Zneužití nástrojů od Microsoftu k útokům vzrostlo od roku 2023 o 51 %

19. 12. 2024. (redaktor: František Doupal, zdroj: Sophos)
Společnost Sophos zveřejnila studii Active Adversary Report za první pololetí roku 2024. Analýzy zkoumá případy reakcí na incidenty řešené týmy Incident Response (IR) a Managed Detection and Response (MDR) s cílem pochopit měnící se chování a techniky útočníků.

V nejnovější studii bezpečnostní experti Sophosu zjistili, že se kyberzločinci stále častěji ukrývají na viditelných místech v sítích se systémy Windows a využívají důvěryhodných aplikací Microsoftu, jako je protokol vzdálené plochy (RDP). Tato praxe je známá jako zneužívání běžných binárních souborů, označovaných jako Living off the Land Binries (LOLbins). Mezi rokem 2023 a první polovinou roku 2024 vzrostlo zneužívání důvěryhodných aplikací o 51 % – ve srovnání s rokem 2021 dokonce o 83 %. Vzhledem k tomu, že jsou tyto nástroje od Microsoftu důvěryhodné nejen pro operační systémy, ale často ve firmách plní legitimní a kriticky důležité funkce, poskytuje jejich zneužití útočníkům velmi efektivní způsob, jak nenápadně přečkávat v systémech a pomalu shromažďovat další a další data oběti.

„Zneužití běžných nástrojů nejenže útočníkovi umožňuje utajit své aktivity, ale také mu poskytuje tichý souhlas s jeho činností. Zatímco nad zneužitím některých legitimních nástrojů může pár obránců zvednout obočí a snad to i vyvolá nějaká upozornění, zneužití binárního souboru od Microsoft má často opačný účinek. Mnohé z těchto zneužívaných nástrojů Microsoftu jsou nedílnou součástí systému Windows a mají legitimní využití. Záleží ale na správcích systémů, aby chápali, jak se v jejich prostředích používají a co indikuje jejich zneužití. Bez detailního a kontextuálního přehledu o prostředí, včetně neustálé ostražitosti vůči novým a vyvíjejícím se událostem v síti, hrozí, že dnešní přetížené týmy IT přehlédnou podstatné, nebezpečné aktivity, které často vedou k ransomwarovým útokům,“ upozornil John Shier, technický ředitel společnosti Sophos.

Další klíčová zjištění:

  • Prvotní příčiny útoků: Hlavní příčinou útoků stále zůstávají kompromitované přihlašovací údaje, a to v 39 % případů. I tak to ale znamená pokles oproti 56 % zaznamenaným v roce 2023.
  • Doba setrvání útočníků se v případech MDR zkracuje: U případů týmu IR zůstala doba setrvání útočníka v síti (tedy doba od zahájení útoku do jeho detekce) přibližně osm dní. V případě MDR je ale medián doby trvání všech typů incidentů pouhý jeden den a u ransomwarových útoků pouze tři dny.
  • Nejčastěji kompromitované verze Active Directory Serveru se blíží ke konci své životnosti: Útočníci nejčastěji napadali Active Directory Servery ve verzích 2019, 2016 a 2012. Všechny tyto tři verze již od Microsoftu nedostávají hlavní podporu, což je jen poslední krok před tím, než bude jejich životní cyklus ukončen a bez placené podpory od Microsoftu je již nebude možné záplatovat. Navíc u plných 21 % z napadených verzí Active Directory Serveru již byl jejich životní cyklus ukončen.

Kompletní studii najdete zde.

Štítky: 
Bezpečnost, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Chester Wisniewski, CISO ve společnosti Sophos

Agentní AI v prohlížečích: Nová vrstva bezpečnostních rizik

20. 10. 2025. (redaktor: František Doupal, zdroj: Sophos)
Rozvoj agentní umělé inteligence přináší do světa internetu zásadní změnu. Pro podniky to znamená zejména nutnost zhodnotit, jaké dopady může mít zavádění těchto nástrojů do pracovního prostředí. Čtěte více
Patrick Müller, senior channel manažer společnosti Sophos

Patrick Müller (Sophos): Přinášíme mnoho atraktivních novinek

16. 7. 2025. (redaktor: František Doupal, zdroj: DCD Publishing a Sophos)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme během pražské Experience Roadshow hovořili o novinkách v oblasti partnerského prodeje. V rozhovoru odhalíme detaily o nové firemní strategii, virtuálním CISO, AI asistentovi s názvem Sales Companion nebo postupném přerodu společnosti do pozice platformního poskytovatele. Čtěte více

Výdaje na kybernetickou bezpečnost letos v Evropě vzrostou o 11,8%

9. 5. 2025. (redaktor: František Doupal, zdroj: IDC)
Společnost IDC předpokládá, že výdaje na bezpečnost v Evropě v roce 2025 meziročně vzrostou o 11,8 %. Geopolitický vývoj, zintenzivnění kybernetické kriminality a zpřísňující se regulační prostředí nutí evropské organizace přijímat stále sofistikovanější obranná opatření. Očekává se, že výdaje na bezpečnost zůstanou po celé období 2023-2028 vysoké a do roku 2028 dosáhnou téměř 97 miliard USD. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více