A velünk élő digitális-parazita [tl;dr]

Elérhető  a 2026-os Picus RED REPORT, ezt vizsgáltam meg most kicsit alaposabban és rendkívül érdekes trendekre figyeltem fel. A globális kiberbiztonsági fenyegetettségi térkép alapvető és strukturális átalakuláson ment keresztül a 2025-ös és 2026-os év során. A több mint 1,15 millió egyedi, túlnyomórészt (94,02%-ban) kártékonynak minősített állomány, valamint a 15,5 millió regisztrált rosszindulatú művelet elemzésén alapuló kiterjedt kutatás egyértelműen rávilágít arra a stratégiai fordulatra, amelyet a fejlett támadó csoportok (APT) az elmúlt időszakban végrehajtottak. A korábbi, azonnali károkozásra, zsarolásra és informatikai fennakadásra fókuszáló taktikákat felváltotta egy jóval kifinomultabb, hosszú távú beágyazódást megcélzó modell, amelyet az iparági szakértők a "Digitális Parazita" kifejezéssel írnak le. A jelenséggel és a megfigyelhető változással  kapcsolatban a saját véleményem az, hogy alapvetően mint ahogy eddig is a motiváció a kulcs. Korábban a motiváció elsődleges mozgatója a gyors haszonszerzés vagy a nagy durranás volt. Most azonban, a Világban megfigyelhető háborús fenyegetés, akár európában, akár a közel-keleten más irányt ad a támadóknak. Fegyverkezés zajlik, mind a kinetikus hadviselés mind pedig a kiber-hadviselés terén. És a kibertérben, most az az elemi érdeke minden szereplőnek, hogy minél több kulcs fontosságú helyen legyen jelen és építsen ki tartós jelenlétet, lehetőleg anélkül, hogy felfedeznék.

A kutatási adatok alapján a támadói magatartás elsődleges sikerkritériuma már nem a gyors és hangos pusztítás, hanem a rejtőzködési idő (dwell time) és a perzisztencia maximalizálása. Ezt támasztja alá az a statisztikai tény, hogy a tíz leggyakrabban alkalmazott MITRE ATT&CK technika 80%-a ma már kifejezetten a védelmi rendszerek kijátszására (Defense Evasion), a tartós jelenlét fenntartására (Persistence), valamint a rejtett parancsvezérlésre (Command and Control) fókuszál. A Digitális Parazita koncepciója arra a biológiai analógiára épül, miszerint a sikeres kártevő nem öli meg azonnal a gazdatestet, hanem észrevétlenül élősködik rajta, felhasználva annak saját szoftveres eszközeit, hálózati infrastruktúráját és vállalati identitásait.

A kiberfenyegetések ezen új paradigmája közvetlen összefüggésben áll a vállalati védelmi rendszerek fejlődésével. Ahogy a végpontvédelmi platformok (EDR/XDR) és a periméter-védelmi megoldások hatékonysága növekedett, a fenyegetési szereplők kénytelenek voltak elhagyni a hagyományos, könnyen szignatúrázható módszereket. Az adatok rámutatnak egy kritikus védelmi résre, amelyet a szakirodalom "invisibility gap"-ként tart számon: miközben a támadói tevékenységek 54%-át a rendszerek naplózzák, mindössze 14%-uk generál tényleges biztonsági riasztást az üzemeltetők számára. Az alacsony zajszintű, perzisztens technikák rutinszerűen a detekciós küszöbértékek alatt operálnak, így a modern behatolás már nem jelzi a jelenlétét, hanem a normál felhasználói és adminisztrátori magatartás mintázataiba simul bele.

A zsarolóvírusokhoz (ransomware) köthető "Data Encrypted for Impact" (T1486) technika alkalmazása a 2025-ös 21,00%-os elterjedtségről 2026-ra 12,94%-ra zuhant. Ez a 38%-os relatív csökkenés egy mélyreható üzleti modellváltást jelez a kiberbűnözői ökoszisztémában. A hagyományos titkosítás azért veszített a vonzerejéből, mert a szervezetek egyre robusztusabb, megváltoztathatatlan (immutable) biztonsági mentési rendszerekkel rendelkeznek, így a puszta adat-elérhetetlenség már nem garantálja a váltságdíj kifizetését. A fenyegetési szereplők áttértek a csendes adatszivárogtatásra (extortion), ahol a lopott adatok közzétételével való fenyegetés biztosítja a bevételt. Ezt a folyamatot súlyosbítja, hogy a hálózatok adatszivárogtatás elleni védelmi hatékonysága az adatok alapján 9%-ról mindössze 3%-ra esett vissza, ideális környezetet teremtve a csendes adatlopás számára.

