In zijn Global Threat Report voor het jaar 2022 wijst Elastic op de kwetsbaarheden van toegang met geloofsbrieven.

Menselijke fouten zijn het grootste beveiligingsrisico in de cloud. Voor Elastic ligt het gevaar in de cloud in de geloofsbrieven.  33% van de aanvallen in de cloud zou berusten op toegang tot identificaties inlichtingen. Dit wijst erop dat gebruikers de beveiliging van hun cloudomgevingen vaak overschatten en deze daarom niet goed configureren en beschermen.

In zijn studie meldt Elastic ook dat bijna 57% van de cloudbeveiligingstelemetrie afkomstig is van AWS, vergeleken met 22% van Google Cloud en 21% van Azure. Op AWS heeft meer dan 74% van de waarschuwingen betrekking op toegang met geloofsbrieven, initiële toegang en aanhoudende tactiek. Bijna 57% van de gebruikte technieken betrof pogingen om toegangstokens voor applicaties te stelen, een van de meest voorkomende vormen van diefstal van referenties in de cloud. Op Google Cloud is bijna 54% van de waarschuwingen gerelateerd aan inbreuken op serviceaccounts. 52% van de technieken is gebaseerd op rekeningmanipulatie. Hieruit blijkt dat dienstaccounts nog steeds in hoge mate worden gecompromitteerd wanneer hun standaardgegevens niet worden gewijzigd. Op Azure is meer dan 96% van de waarschuwingen gerelateerd aan authenticatiegebeurtenissen. 57% van de technieken is gericht op geldige accounts in een poging om OAUTH2-tokens terug te krijgen. In totaal gebruikt 58% van de eerste toegangspogingen een mix van traditionele brute force pogingen en het sproeien van eerder gecompromitteerde wachtwoorden.

Commerciële software als toegang tot het informatiesysteem

Uiteindelijk misbruiken kwaadwillende gebruikers commerciële software die ontworpen is om beveiligingsteams te helpen… buiten de controle van diezelfde teams. Hoewel commerciële aanvalssimulatiesoftware, zoals CobaltStrike, veel teams helpt de verdediging van hun omgevingen te versterken, wordt deze ook door kwaadwillenden misbruikt om in grote aantallen malware in systemen te planten. Volgens de bevindingen van Elastic Security Labs was CobaltStrike, de payload of het binaire bestand dat zich het meest richt op Windows-eindpunten voor kwaadaardige doeleinden, goed voor 35% van alle detecties, vergeleken met 25% voor AgentTesla en 10% voor RedLineStealer.

Meer dan 54% van alle malware-infecties wereldwijd werden gedetecteerd op Windows-eindpunten, terwijl meer dan 39% werd gedetecteerd op Linux-eindpunten. Bijna 81% van de wereldwijd waargenomen malware is gebaseerd op Trojaanse paarden, gevolgd door cryptomining met 11%. MacKeeper kwam met bijna 48% van alle gedetecteerde bedreigingen voor macOS op de eerste plaats, met XCSS op de tweede plaats met bijna 17%.

Endpoint-aanvallen diversifiëren

Het rapport van Elastic geeft ook aan dat kwaadwillende gebruikers meer dan 50 endpoint-infiltratietechnieken gebruiken. Dit maakt hun beveiligingssysteem effectief, aangezien de geavanceerdheid ervan kwaadwillenden ertoe aanzet steeds een nieuwe aanvalsmethode te vinden om hun doel te bereiken. Drie MITRE ATT&CK tactieken zijn goed voor 66% van alle endpoint infiltratie technieken. In totaal bestond 74% van alle verdedigingstechnieken uit cloaking (44%) en het uitvoeren van een binaire proxy van het systeem (30%). Zo omzeilen defensietechnieken niet alleen de beveiligingstools, maar omzeilen zij ook de systemen die de zichtbaarheid waarborgen, waardoor de detectie van bedreigingen langer duurt.
Van de bestaande uitvoeringstechnieken heeft 59% betrekking op native en commandoscript-interpreters, terwijl 40% betrekking heeft op schendingen van Windows Management Instrumentation. Daardoor maken kwaadwillenden gebruik van PowerShell, Windows Script Host en Windows snelkoppelingsbestanden om opdrachten, scripts of binaire bestanden uit te voeren.
Bij bijna 77% van alle technieken die gericht zijn op toegang met credentials worden de credentials van het besturingssysteem hersteld met behulp van bekende hulpprogramma’s. Deze trend is in overeenstemming met pogingen van kwaadwillende gebruikers om te vertrouwen op geldige accounts om te voorkomen dat ze de aandacht trekken van beheerders in hybride inzetomgevingen die on-premise hosting en cloud service providers combineren.

Naar defensieve ontwijkingstactieken

Terwijl kwaadwillende gebruikers zich traditioneel hebben gericht op technieken die gericht zijn op toegang met geloofsbrieven, investeren zij nu in defensieve ontwijkingstactieken, een evolutie die aantoont dat zij zich aanpassen aan verbeteringen in beveiligingstechnologieën die hen verhinderen hun doelen te bereiken. Wanneer zij ook uitvoeringstechnieken gebruiken, kunnen kwaadwillende gebruikers geavanceerde endpointcontroles omzeilen zonder te worden gedetecteerd binnen bedrijfsomgevingen. Bedrijven hebben meer nodig dan alleen goede beveiligingssoftware”, concludeert Ken Exner, Director of Products van Elastic. Ze hebben een programma nodig dat niet alleen gedeelde bruikbare inlichtingen omvat, maar ook beste praktijken en een gemeenschap die zich richt op inlichtingen over beveiligingsgegevens, zodat hun klanten ook de waarde van hun bestaande instrument kunnen benutten…”.