Hyökkääjät keräävät tietoja järjestelmistä sisäänrakennetuilla työkaluilla
Kyberturvallisuusyritys Picus Security analysoi, kuinka hyökkääjät hyödyntävät käyttöjärjestelmien omia työkaluja kerätäkseen tietoja järjestelmistä ja verkoista. Tämän tekniikan yleisyys korostuu.
Kyberturvallisuusyritys Picus Security on julkaissut analyysin siitä, kuinka verkkohyökkääjät hyödyntävät sisäänrakennettuja järjestelmätyökaluja kerätäkseen tietoja kohdejärjestelmistä, tekniikka nimeltä "System Information Discovery" (T1082).
Raportin mukaan tämä taktiikka oli seitsemänneksi yleisin tunnistetuista hyökkäysmenetelmistä vuonna 2025. Hyökkääjät käyttävät tätä tekniikkaa saadakseen selville tietoja kuten käyttöjärjestelmän version, laitteiston tiedot ja verkkokokoonpanot. Tämä tutkimustyö auttaa hyökkääjiä tunnistamaan haavoittuvuuksia ja optimoimaan hyökkäysstrategioitaan.
Picus Securityn mukaan hyökkääjät käyttävät usein ns. "living-off-the-land" -binäärejä (LOLBins) ja natiivityökaluja. Nämä työkalut ovat osa normaalia käyttöjärjestelmää, mikä tekee hyökkääjien toiminnan havaitsemisesta vaikeampaa, sillä se voi näyttää normaalilta järjestelmän käytöltä.
Eri käyttöjärjestelmissä hyökkääjät voivat käyttää komentoja kuten systeminfo Windowsissa, systemsetup tai system_profiler macOS:ssä, ja uname sekä sysinfo Linuxissa. Näiden komentojen avulla kerätään tietoja, jotka auttavat hyökkääjää räätälöimään hyökkäysvälineensä ja -menetelmänsä kohdeympäristöön sopiviksi.
Picus Security korostaa, että näiden tekniikoiden ymmärtäminen on olennaista organisaatioille järjestelmien ja infrastruktuurin suojaamiseksi tehokkaasti.