Több lépcsős támadások detektálása
A Sekoia Threat Detection & Research (TDR) Detecting Multi-Stage Infection Chains Madness című elemzése részletesen bemutatja, hogyan működnek a többfázisú, egymásra épülő fertőzési láncok (multi-stage infection chains), amelyek a modern támadók egyik leggyakrabban használt taktikáját képviselik. A több lépcsőben felépített támadások célja, hogy különböző modulok és eszközök alkalmazásával fokozatosan érik el a végső támadási célt, miközben a védelmi rendszerek számára sokkal nehezebb az azonnali észlelésük és leállításuk. A Sekoia jelentése szerint a támadók gyakran moduláris malware-eket, letöltő komponenseket és loader eszközöket használnak, amelyek minden egyes lépésben más-más funkciót töltenek be: például első lépésben egy initial loader modul kerül be a rendszerbe, amely kapcsolatot létesít egy command and control (C2) szerverrel, majd további komponenseket húz le, mint credential stealer, RAT (Remote Access Trojan) vagy zsarolóvírus.
A jelentés hangsúlyozza, hogy az ilyen többfázisú támadások során a különböző modulok és a támadási lépések gyakran eltérő eszközöket és technikákat alkalmaznak, például PowerShell parancsok, LOLBins (Living off the Land Binaries, LOTL) vagy különféle exploitek segítségével hajtják végre az egyes szakaszokat. Ez a fajta megosztott működés megnehezíti, hogy egy adott szakasz önmagában detektálható legyen, hiszen az egyes lépések önállóan ártalmatlannak is tűnhetnek.
A Sekoia példákkal is szemlélteti a többfázisú támadások tipikus forgatókönyveit, kiemelve például a SmokeLoader, PrivateLoader, Amadey, IcedID vagy Bumblebee malware családok által alkalmazott technikákat, ahol az első szakasz egy loader, amely további modulokat tölt le és aktivál. Ezek gyakran részei akár zsarolóprogram kampányoknak is, amelyeket később egy Initial Access Broker (IAB) ad át más támadóknak.
A jelentés külön kitér arra is, hogy a mai kiberfenyegetések jelentős része ilyen egymásra épülő fertőzési láncokat alkalmaz, és a hagyományos antivírus vagy endpoint detection rendszerek gyakran nem képesek önmagukban felismerni az ilyen összetett támadásokat, ha nincs megfelelő korrelációs és viselkedéselemző képességük.
A Sekoia hangsúlyozza, hogy a modern fenyegetések detektálásához elengedhetetlen a támadási láncok szintjén történő gondolkodás és a különálló események kontextusfüggő összekapcsolása. Ehhez olyan eszközökre van szükség, amelyek nem csupán az egyes detekciókra fókuszálnak, hanem képesek a teljes kill chain áttekintésére is. A blogbejegyzés ajánlja a folyamatos threat hunting tevékenységet, az automatizált alert correlation használatát, valamint a fenyegetésintelligencia integrációját a védekezési stratégiába.