Picus Security: Upptäckt av fjärrtjänster är en vanlig cyberattackmetod
Picus Securitys analys fördjupar sig i tekniken T1018 Remote Service Discovery, som angripare använder för att kartlägga nätverk innan sidledsattacker.
Cybersäkerhetsföretaget Picus Security har publicerat en analys av en vanlig attackmetod känd som T1018 Remote Service Discovery. Denna teknik är en central del av hur avancerade hot kartlägger företagsnätverk för att identifiera och utnyttja fjärrtjänster för sidledsattacker.
Metoden, som klassificeras inom MITRE ATT&CK-ramverket, tillåter angripare att identifiera ytterligare system och tjänster inom ett komprometterat nätverk. Denna information hjälper angripare att planera och genomföra mer komplexa attacker. Enligt Picus Security utnyttjar angripare ofta inbyggda operativsystemkommandon, som Windows 'net'-verktyg, för att upptäcka nätverk och delade resurser.
Det anges i rapporten hur skadeprogram som QAKBOT och IcedID har använt 'net'-kommandot för informationsinsamling på komprometterade system. Därutöver beskrivs hur verktyg som PowerSploit kan användas för att identifiera fjärrsystem. Även kommandon baserade på ARP-protokollet, som 'arp -a', nämns som en del av informationsinsamlingsmetoderna.
Picus Securitys analys syftar till att belysa denna ofta förbisedda fas i cyberattacker. Företaget tillhandahåller insikter om hur organisationer kan identifiera och skydda sig mot sådana attackvektorer. Medvetenhet och effektiva säkerhetsåtgärder är avgörande för att skydda sig mot ständigt utvecklande cyberhot.
Picus Security specialiserar sig på simulering av cyberattacker och att erbjuda bästa praxis för organisationer. Deras arbete belyser vikten av kontinuerlig hotinformation och försvagsberedskap i dagens digitala miljö.