Coraz częściej cyberprzestępcy nie muszą tworzyć nowego złośliwego oprogramowania, żeby przejąć kontrolę nad Twoim komputerem. Zamiast tego wykorzystują to, co już istnieje i jest uważane za bezpieczne i zaufane oprogramowanie IT. Ostatnie ataki pokazują, że ataki, które wykorzystują prawdziwe narzędzia zdalnego zarządzania i wsparcia technicznego, są coraz częstsze i trudniejsze do wykrycia przez tradycyjne zabezpieczenia.
W praktyce taka strategia oznacza, że nawet prawdziwe programy mogą stać się furtką do Twojego systemu, jeśli zostaną użyte w niewłaściwy sposób. Poniżej opisuję, jak działa ten trend, co to znaczy dla zwykłych użytkowników i firm, jakie są konsekwencje oraz jak skutecznie się przed tym bronić.
Kiedy „zaufane narzędzie” staje się bronią
Tradycyjnie ataki bazowały na złośliwym oprogramowaniu (malware), które trzeba było ukryć przed programami antywirusowymi. Jednak cyberprzestępcy coraz częściej używają podejścia znanego jako Living Off The Land (LOTL), czyli korzystają z narzędzi i funkcji systemowych, które są już obecne w infrastrukturze, żeby ominąć wykrywanie.
Właśnie taki trend zauważają badacze w kontekście Remote Monitoring and Management (RMM) -narzędzi, które administratorzy IT używają do zdalnego zarządzania komputerami w organizacji. Przykładami takich narzędzi są LogMeIn Resolve (dawniej GoToResolve) czy PDQ Connect. Choć są zaprojektowane do ułatwienia wsparcia technicznego, w rękach atakujących dają pełny dostęp do systemu, często połączony z uprawnieniami administracyjnymi.
Co istotne, wiele zabezpieczeń sieciowych i antywirusowych traktuje takie RMM-y jako „pozytywne” oprogramowanie i nie blokuje ich aktywności, co sprawia, że ich niewłaściwe użycie jest bardzo trudne do zauważenia.
Jak wygląda atak
Atak zaczyna się od tego, że ofiara zostaje zachęcona przez socjotechnikę, czyli oszustwo, które ma skłonić ją do pobrania i uruchomienia programu, który wygląda jak coś zupełnie innego:
- link w e-mailu czy komunikacie prowadzi do pliku instalacyjnego,
- plik umieszczony jest na serwisie, np. Sharepoint, Dropbox, przez co wydaje się bezpieczny,
- i w rzeczywistości zawiera zaufane narzędzie IT przygotowane tak, by łączyło się bezpośrednio z kontem atakującego.
To, co odróżnia tę strategię od klasycznych infekcji malware:
1. Brak złośliwego kodu
Atakujący nie „dopisuje” własnego wirusa, wykorzystuje kompletny, prawdziwy program.
2. Instalacja w zaufanym kontekście
Ponieważ RMM jest uznawane przez systemy za narzędzie administracyjne, często działa z uprawnieniami, które pozwalają na pełny dostęp do systemu.
3. Unikanie wykrywania
Zwykłe oprogramowanie zabezpieczające nie blokuje RMM jako podejrzanego, dzięki czemu ruch sieciowy i procesy wyglądają jak zachowania administratora, a nie atakującego.
Atakujący przygotowują narzędzie tak, by po instalacji automatycznie łączyło się z kontem przestępców, dzięki czemu nie potrzebne są dodatkowe dane logowania ani skomplikowany malware. Instalacja sama wprowadza komputer do panelu kontrolnego atakującego.
Dlaczego jest to groźne
Osoba prywatna może zostać uwiedziona przez wiadomość, która wygląda jak coś dobrze znanego np. „aktualizacja narzędzia pomocniczego”, „poprawka bezpieczeństwa” czy „diagnostyka systemu”.
Po pobraniu i uruchomieniu pliku jej komputer zostaje automatycznie połączony z panelem atakującego:
- atakujący widzi ekran, pliki, aplikacje,
- może w pełni kontrolować komputer zdalnie,
- może zainstalować dodatkowe narzędzia lub ukryte profile.
