В недавнем отчете Cisco Talos была зафиксирована эволюция в хакерской среде, выражающаяся в переходе к разделенным цепочкам атак. Эта новая модель, в которой несколько групп хакеров выполняют различные этапы атак, ставит перед аналитиками серьезные вызовы. Традиционные методологии анализа угроз уже не адекватно отражают сложность современных атак.
Проблемы традиционного анализа угроз
Текущая модель анализа вторжений Diamond, основанная на четырех ключевых элементах — противниках, возможностях, инфраструктуре и жертвах, сталкивается с трудностями при попытках анализа сегментированных атак. Понимание взаимосвязей и взаимодействия между участниками становится необходимым для более точной оценки угроз.
Для преодоления этого ограничения Cisco Talos предлагает расширенную модель Diamond, вводя новый слой взаимосвязей, который позволяет лучше понимать взаимодействия между основными элементами.
Кейс ToyMaker
Ярким примером новой модели является кампания ToyMaker, где хакеры выступали в качестве начальной группы доступа, продавая точки входа группе программ-вымогателей Cactus. Этот случай подчеркивает дополнительные сложности различения действий различных участников:
- Дублирующиеся инфраструктуры и методологии затрудняют анализ инцидентов.
- Использование украденных учетных данных служит примером взаимодействия между группами.
В кампании ToyMaker первоначальный доступ осуществлялся через сбор учетных данных с помощью PuTTY, после чего Cactus запустил программу-вымогатель, используя эти данные. Это разделение участников, таких как ToyMaker и Cactus, подчеркивает важность глубокого понимания их взаимодействия.
Отличия финансово мотивированных участников
Аналитики также выявили специфическое поведение среди угроз, связанных с финансово мотивированными участниками. Например, тактика быстрого доступа к ценным объектам усложняет реагирование на инциденты. Новый уровень взаимосвязей не только помогает в понимании взаимодействий, но и способствует:
- Логической привязке участникам.
- Точному определению угроз.
Значение мониторинга и анализа
Успех в противодействии таким многоуровневым атакам требует серьезного мониторинга и анализа различных инфраструктур, связанных с действиями хакеров. Ключевыми аспектами являются:
- Понимание временных рамок атак.
- Определение точек передачи данных.
- Идентификация типов вредоносных программ, используемых на разных этапах.
Как показывает практика, распознавание закономерностей в тактиках, методах и процедурах хакеров имеет критическое значение для формирования стратегий смягчения последствий.
Заключение
Таким образом, интеграция взаимосвязей в существующие модели представляет собой важный шаг к более точной интерпретации все более сложного хакерского ландшафта. Сотрудничество и детальный анализ среди специалистов по кибербезопасности становятся необходимыми для обеспечения адекватного реагирования на новые вызовы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция кибератак: новые угрозы и модели анализа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.