HP vydalo zářijový Threat Insights Report, který analyzuje využití technik „living-off-the-land“ (LOTL) a phishingu k obcházení detekčních nástrojů. Tyto techniky spočívají v používání legitimních systémových nástrojů a funkcí k provedení útoků. Analýza ukazuje, že útočníci během útoku často zneužívají různé binární soubory, což ztěžuje rozlišení mezi škodlivou a běžnou aktivitou. Analýza vychází z dat z milionů koncových zařízení chráněných řešením HP Wolf Security a popisuje reálné kyberútoky z období duben–červen 2025.
Zdroj: HP
Pozor na obrázky a pdf
V kontextu rostoucí sofistikovanosti kybernetických útoků je nezbytné být obezřetný. Míra nebezpečí výrazně vzrostla díky kombinaci dlouhodobě známých technik s novými způsoby obcházení detekčních systémů. Výzkumníci identifikovali tři příklady kampaní:
- Falešné PDF faktury v Adobe Readeru: Útočníci připojili skript umožňující vzdálený přístup k zařízení. Skript byl ukryt v SVG souboru maskovaném jako PDF faktura s falešným načítacím pruhem, což mělo zvýšit pravděpodobnost otevření souboru a spuštění infekce.
- Malware skrytý v pixelech obrázků: Útočníci použili soubory Microsoft Compiled HTML Help k ukrytí škodlivého kódu v pixelech obrázků. Tyto soubory byly maskovány jako projektové dokumenty a obsahovaly payload XWorm. Infekční řetězec zahrnoval LOTL techniky, včetně spuštění PowerShellu pro CMD soubor, který odstranil stopy stažených souborů.
- Lumma Stealer v IMG archivech: Tento malware byl jednou z nejaktivnějších rodin v druhém čtvrtletí. Distribuován byl v archivních souborech IMG, které využívaly LOTL k obcházení bezpečnostních filtrů.
Alex Holland, hlavní výzkumník v HP Security Lab, komentuje aktuální situaci následovně: „Útočníci nevyvíjejí nové metody, ale zdokonalují ty stávající. Techniky living-off-the-land, reverzní shelly a phishing jsou tu už desetiletí, ale dnešní hackeři je stále vylepšují. Vidíme častější propojení nástrojů living-off-the-land a používání méně nápadných typů souborů, jako jsou obrázky, k obcházení detekce. Vezměte si například reverzní shelly – nemusíte nasazovat plně funkční RAT (Remote Access Trojan), když stačí jednoduchý a tenký skript, který dosáhne stejného efektu. Je to jednoduché, rychlé a často to unikne pozornosti, protože je to tak triviální.“
Zdroj: HP
Detekce není snadná
Skrytý kód v obrázcích a zneužití systémových nástrojů komplikuje detekci tradičními metodami. Analýza zdůrazňuje, že roste diverzifikace útoků, včetně regionálních přizpůsobení. Klíčová zjištění zahrnují:
- Alespoň 13 % hrozeb v e-mailech identifikovaných HP Sure Click obcházelo jeden nebo více skenerů bran.
- Archivní soubory byly nejčastějším způsobem doručení (40 %), následovaly spustitelné soubory a skripty (35 %).
- Útočníci nadále používají .rar archivy (26 %), což naznačuje zneužití důvěryhodného softwaru jako WinRAR.
Dr. Ian Pratt, globální vedoucí bezpečnosti HP, říká: „Techniky living-off- the-land jsou problematické a těžko řešitelné, protože je těžké rozlišit legitimní aktivitu od útoku. Jste mezi dvěma kameny – buď zablokujete aktivitu, což může způsobit problémy uživatelům a vytvořit nutnost otevřít tiket pro SOC, nebo to necháte otevřené a riskujete, že útočník projde. I ten nejlepší detekční systém některé hrozby přehlédne, proto je nezbytné mít víceúrovňovou obranu s izolací a blokováním útoků, aby byly zadrženy dříve, než způsobí škody.“
Zdroj: threatresearch.ext.hp.com