Sophos 2024 Active Adversary Report, der analyserer sager behandlet af virksomhedens Incident Response (IR) og Managed Detection and Response (MDR)-teams, afslører, at hackere brugte 187 LOLbins i deres angreb i løbet af årets første halvår.
Derfor er der tale om en stigning på 51 procent sammenlignet med 2023. I 2021 blev der observeret præcist 100 LOLbins i brug.
Living Off the Land Binaries er legitime programmer og scripts, som er en del af operativsystemer og ofte allerede installeret. Hackere udnytter dem til at udføre ondsindede handlinger og samtidig undgå at blive opdaget.
Disse værktøjer, som eksempelvis PowerShell og cmd.exe, betragtes som pålidelige og gør det sværere at skelne skadelig aktivitet fra normale administrative opgaver. Det skriver TechRadar.
RDP dominerer angrebslandskabet
Sophos fremhæver, at RDP, PowerShell, cmd.exe og net.exe er blandt de mest misbrugte LOLBins i 2024, hvor RDP alene blev brugt i næsten 89 % af tilfældene. Dette kom ikke som nogen overraskelse for forskerne:
"Navnene ovenfor er velkendte for faste læsere af Active Adversary Report. RDP dominerer landskabet, mens cmd.exe, PowerShell og net.exe fortsat er blandt de hyppigst anvendte værktøjer," sagde de.
Desuden bemærker rapporten, at mange af de mest brugte LOLBins anvendes til opdagelse og enumeration. Blandt de 29 mest udbredte LOLBins er 16 af dem beregnet til disse formål. Microsofts værktøjer udnyttes i stigende grad på grund af deres legitimitet, status som signerede programmer og udbredelse i operativsystemer.
Hvordan kan misbruget begrænses?
Sophos anbefaler en sikkerhedstilgang med flere lag for at reducere risikoen for misbrug af Microsofts LOLbins. Dette inkluderer følgende tiltag:
Begræns adgangen til ofte misbrugte værktøjer.
Overvåg og log brugen af dem.
Implementer Endpoint Detection and Response-løsninger (EDR).
Deaktiver ubrugte LOLBins.
Opdatér software regelmæssigt.
Uddan medarbejdere i at genkende phishing og social engineering-angreb.
Ved at følge disse anbefalinger kan organisationer mindske risikoen for angreb betydeligt, fremgår det af rapporten.
