Тенденция отказываться от вредоносного ПО и прочих хакерских техник в пользу легитимных инструментов для администрирования среди злоумышленников становится все более популярной.
Как сообщают специалисты ИБ-компании LightCyber, в 99% случаях для дальнейших действий в скомпрометированной сети хакеры используют не вредоносы, а стандартные инструменты системных администраторов. Именно за счет такого подхода атаки долгое время остаются незамеченными.
Чтобы получивший доступ к сети киберпреступник смог определить, где хранятся интересующие его данные, ему необходимо изучить структуру сети, установить используемые ресурсы и обнаружить уязвимости. В этой связи большую популярность среди злоумышленников получили сканер портов и IP-адресов локальной сети Angry IP Scanner и инструмент для сканирования сети Nmap. По данным исследователей, на Angry IP Scanner приходится 27,1% инцидентов с применением топовых инструментов для администрирования. Тем не менее, чаще всего злоумышленники используют интегрированный SSH и Telnet клиент SecureCRT – 28,5% инцидентов.
Зачастую, кибеприступникам удается получить доступ к сети за счет техник социальной инженерии. Для удаленного доступа к компьютерам используются TeamViewer и WinVNC. Кража данных осуществляется через вполне привычные для пользователей программы – браузеры или клиенты для обмена файлами.
Источник http://www.securitylab.ru/