Dla użytkownika oznacza to realne przejęcie systemu, kradzież danych, kompromitację kont oraz możliwość wykorzystania komputera w dalszych atakach.
Dla firm skala problemu jest jeszcze większa. Zdalne narzędzia administracyjne są powszechnie używane, zwłaszcza przez niewielkie zespoły IT często bez ścisłych polityk ich instalacji.
Gdy atakujący uzyska dostęp do jednego komputera pracownika, może:
- uzyskać dane logowania do zasobów firmowych,
- „przeskoczyć” z jednego urządzenia na inne w sieci,
- zainstalować ransomware lub przejąć systemy.
To sprawia, że taka metoda jest szczególnie atrakcyjna dla cyberprzestępców celujących w MŚP organizacje często mają mniej zaawansowane kontrole bezpieczeństwa i mniejsze zespoły SOC/IT.
Czym różni się ten atak od klasycznego malware
Dotychczas większość kampanii polegała na tym, że złośliwy kod musiał zostać ukryty i wykryty jako „obcy”. Tradycyjne antywirusy działały na zasadzie identyfikacji takich zagrożeń i ich blokowania, czy to na bazie sygnatur, czy heurystyki.
W tym przypadku jednak:
- Oprogramowanie zaatakowane nie jest złośliwe samo w sobie bo RMM jest narzędziem biznesowym,
- Ruch sieciowy wygląda jak normalne połączenie administracyjne,
- Uprawnienia są nadawane zgodnie z oczekiwaniami systemu, co znacznie utrudnia automatyczne blokowanie.
To oznacza, że nawet dobrze skonfigurowane zapory sieciowe i systemy XDR mogą nie zauważyć, że coś jest nie tak, dopóki atakujący nie zrobi wyraźnie podejrzanej aktywności.
Jak się chronić przed takim atakiem
Choć technika ataku brzmi skomplikowanie, obrona przed nią jest jednak możliwa dzięki kilku prostym zasadom:
1. Pobieraj oprogramowanie tylko z oficjalnych źródeł
Nigdy nie instaluj narzędzi IT ani aktualizacji z linków w e-mailach lub wiadomościach, nawet jeśli wyglądają wiarygodnie. Zawsze przejdź na oficjalną stronę producenta i pobierz stamtąd.
2. Weryfikuj pliki przed instalacją
Sprawdzaj podpisy cyfrowe, certyfikaty i reputację pliku. Legalne narzędzia mają podpisy i certyfikaty, które możesz potwierdzić przed uruchomieniem.
3. Uważaj na socjotechnikę
Nie ufaj niespodziewanym wiadomościom, które proszą o pobranie narzędzi diagnostycznych lub aktualizacji. Nawet jeśli wydają się pochodzić od zaufanego źródła, potwierdź je przez inny kanał.
4. Używaj aktualnego oprogramowania zabezpieczającego
Nowoczesne rozwiązania anty malware wykrywają nie tylko tradycyjne złośliwe pliki, ale też nietypowe użycie narzędzi systemowych i legalnych aplikacji.
5. Edukuj pracowników
W firmach warto organizować szkolenia z zakresu rozpoznawania socjotechniki i sprawdzania wiarygodności źródeł oprogramowania – to często najlepsza pierwsza linia obrony.
Podsumowanie
Nowy trend ataków pokazuje jasno, że cyberprzestępcy potrafią wykorzystać to, co sami uważamy za bezpieczne, żeby ominąć zabezpieczenia i przejąć kontrolę nad systemami. Narzędzia IT, takie jak RMM, oferują ogromne możliwości zdalnego zarządzania ale mogą zostać równie łatwo użyte jako furtka przez atakujących, jeśli zostaną pobrane pod fałszywym pretekstem.
Rozpoznanie tego typu ataku i obrona przed nim wymaga skupienia się nie tylko na technologii, ale także na nawykach użytkowników i dobrych praktykach pobierania oraz weryfikacji oprogramowania.
| Źródła |
|---|
|
|