Az elemzés rámutat arra is, hogy az identitás vált az új védelmi perimeterré. A jelszótárolókból történő adatlopás (T1555) az elemzett támadások 23,49%-ában volt jelen, ami megerősíti, hogy a támadók már nem a rendszerek feltörésére, hanem az érvényes fiókokkal történő bejelentkezésre koncentrálnak. Amint a fenyegetési szereplő érvényes hitelesítő adatot szerez (Valid Accounts - T1078), a biztonsági kontrollok hatékonysága drasztikusan csökken; a vizsgált környezetek 98%-ában az ilyen típusú támadások sikeresek voltak. A támadók továbbá a felhő-infrastruktúrák legitim eszközeit (például magas reputációjú AWS és OpenAI API-kat) is fegyverként használják fel a parancs- és vezérlő (C2) kommunikáció álcázására, valamint új, hardver-szintű támadási vektorokat (IP-KVM eszközök) is bevetnek a szoftveres védelmek teljes megkerülése érdekében.

A MITRE ATT&CK keretrendszer trendjei és a top 10 technika

A kutatási adathalmaz részletes feltérképezése a MITRE ATT&CK keretrendszerre rávilágít arra, hogy a fenyegetési szereplők milyen specifikus módszereket kombinálnak céljaik eléréséhez. Egy átlagos kártékony állomány 14 rosszindulatú műveletet hajt végre, és átlagosan 12 különböző ATT&CK technikát alkalmaz. Az alábbi táblázat foglalja össze a 10 legprevalensebb taktikát a 2026-os adatok alapján, összevetve azokat az előző évi helyezésekkel.

A következőkben az egyes technikák és azokhoz kapcsolódó al-technikák, valamint az azokat aktívan használó fenyegetési csoportok és kártevő családok részletes elemzése olvasható.

1. Folyamat-injektálás (Process Injection - T1055)

Zsinórban harmadik éve vezeti a statisztikát a folyamat-injektálás, amely az elemzett minták 30%-ában volt jelen. Ezen technika lényege, hogy a kártékony kód nem önálló, gyanús folyamatként indul el a rendszerben, hanem beépül egy már futó, az operációs rendszer vagy a felhasználó által megbízhatónak tartott legitim folyamat (például explorer.exe, svchost.exe, vagy különböző böngészők, mint a chrome.exe) memóriaterületébe. Ezáltal a kód megörökli a gazda-folyamat jogosultságait (Privilege Escalation) és átsiklik a hálózatbiztonsági szűrőkön, mivel a kimenő kommunikáció a megbízható szoftverből származik. A T1055 kategórián belül 12 specifikus al-technikát azonosítottak a kutatók.

A DLL Injektálás (T1055.001) az egyik legszélesebb körben alkalmazott módszer. A támadó a VirtualAllocEx Windows API hívással memóriát foglal a célfolyamat virtuális címtartományában, a WriteProcessMemory segítségével beírja a kártékony DLL útvonalát, majd a CreateRemoteThread hívással betölteti azt a memóriába. Az elemzések során megfigyelték, hogy a Tinky Winkey billentyűzetnaplózó (keylogger) kártevő ezt a klasszikus módszert alkalmazta az EDR eszközök megkerülésére. Egy kifinomultabb változat a Reflektív DLL Injektálás, amelyet a Raven Stealer használt: a kártevő közvetlenül a memóriában dekódolja a payloadját, és a Windows Export Address Table (EAT) elemzésével, a standard API-k (mint a LoadLibrary) elkerülésével tölti be önmagát, így nem hagy nyomot a fizikai lemezen. Egy további variáns a Hooking Injektálás, amelyet a Shadow Vector kártevő alkalmazott a SetWindowsHookEx API hívás segítségével, hogy a billentyűleütéseket rögzítse.

A Portable Executable (PE) Injektálás (T1055.002) során nem egy útvonalat, hanem a teljes végrehajtható kódot írják be a memóriába. A folyamat kihívása, hogy az injektált kód kiszámíthatatlan báziscímet (base address) kap, így a kártevőnek módosítania kell a relokációs táblákat (relocation table). A ClickFix kártevő sikeresen hajtotta végre a végső fázisú payloadját ezzel a módszerrel, teljesen elkerülve a lemezre írást és a fájl-alapú detekciót.

A Thread Execution Hijacking (T1055.003) egy meglévő végrehajtási szál (thread) feletti irányítás átvételét jelenti. A támadó felfüggeszti a szálat (SuspendThread), lekéri és módosítja a kontextusát (SetThreadContext), majd az instruction pointert (EIP/RIP regiszter) a saját kártékony kódjára irányítja. A NoisyBear csoport (APT) Kazahsztáni olaj- és gázipari célpontok ellen használta ezt a módszert. Egy új evolúciós lépés a "Várakozó Szál Eltérítése" (Waiting Thread Hijacking), ahol a kártevő eleve alvó szálakat keres, így elkerüli a felfüggesztésből adódó gyanús viselkedést. Szintén ide tartozik a "Threadless Operations" (Szál nélküli műveletek) koncepciója, amely szálak létrehozása nélkül, I/O callback mechanizmusokon keresztül éri el a kód végrehajtását.

