Для действий в скомпрометированной сети хакеры используют инструментов для администрирования


LightCyberЭксперты из LightCyber заявили, что в 99% случаях для дальнейших действий в скомпрометированной сети хакеры используют не вредоносы, а стандартные инструменты системных администраторов. Благодаря этому атаки долгое время остаются незамеченными.

После того, как доступ к системе будет получен, злоумышленнику необходимо определить, где хранятся интересующие его данные. Для этого он изучает структуру сети, пытается установить используемые ресурсы и ищет уязвимости. Большой популярностью у киберпреступников пользуются сканер портов и IP-адресов локальной сети Angry IP Scanner, а также инструмент для сканирования сети Nmap. По данным экспертов, на Angry IP Scanner приходится 27,1% инцидентов с использованием топовых инструментов для администрирования. Однако чаще всего хакеры используют интегрированный SSH и Telnet клиент SecureCRT – 28,5% инцидентов.

В большинстве случаев злоумышленникам удается получить доступ к сети, прибегая к методам социальной инженерии. Для удаленного доступа к компьютерам они используют TeamViewer и WinVNC. Само похищение данных осуществляется через привычные программы, такие как браузеры или клиенты для обмена файлами.

В исследовании LightCyber, которое длилось на протяжении шести месяцев, принимали участие финансовые, правительственные, здравоохранительные и технологические организации.


Обновлено (01.07.2016 22:20)