Инструмент тихой сети от Microsoft - это хакерская мечта, и программное обеспечение для безопасности все еще не превышается • Продвижение Web 2.0

Netsh.exe — самый насилие с инструментом Windows и все еще прячется в поле зрения
PowerShell показывает 73% конечных точек, не только в руках администратора
WMICS удивительное возвращение показывает, что злоумышленники предпочитают инструменты, которые больше никого не наблюдают

Новый анализ 700 000 инцидентов безопасности показал, как широко заслуживает того, чтобы киберпреступные заслуживающие доверия компенсируют Microsoft -Tools отказаться от систем.

В то время как тенденция злоумышленников, которые используют нативные программы обслуживания, которые называются тактикой LOTL (живая за пределами Land Live), не является новой, новейшие данные с платформы Gravityzone от BitDefender указывают на то, что они более распространены, чем предполагалось ранее.

Удивительные 84% атак высокого качества включали использование законных бинарных файлов системы, которые уже доступны на машинах. Это подрывает эффективность обычной иммунной системы, даже тех, которые продаются как лучший антивирус или лучшую защиту от вредоносных программ.

Некоторые из наиболее часто злоупотребления инструментами очень знакомы системным администраторам, включая PowerShell.exe и Wscript.exe.

Тем не менее, наверху неожиданно появился инструмент: netsh.exe. Netsh.exe был обнаружен в трети из наиболее важных атак, утилиты командной строки для управления конфигурацией сети — и хотя она все еще используется для брандмауэра и управления интерфейсом, частый вид в цепочках атаки указывает на то, что потенциал для неправильного использования недооценивается.

PowerShell остается неотъемлемой частью как законных операций, так и вредоносных действий — хотя 96% организаций PowerShell используют, это было значительно выше сферы действия 73% от конечных точек, что намного превышает степень, которая ожидается исключительно от административного использования.

Bitdefender обнаружил, что «приложения сторонних поставщиков, которые выполняют код PowerShell без видимого интерфейса», были общей причиной.

Эта двойная природа затрудняет признание, особенно для инструментов, которые не поддерживаются поведенческими двигателями.

Это поднимает вопросы о том, надлежащим образом ли решают лучшие решения EPP, чтобы взять эту размытую линию между нормальным и позорным использованием.

Другим удивительным выводом было постоянное использование Wmic.exe, инструмента, который устарел Microsoft.

Несмотря на возраст, анализ показывает, что он все еще широко распространен в средах и часто вызывается поиском программного обеспечения для системы системы. Это особенно привлекательно, когда злоумышленники пытаются смешиваться из -за его законного внешнего вида.

Чтобы решить эту проблему, BitDefender PhasR разработал (упреждающее упрочнение и сокращение области атаки). Этот инструмент использует целевой подход, который выходит за рамки простой дезактивации инструментов.

«Phasr выходит за рамки блокирования целых инструментов, он также контролирует конкретные действия, которые злоумышленники используют в них», — сказала компания.

Тем не менее, этот подход не без компромиссов. Основная дилемма, «не жить с ними, не может жить без них» остается неразрешенной.

Вы также могли бы понравиться

Source