Az Asynchronous Procedure Call (APC) (T1055.004) technikánál a támadó az operációs rendszer aszinkron eljáráshívásait használja ki. Az XLoader és a SadBridge kártevők a QueueUserAPC API hívással helyezték a memóriába írt kódjukat a szál várakozási sorába. A kód akkor fut le, amikor a célzott szál "alertable" (riasztásra kész) állapotba kerül, például egy I/O művelet során, így transzparens marad a védelmi szoftverek számára.

A Thread Local Storage (TLS) (T1055.005) injektálás során a támadók a szálakhoz rendelt privát adattároló területeket manipulálják. A Windows operációs rendszer a TLS callback funkciókat a folyamat inicializálására használja. A CANONSTAGER kártevő a TlsSetValue funkció segítségével úgy módosította ezeket a callbackeket, hogy a kártékony kód még a program fő belépési pontjának (main entry point) elérése előtt lefusson, maximális rejtőzködést biztosítva. Hasonlóan működik a Process Hypnosis technika, amelyet a PureRAT alkalmazott, ahol a kártevő a folyamat belső végrehajtási logikáját módosítja úgy, hogy a rosszindulatú kód a normál futás során, explicit szálkészítés nélkül hívódjon meg.

A Process Hollowing (T1055.012) egy klasszikus, de továbbra is hatékony módszer, ahol a támadó egy legitim folyamatot indít el felfüggesztett állapotban, kiüríti annak memóriáját (ZwUnmapViewOfSection vagy NtUnmapViewOfSection), majd a kártékony kóddal tölti fel. Ezt a módszert az AsyncRAT kártevő egy steganográfiai kampány során alkalmazta, ahol a ResumeThread hívással indította el a már kompromittált, de vizuálisan legitimnek tűnő folyamatot.

A Process Doppelgänging (T1055.013) és a kapcsolódó Process Ghosting technikák a Windows fájlrendszeri sajátosságait használják ki. Az APT37 csoport a Windows NTFS tranzakciós funkcióit (TxF) kihasználva, az NtCreateTransaction és NtRollbackTransaction funkciókkal indított el kódokat a memóriában anélkül, hogy a fájl módosításai valaha is véglegesítve lettek volna a lemezen. A GhostPulse és az IDAT Loader szintén ezt a technikát alkalmazta a LummaC2 betöltésére. A Process Ghosting esetében a CherryLoader kártevő a CreateFile API-t hívta meg a DELETE flag beállításával, majd a NtSetInformationFile segítségével úgy konfigurálta a fájlt, hogy az az olvasás lezárásakor automatikusan törlődjön, de a memóriából a kód már futott.

Unix és Linux rendszereken a folyamat-injektálás más formákat ölt. A Ptrace System Calls (T1055.008) során az adminisztrátori ptrace rendszerehívást használják a futó folyamatok memóriájának manipulálására és a kód beinjektálására. A Proc Memory (T1055.009) technika a /proc virtuális fájlrendszert használja a folyamatok memóriájának feltérképezésére, hogy a támadó Return-Oriented Programming (ROP) láncokat, úgynevezett "gadgeteket" (kis kódrészleteket) építsen fel a memóriában található meglévő utasításokból, így elkerülve a saját kód befecskendezését. A VDSO Hijacking (T1055.014) a Virtual Dynamic Shared Object memórialap felülírásával vagy a Global Offset Table (GOT) címinferenciáinak módosításával irányítja át a rendszerhívásokat.

Végül a ListPlanting (T1055.015) és az Extra Window Memory Injection (T1055.011) a Windows grafikus felhasználói felületének (GUI) elemeit használják ki. A ListPlanting során a list-view kontrollok (SysListView32) memóriáját manipulálják, és a kártékony kódot egy egyedi rendezési (sorting) callback függvényként hajtják végre az LVM_SORTITEMS üzenet elküldésekor. Az Extra Window Memory technika a Windows Explorer tálcaikonjának extra memóriáját (EWM) használja a kód tárolására és a SetWindowLongPtr API-n keresztüli végrehajtására.

