MITRE ATT&CK T1078: Giltiga konton utnyttjas av angripare

Cybersäkerhetsföretaget Picus Security har belyst en kritisk säkerhetsrisk: tekniken T1078, "Valid Accounts", inom MITRE ATT&CK-ramverket. Denna teknik beskriver hur angripare använder legitima användarnamn och lösenord för att få åtkomst till system, bibehålla uthållighet och eskalera privilegier utan att utnyttja mjukvarusårbarheter.

Tekniken T1078 möjliggör flera skadliga mål samtidigt, inklusive initial åtkomst, sidledsrörelse, uthållighet, privilegieeskalering och undvikande av försvar. I och med att identitetsdriven åtkomst blir centralt i moderna IT- och molnmiljöer, har T1078 blivit en av de mest pålitliga och frekvent använda teknikerna i verkliga attacker.

Picus Securitys egna data indikerar att tekniken "Valid Accounts" lyckades i 98 % av testade miljöer. Branschforskning stöder detta, där nästan en tredjedel av intrången förlitade sig på legitima inloggningsuppgifter snarare än skadlig kod eller exploateringar.

Företaget framhäver särskilt T1078.001, "Default Accounts", där angripare utnyttjar inbyggda standarduppgifter som medföljer system, programvara eller enheter. Detta inkluderar vanliga administratörs- och root-konton på Windows och Linux. T1078.002, "Domain Accounts", fokuserar på utnyttjande av Active Directory-miljöer, där komprometterade domänkonton används för åtkomst och rörelse inom nätverket.

Dessa tekniker utgör en betydande utmaning för organisationer som strävar efter att skydda sina identiteter och åtkomstkontroller. Picus Securitys analys uppmanar till en omställning av försvarets fokus från enbart tekniska kontroller till proaktiv hantering av identitetsrisker och kontinuerlig hotssimulering.