MITRE ATT&CK T1078: Hyökkääjät hyödyntävät voimassa olevia tiloja

Kyberturvallisuusyritys Picus Security on tuonut esiin kriittisen tietoturvauhan: MITRE ATT&CK -viitekehyksen tekniikan T1078, joka tunnetaan nimellä 'Valid Accounts'. Tämä tekniikka kuvaa, miten hyökkääjät käyttävät laillisia käyttäjätunnuksia ja salasanoja päästäkseen järjestelmiin, säilyttääkseen pääsyn ja korottaakseen oikeuksiaan ilman ohjelmistohaavoittuvuuksien hyödyntämistä.

Tekniikka T1078 mahdollistaa useita haitallisia toimintoja, kuten alkuperäisen pääsyn verkkoon, liikkumisen sen sisällä, pysyvyyden ylläpitämisen ja puolustuksen kiertämisen. Koska identiteettipohjainen pääsy on yhä keskeisempää nykyaikaisissa IT- ja pilviympäristöissä, T1078 on noussut yhdeksi yleisimmistä ja tehokkaimmista hyökkäystekniikoista.

Picus Securityn mukaan heidän keräämänsä data osoittaa, että "Valid Accounts" -tekniikka onnistui 98 prosentissa testatuista ympäristöistä. Alan tutkimukset tukevat tätä havaintoa, sillä lähes kolmasosa tietomurroista hyödyntää laillisia tunnistetietoja pikemminkin kuin haittaohjelmia tai hyväksikäyttöjä.

Yhtiö korostaa, että T1078.001, "Default Accounts", jossa hyökkääjät käyttävät järjestelmien, ohjelmistojen tai laitteiden mukana toimitettuja oletustunnuksia, on erityisen yleinen. Tähän sisältyvät esimerkiksi Windowsin oletusjärjestelmänvalvojan tilit ja Linuxin root-tilit. T1078.002, "Domain Accounts", keskittyy Active Directory -ympäristöjen hyväksikäyttöön, jossa varastettuja verkkotunnustunnuksia käytetään pääsyyn ja liikkumiseen verkon sisällä.

Nämä tekniikat ovat merkittävä haaste organisaatioille, jotka pyrkivät suojaamaan identiteettinsä ja pääsynhallintansa. Picus Securityn analyysi kehottaa siirtämään puolustuksen painopistettä pelkistä teknisistä kontrolleista kohti identiteettiriskien proaktiivista hallintaa ja jatkuvaa uhkien simulointia.