2. Parancs- és szkript-értelmezők (Command and Scripting Interpreter - T1059)

A második leggyakoribb technika (27%-os prevalenciával) az operációs rendszerek beépített parancssori eszközeinek és szkriptnyelveinek kihasználása. A "Living Off the Land Binaries" (LOLBins) használata kritikus a Digitális Parazita számára, mivel kiküszöböli a gyanús, harmadik féltől származó szoftverek telepítését, és a támadó tevékenységét a legitim adminisztrátori folyamatok közé rejti.

A PowerShell (T1059.001) az egyik leginkább preferált eszköz a Windows ökoszisztémában. A támadók gyakran egysoros parancsokat (one-liners) alkalmaznak a detektálás megnehezítésére. Például a HellCat zsarolóvírus egy Base64-kódolt, rejtett ablakkal (-windowstyle hidden) indított PowerShell szkriptet használt, amelyet az Invoke-WebRequest segítségével töltött le, közvetlenül a memóriába fordított, majd a Registry "Run" kulcsába írt a perzisztencia biztosítása érdekében. A ValleyRAT kártevő az Add-MpPreference -ExclusionPath paranccsal csendben, API-szinten adta hozzá a saját telepítési könyvtárát a Windows Defender kivétellistájához, így hatástalanítva a valós idejű védelmet anélkül, hogy a vírusírtó folyamatát leállította volna. A Chihuahua Stealer teljes egészében a memóriában dekódolta a payloadját, megkerülve a fájl alapú szignatúra-ellenőrzéseket. A DragonForce zsarolóvírus szintén a Net.WebClient osztályt használta az in-memory végrehajtáshoz az elsődleges hozzáférés után.

A macOS rendszereken az AppleScript (T1059.002) játszik hasonló szerepet. Az Atomic macOS Stealer (AMOS) hamis rendszer-dialógusablakokat hozott létre az osascript parancs segítségével. A szkript egy teljesen legitimnek tűnő pop-up ablakot jelenített meg ("Auto-Updates System" címmel), amely arra kérte a felhasználót, hogy adja meg a rendszerjelszavát. A jelszó megadása után a szkript a háttérben kikerülte a macOS Gatekeeper védelmét, kimentette a Safari cookie-kat (Cookies.binarycookies), a Notes adatbázist, és a dokumentumokat.

A Windows Command Shell (T1059.003) (a cmd.exe) a maga egyszerűségében is pusztító fegyver. A Crypto24 zsarolóvírus a beépített net localgroup administrators paranccsal adta hozzá a saját, újonnan létrehozott fiókjait a magas jogosultságú adminisztrátori és Remote Desktop csoportokhoz, azonnali és tartós hozzáférést biztosítva a rendszerhez. A CABINETRAT a whoami/groups és a findstr parancsok kombinációjával, a jól ismert S-1-5-32-544 Security Identifier (SID) keresésével ellenőrizte, hogy a futtató felhasználó rendelkezik-e adminisztrátori jogokkal. Az Anubis ransomware a rendszerleíró adatbázis (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System) módosításával kényszerítette ki a zsaroló üzenetet tartalmazó háttérkép beállítását.

Unix és Linux környezetben a Unix Shell (T1059.004) használata dominál. Egy kínai hátterű (China-nexus) APT csoport az Ivanti EPMM sebezhetőségének kihasználásakor egy rendkívül rövid Bash szkript-szekvenciát alkalmazott, amely a wget, curl és fetch parancsok egymás utáni próbálgatásával biztosította a payload sikeres letöltését a /tmp/1 könyvtárba, majd a chmod +x kiadásával azonnal futtatta is azt. A VShell kampány még ennél is tovább ment: olyan speciálisan formázott, Base64-kódolt fájlneveket alkalmazott a mellékletekben, amelyek a Bash általi automatikus feloldáskor (expansion) kódként futottak le, és háttérben futó, álcázott kernel szálakként ([kworker/0:2]) indították el a memóriába töltött ELF betöltőt.

A Visual Basic (T1059.005) és az ahhoz köthető VBScript, valamint a VBA makrók továbbra is a kezdeti behatolási fázis (Initial Access) fontos elemei. Egy 2025-ös kampányban a támadók a Microsoft Office (PPTX) fájlokba ágyazott VBScript-et használtak a WScript.Shell objektum példányosítására, amely letöltötte és elindította az XRed és LodaRAT kártevőket, a parancsokat a Windows Startup könyvtárába helyezve.

A Python (T1059.006) szkriptnyelv platformfüggetlensége miatt vált kedveltté. A pakisztáni székhelyű APT36 (Transparent Tribe) csoport, amely korábban Windows rendszereket célzott, egy swcbc nevű Python alapú Remote Administration Tool (RAT) fejlesztésével jelent meg a Linux/BOSS (Bharat Operating System Solutions) operációs rendszereken. A kártevőt a PyInstaller segítségével ELF binárissá fordították, így Python futtatókörnyezet nélkül is működőképes volt. A perzisztenciát a Linux systemd init rendszerének manipulálásával oldották meg, felhasználói szintű szervizként regisztrálva a kártevőt.

