Detta är en sammanfattning av den senaste utgåvan av CrowdStrikes Global Threat Report 2020.

Nyckelinsikter

  • Aktörer, oavsett om de är statliga eller kriminella, förväntar sig Internet-åtkomst direkt från den dator eller det system de lyckas äga. Dags att du fokuserar på vitlistade applikationer för Internet-åtkomst?
  • Genom att studera staters politiska inriktningar går det att i viss utsträckning förstå vilka typer av verksamheter som är extra utsatta. Detta gäller dock inte för cyberkriminella.
  • Giltiga inloggningsuppgifter är mycket vanligt förekommande bland både statliga och kriminella aktörer, och avsaknaden på en andra autentiserande faktor... en vinnande kombination.

Vilka aktörer är akiva?

Först och främst kan vi göra en övergripande kategorisering av aktörerna som antingen statliga eller cyber kriminella1. Detta ger oss den första och inledande uppdelningen.

Statliga aktörer

De länder som nämns specifikt i rapporten är Iran, Nord Korea, Kina, Ryssland, Vietnamn och Indien. Några av de mål som anses vara särskilt utsatta för statliga angrepp (främst genom spionage) är företag och organisationer inom försvar, militär ochs statlig verksamhet. Vidare är telekommunikation (Kina), statlig verksamhet, think tanks och finansiella tjänster (DPRK) särskilt utsatta.

Rapporten gör ett antal djupdykningar i ett antal utvalda incidenter och genom dessa kan vi utläsa vissa detaljer kring dessa aktörers föredragna metoder för intrång:

Aktör Beskrivning
Iran Totalt 6 aktiva grupperingar. Social media för initial recon och initial payload delivery. Använder gärna wipers för destruktion. Remote Desktop Protocol, credentialdumping av LSASS-processen och webshells för persistens.
DPRK Totalt 5 aktiva grupperingar. Angriper de flesta plattformar som Windows, Linux, macOS och Android. Särskilt inriktade mot finanssektorn och cryptovalutor. Använder gärna spearphishing i kombiation med HTA-downloaders (VBScript). Modifierar register för att ta bort varningar om Macro i Office.
Kina Totalt 8 aktiva grupperingar. Inriktad mot telekom och hälso- och sjukvård (Matchar det regimens inriktning kanske?) Föredrar att använda open-source och LOL-bins för att försvåra attribution. Använder gärna Background Intelligent Transfer Service (BITS) för att ladda ner moduler. Har observerats använda Python och giltiga inloggningsuppgifter.
Ryssland Totalt 6 aktiva grupperingar. Installerar C&C-moduler genom legitima komponenter för Microsoft Exchange Transport Agents (MTAs). I övrigt väldigt lite information om deras metoder.

Cyberkriminella

De cyberkriminella har fortsatt skiftet från breda angrepp till att i allt större utsträckning genomföra riktade utpressningar. Några av de särskilt utsatta målen är skolor, kommuner och andra ofta underbemannade offentliga institutioner. Men även hälso- och sjukvården, tillverkning och media är utsatta branscher.

Några av de metoder som observerats (utöver de jag redogör för längre ner under avsnittet MITRE ATT&CK):

  • Password-spraying atack against RDP (s.20)
  • SMB exposed to the internet
  • Terminating security products (s.27)
    • Verktygen: PCHunter och ProcessHacker
  • C&C över DNS om C2 över HTTP misslyckas (s.27)
  • Hacka WordPress-sajter för att där husera fejkade Office365-sidor (s.27)
  • T1193 (spearphishing attachment), macro-enabled documents (s.28)
  • Email-thread hijacking. Emotet försöker exempelvis svara på mejl och injicera sig själv i e-posttrådar. Detta ökar sannolikheten för att ett mål öppnar en bifogad fil. (s.28)
    • Kommentar: Förutsätter givetvis tidigare angrepp.

Det handlar i huvudsak om att pressa dessa organisationer och företag på pengar genom ransomware eller hot om att publicera stulen information.

Vilka metoder används enligt MITRE ATT&CK?

Jag har valt ut de vanligaste metoderna för varje område (enligt vad jag kan tolka som de vanligaste metoderna):

Taktik Metod
Initial Access Valid accounts, Exploit Public-Facing Application
Execution Command-line Interface, Scripting och PowerShell
Persistence Valid accounts, Create Account
Privilege Escalation Valid accounts
Defense Evasion Valid accounts, Scripting, Disabling Security Tools
Credential Access Credential Dumping
Discovery System Owner/User Discovery, System Network Configuration Discovery, System Information Discovery
Lateral Movement Remote File Copy, Remote Desktop Protocol
Collection Data from Local System
Command and Control Remote File Copy
Exfiltration Data Compressed, Exfiltration over Command and Control
Impact Data Encrypted for Impact, Inhibit System Recovery

Övriga noteringar

Beteenden hos angripare?

  • När angriparna misslyckas med att exekvera ett malware är de relativt snabba på att försöka utreda varför det inte startar. Exempelvis har de observerats försöka döda diverse processer kopplade till säkerhetsprodukter. (s.23)
  • Hotar inte endast med att kryptera data (ransomware) utan nu hotar de även med att publicera stulen information. (s.24)
  • Mycket *aaS, exempelvis download as a service, eller malware as a service (s.30/31). Skulle kunna tolkas som att marknaden blir alltmer sofisikterad och kanske framförallt specialiserad.

  1. Fine, jag antar att även statliga är kriminella... men du förstår vad jag menar, ok?