds 2021 is dit zelfs met 83% gestegen.

Van de 187 unieke Microsoft LOLbins die in de eerste helft van het jaar werden gedetecteerd, was Remote Desktop Protocol (RDP) de meest misbruikte applicatie. In 89% van de bijna 200 onderzochte IR-gevallen maakten aanvallers misbruik van RDP. Deze trend, die al werd vastgesteld in het Active Adversary Report van 2023 en waar toen in 90% van alle IR-gevallen RDP-misbruik werd aangetroffen, blijft voortduren.

Binaries

“Living off the land biedt aanvallers niet alleen een manier om onopvallend te werk te gaan, maar het geeft hun activiteiten ook impliciete legitimiteit”, zegt John Shier, Field CTO bij Sophos. “Hoewel het misbruik van sommige legitieme tools waarschuwingssignalen kan opleveren voor verdedigers, heeft het misbruik van Microsoft-binaries vaak het tegenovergestelde effect. Veel van deze tools zijn essentieel voor Windows en hebben legitieme toepassingen. Het is daarom aan systeembeheerders om te begrijpen hoe deze tools binnen hun omgeving worden gebruikt en wat misbruik inhoudt. Zonder een genuanceerd en contextueel inzicht in hun netwerken, lopen IT-teams het risico cruciale dreigingssignalen te missen die vaak tot ransomware leiden.”

Daarnaast stelde het rapport vast dat, ondanks de verstoring van LockBit’s belangrijkste lekwebsite en infrastructuur in februari, LockBit in de eerste helft van 2024 de meest voorkomende ransomwaregroep bleef. LockBit was verantwoordelijk voor ongeveer 21% van de infecties.

De belangrijkste bevindingen uit het nieuwste Active Adversary Report zijn:

• Oorzaak van aanvallen: Gecompromitteerde inloggegevens blijven de belangrijkste oorzaak van aanvallen, goed voor 39% van de gevallen. Dit is echter een daling ten opzichte van de 56% in 2023.
• Netwerkinbraken domineren voor MDR: Bij de analyse van alleen de gevallen van het Sophos MDR-team waren netwerkinbraken het meest voorkomende incident.
• Kortere detectietijd voor MDR-teams: Voor de gevallen van het Sophos IR-team bleef de gemiddelde detectietijd (de tijd tussen het begin van een aanval en de detectie) ongeveer acht dagen. Voor MDR-gevallen is de mediane detectietijd echter slechts één dag voor alle typen incidenten en drie dagen voor ransomware-aanvallen.
• De meest aangetaste Active Directory-servers naderen het einde van hun levensduur: Aanvallers richtten zich het vaakst op de Active Directory (AD)-serverversies 2019, 2016 en 2012. Deze drie versies worden niet langer volledig ondersteund door Microsoft en naderen hun end-of-life (EOL)-status, wat betekent dat ze zonder betaalde ondersteuning niet meer te patchen zijn. Bovendien was 21% van de gecompromitteerde AD-serverversies al EOL.

Meer weten over aanvallers, hun tools en technieken? Lees “The Bite from Inside: The Sophos Active Adversary Report” op Sophos.com.