A JavaScript (T1059.007) és annak változatai (JScript, JXA) a webes és lokális kompromittálások alapjai. A JSFireTruck nevű technikát alkalmazó kampányban a támadók egy erősen obfuszkált JavaScript kódot injektáltak a kompromittált weboldalakba. A kód először ellenőrizte a document.referrer tulajdonságot, hogy megállapítsa, a felhasználó keresőmotorból érkezett-e (ezzel megkerülve az automatikus biztonsági szkennereket), majd egy teljes képernyős, rejtett iFrame (z-index: 30000) dinamikus létrehozásával irányította át az áldozatokat rosszindulatú felületekre.

A modern vállalati infrastruktúra sebezhetőségét mutatja a Cloud API (T1059.009) technika rohamos terjedése. A támadók a felhőszolgáltatók (AWS, Azure, Google Cloud) menedzsment interfészeit használják a hagyományos OS-szintű parancsok helyett. A SesameOp backdoor esetében a támadók egy teljesen új C2 paradigmát hoztak létre: a kártevő nem egy saját, rosszindulatú szerverrel kommunikált, hanem az OpenAI Assistants API-ján keresztül (api.openai.com) kapta a titkosított utasításokat és küldte vissza az eredményeket. Ez a hálózati forgalom tökéletesen beleolvadt a legitim, üzleti AI-fejlesztési forgalomba, láthatatlanná téve a támadást a tűzfalak számára.

A hálózati eszközökön futó Network Device CLI (T1059.008) kihasználása az infrastrukturális támadások melegágya. Az UNC3886 kínai kibercsoport Juniper hálózati routereken alkalmazta a TINYSHELL backdoort. A támadók a Juniper Junos CLI-ből átléptek a mögöttes FreeBSD shellbe, majd manipulálták a rendszer memóriáját a Veriexec fájlintegritás-ellenőrző rendszer kikapcsolására. Ezt követően a HISTFILE változó ürítésével és a .sh_history törlésével azonnal eltüntették a tevékenységük nyomait.

Hasonlóan kritikus a virtualizációs rétegek ellen irányuló Hypervisor CLI (T1059.012) technika. Az UNC3944 csoport az ESXi hipervizorok shelljébe bejelentkezve, az operációs rendszerek (guest OS) alatt operálva hajtotta végre a támadásait. A vim-cmd és hasonló hipervizor-szintű parancsok segítségével offline állapotban választották le a domain kontrollerek virtuális lemezeit (VMDK), lemásolták róluk a hitelesítő adatokat (NTDS.dit), majd visszaállították azokat, mindezt anélkül, hogy a vendég operációs rendszerben futó EDR bármit is érzékelt volna.

Végül a Container CLI/API (T1059.013) technika a konténerizált környezetek (pl. Docker, Kubernetes) API-jainak manipulálását jelenti, míg a Windows környezetben az automatizációs eszközök (AutoHotKey és AutoIT - T1059.010), illetve a könnyűsúlyú Lua (T1059.011) szkriptnyelv biztosítanak lehetőséget a kártevőknek a felhasználói interakciók emulálására és a payloadok betöltésére.

3. Hitelesítő adatok jelszótárolókból (Credentials from Password Stores - T1555)

A "Láthatatlansági Szakadék" és a Digitális Parazita modell legfontosabb megállapítása, hogy az identitás vált az új védelmi perimeterré. Az elemzett támadások negyedében (23,49%) a támadók a meglévő jelszótárolókat célozták meg, bizonyítva a korábbi állítást: a támadó nem betöri az ajtót, hanem bejelentkezik. Az érvényes fiókokkal végzett műveletek detektálása rendkívül nehéz; a Blue Report 2025 tesztjei alapján a Valid Accounts (T1078) módszer az esetek 98%-ában akadálytalanul átjutott a védelmeken.

A Böngészők Jelszótárolói (T1555.003) az információlopó (InfoStealer) kártevők elsődleges célpontjai. Bár a Google Chrome és az Edge bevezette az AppBound titkosítást (amely a jelszavakat a böngésző futtatási kontextusához köti), a modern kártevők alkalmazkodtak. A SantaStealer kártevő például nem a kriptográfiai algoritmust törte fel, hanem magát a titkosítási API-t használta ki. Megfelelő jogosultsági szinten, a böngésző saját folyamati kontextusába ékelődve kérte le a dekódolt jelszavakat és munkamenet-sütiket (session cookies), pontosan úgy, ahogy azt a legitim böngésző tenné. A kártevő a ShellExecuteExA és más API-kkal manipulálta a végrehajtási láncot.

Apple ökoszisztémában a macOS Keychain (T1555.001) és a mögöttes securityd Memory (T1555.002) a célpont. A BeaverTail nevű kártevő – amelyet programozóknak szánt, állásinterjú-projektnek álcázott, fertőzött npm (Node Package Manager) csomagokon keresztül terjesztettek – a macOS beépített, natív parancssori eszközeit (pl. security) használta arra, hogy a fejlesztők kulcskarikájáról exportálja az azonosító tokeneket, böngésző titkokat és a kriptovaluta tárcák (pl. Solana, Exodus) adatait, majd az egészet egy ZIP fájlba tömörítve továbbította. Szintén ezen a platformon a támadók adminisztrátori jogok birtokában a securityd folyamat memóriaképének (memory dump) elemzésével közvetlenül, nyílt szövegként tudják kinyerni a feloldott jelszavakat a memóriából.

A Windows Credential Manager (T1555.004) támadása során az Earth Ammit és a Meduza Stealer csoportok a beépített cmdkey /list paranccsal és a CredEnumerateA Windows API funkció meghívásával sorolták fel és loptták el a rendszer által eltárolt hálózati és domain hitelesítő adatokat. A Makop ransomware egy még agresszívabb utat választott: a nyílt forráskódú Mimikatz eszközt vetette be a memóriában (LSASS) és a jelszókezelőben tárolt adatok kinyerésére, olyan parancsok sorozatával, mint a privilege::debug, sekurlsa::logonPasswords és vault::cred.

A Jelszókezelő Alkalmazások (Password Managers - T1555.005) és a Felhő Titoktárolók (Cloud Secrets Management Stores - T1555.006) kompromittálása a vállalati infrastruktúra legérzékenyebb pontjait érinti. Az UNC3944 a végpont feletti irányítás megszerzése után egyszerűen megvárta, amíg az adminisztrátor feloldja a vállalati jelszókezelőjét (pl. HashiCorp Vault), és a feloldott munkamenetet kihasználva fértek hozzá a hipervizor és menedzsment szintű infrastruktúra jelszavaihoz. A felhős környezetekben a Storm-0501 csoport a miskonfigurált Azure jogosultságokat (Owner privileges) kihasználva az Azure Key Vault és a Storage Accountok titkos kulcsait olvasta ki a legitim API-kon keresztül. Hasonlóan, a Shai-Hulud 2.0 kártevő a fejlesztői környezetek környezeti változóiból (environment variables) gyűjtötte be az AWS_ACCESS_KEY_ID és AWS_SECRET_ACCESS_KEY értékeket, aszinkron, háttérben futó folyamatok segítségével, hogy észrevétlen maradjon.

4. Virtualizáció és homokozó kikerülése (Virtualization/Sandbox Evasion - T1497)

Ez a technika a tavalyi évhez képest a semmiből a 4. leggyakoribb pozícióba (20%) ugrott. A modern kártevők "öntudatra" ébredtek; egyfajta "tetszhalott" (play dead) állapotot vesznek fel, amíg meg nem bizonyosodnak arról, hogy nem egy biztonsági elemző rendszerben (sandbox) vagy kutatói virtuális gépben futnak. Ez a mechanizmus nagymértékben felelős azért, hogy a Blue Report 2025 adatai szerint a sandbox kikerülési technikákat az esetek mindössze 13%-ában sikerült blokkolni a tesztelt rendszereknél.

A Felhasználói Tevékenység Vizsgálata Matematikával (T1497.002) egy rendkívül innovatív megközelítés. A LummaC2 (v4.0) információ-lopó kártevő nem egyszerűen ellenőrzi az egérkurzor mozgását, hanem komplex trigonometriai és geometriai számításokat végez az emberi jelenlét matematikai bizonyítására. A kártevő első lépésben a GetCursorPos() Windows API hívással lekérdezi az egér pozícióját, majd 300 milliszekundumot vár, és újra ellenőriz. Ha van mozgás, a kártevő rögzít 5 egymást követő kurzorpozíciót (P0, P1, P2, P3, P4), közöttük 50 milliszekundumos szünetekkel. Ha a mozgás akár egy pillanatra is megáll ezen az ablakon belül, a folyamat újraindul. Az igazán lenyűgöző rész ezután következik: a kártevő az öt pontból négy vektort képez, kiszámítja azok Euklideszi távolságát, majd a vektorok skaláris szorzata (dot product) alapján meghatározza a mozgás által bezárt szögeket. Ha a mozgás hirtelen irányváltásokat tartalmaz (a szögek nagyobbak 45 foknál), a kártevő feltételezi, hogy egy automata sandbox emulálja a mozgást lineáris útvonalakon, ezért leállítja a végrehajtást. Csak a természetes, íves, 45 foknál kisebb szögeltéréseket tartalmazó mozgás esetén engedélyezi a fertőzést.

Az Időalapú Ellenőrzések (Time Based Checks - T1497.003) során a kártevő a rendszer időkezelési anomáliáit figyeli. A Blitz kártevő egy zseniális, aszinkron időmérési technikát alkalmaz. A fő végrehajtási szálban 1 millió iterációban lefuttatja a CPUID processzor-utasítást, míg egy párhuzamos szálon folyamatosan lebegőpontos (floating-point) matematikai műveleteket hajt végre (fyl2xp1 assembly utasítással) és növel egy számlálót. Mivel a hipervizorok (a virtuális gépeket kezelő szoftverek) a CPUID utasítás elfogásakor jelentős overheaddel és késleltetéssel dolgoznak a fizikai processzorokhoz képest, a virtuális gépben a lebegőpontos műveletek számlálója jóval kevesebbszer tud lefutni az 1 milliós CPUID ciklus alatt. A kártevő a végén egy egyszerű arányszámítást végez; ha a matematikai eredmény (a resultant) 5.0 alá esik, a kártevő biztosan tudja, hogy egy virtuális környezetben elemzik, és azonnal bezárja magát.

A Rendszerellenőrzések (System Checks - T1497.001) keretében a kártevők a hardver paramétereit vizsgálják. A Blitz például ellenőrizte, hogy a számítógép rendelkezik-e legalább 4 processzormaggal, és hogy a képernyőfelbontás nem valamilyen gyanús, alacsony érték-e (pl. 1024x768 vagy 800x600). Továbbá vizsgálta specifikus sandbox driverek (mint az ANY.RUN hálózati sandbox illesztőprogramja) és regisztrációs kulcsok jelenlétét a rendszerben.

5. Alkalmazásrétegbeli protokollok (Application Layer Protocol - T1071)

A támadók a parancs- és vezérlő (C2) kommunikációjukat, valamint az adatszivárogtatást a leggyakrabban használt webes (HTTP/HTTPS), fájlátviteli (SFTP) és e-mail protokollokba rejtik (19%-os prevalencia). Ezzel a módszerrel a támadó forgalom megkülönböztethetetlenné válik a napi, legitim vállalati hálózati zajtól.

A Webes Protokollok (Web Protocols - T1071.001) esetében a támadók kihasználják, hogy a tűzfalak átengedik a magas reputációjú felhőszolgáltatások felé irányuló HTTPS forgalmat. A HazyBeacon backdoor teljesen mellőzte a gyanús domaineket; ehelyett egy Amazon AWS Lambda URL-en keresztül küldte és fogadta az utasításokat, így a védelmi rendszerek csupán egy ártalmatlan amazonaws.com kommunikációt láttak. Mivel a payload és az utasítás a TLS titkosítás alatt utazott, a Deep Packet Inspection (DPI) eszközök hatástalanok voltak. A LameHug és a MalTerminal kártevők egy OpenAI vagy HuggingFace LLM (Nagy Nyelvi Modell) publikus API-ját használták. A fertőzött gép egy egyszerű, HTTPS protokollon keresztül küldött "promptban" (például a Qwen LLM-nek címezve) kérte le, hogy milyen Windows shell parancsokat kellene lefuttatnia a rendszer felderítéséhez. A mesterséges intelligencia által adott válasz tartalmazta a tényleges rosszindulatú kódokat, amelyeket a gép ezután végrehajtott.

A Fájlátviteli Protokollok (File Transfer Protocols - T1071.002), mint az SFTP, a biztonságos, SSH-alapú titkosítást fordítják a védők ellen. A LameHug a Python paramiko könyvtárának felhasználásával, hardkódolt azonosítókkal jelentkezett be a támadó szerverére a 22-es SSH porton keresztül. A begyűjtött adatokat titkosítva, automatikusan töltötte fel időbélyeggel ellátott mappákba. Mivel az SFTP használata teljesen megszokott a vállalati hálózatokban a biztonságos fájlmozgatásra, az adatszivárogtatás rejtve maradt az éberségi radarok elől.

A Levelezési Protokollok (Mail Protocols - T1071.003) és a DNS protokoll (T1071.004) szintén gyakori célpontok. A DarkCloud Stealer a kompromittált rendszereken direkt az FTP kliensekből gyűjtött jelszavakat továbbította kifelé email protokollokba ágyazva. Az IoT világából származó Publish/Subscribe Protokollok (T1071.005) is megjelentek az arzenálban. A Cyber Av3ngers hacktivista csoporthoz köthető IOCONTROL kártevő a pehelysúlyú MQTT (Message Queuing Telemetry Transport) protokollt használta. A DNS lekérdezés után a kártevő csatlakozott az MQTT brókerhez, majd dedikált témákra (topics) feliratkozva várta a JSON formátumban érkező utasításokat, és ugyanígy aszinkron módon küldte vissza a felderített rendszeradatokat, teljesen elrejtve a C2 jelenlétet a statikus hálózatfigyelők elől.

6. Álcázás (Masquerading - T1036)

A rejtőzködés művészete a fájlok, folyamatok és szolgáltatások legitim rendszerkomponenseknek való álcázásában (17%) csúcsosodik ki. A támadók a pszichológiai megtévesztésre és a védelmi szoftverek felületes ellenőrzéseire építenek.

A Right-to-Left Override (RTLO) (T1036.002) technika a Unicode formázási karaktereket használja fel fegyverként. A Ferocious Kitten APT csoport Irán-fókuszú kampányában az U+202E karakter (amely a szövegírási irányt jobbról balra fordítja) beszúrásával manipulálta a fájlneveket. Így egy futtatható állomány (pl. MyVideo\u202E4pm.exe) a fájlkezelőben vizuálisan ártalmatlan videófájlnak, MyVideoexe.mp4-nek látszott, miközben a valós kiterjesztése továbbra is .exe maradt, ami garantálta a kártékony kód lefutását a megnyitáskor.

A vizuális álcázás másik formája a Masquerade File Type (T1036.008) és a Dupla Kiterjesztés (T1036.007). A STATICPLUGIN kártevőt (az UNC6384 APT csoporttól) úgy alakították ki, hogy az ikonja és a felhasználói felülete egy megbízható Microsoft Visual C++ 2013 telepítőt utánozzon. Eközben a háttérben egy .bmp kiterjesztésű fájlt (amely valójában egy rosszindulatú MSI csomag volt) töltött le a Windows COM mechanizmusán keresztül. A Deep#Drive kampány Észak-Koreai hackerei olyan Windows shortcut (.lnk) fájlokat alkalmaztak, amelyeket a .pdf.pdf.lnk dupla kiterjesztéssel láttak el. Mivel a Windows alapértelmezetten elrejti az ismert kiterjesztéseket, a felhasználó csak egy PDF fájlt látott.

A Megbízható Forrásnevek és Lokációk Mimikrije (T1036.005) és a Task/Service Név Álcázás (T1036.004) szintén kritikusak. A Mustang Panda csoport olyan binárisokat (Paklog, Corklog) használt, amelyeket ismert vendorok (szoftvergyártók) digitális aláírásával láttak el, de a tanúsítványok valójában már lejártak vagy visszavontak voltak. Ez a trükk elegendő volt ahhoz, hogy a felületes ellenőrzést végző szoftvereket megtévessze. Linux környezetben az Auto-Color backdoor a /var/log/cross/auto-color útvonalon futott, magát legitim rendszernaplózó szolgáltatásnak álcázva. A BPFDoor még messzebb ment: futásidőben felülírta a memóriában a saját folyamat-argumentumait (process arguments), így az operációs rendszer standard eszközei (ps, top) a backdoort teljesen ártalmatlan daemonként mutatták (pl. /sbin/udevd -d vagy dbus-daemon --system).

A Fióknevek Álcázása (Masquerade Account Name - T1036.010) a naplóelemzések kijátszására szolgál. A Gold Melody nevű "Initial Access Broker" a hozzáférés megszerzése után az updf bináris és a GodPotato exploit segítségével emelte a jogosultságait SYSTEM szintre. Ezt követően olyan fiókokat hozott létre, amelyek nevei vizuálisan beolvadtak a normál adminisztratív vagy támogatói fiókok közé (pl. support:Sup0rt_1!admin), így a jelenlétük nem keltett gyanút a SOC (Security Operations Center) elemzőiben. Emellett a webalapú támadásoknál a Lazarus csoport a Böngésző Ujjlenyomatának (Browser Fingerprint - T1036.012) meghamisításával (pl. User-Agent stringek módosításával egy specifikus Chrome/Edge verzióra) érte el, hogy a forgalma legitim felhasználói webes munkamenetnek tűnjön a hálózati határokon.

7. Automatikus indítás és bejelentkezéskori végrehajtás (Boot or Logon Autostart Execution - T1547)

A Parazita nem engedheti meg magának, hogy egy egyszerű rendszer-újraindítás (reboot) törölje az illékony memóriából (15%). A túléléshez be kell épülnie a gazdatest "DNS"-ébe, vagyis a rendszerleíró adatbázisba vagy a startup mappákba.

A Windows rendszereken a CABINETRAT a jól ismert HKCU\Software\Microsoft\Windows\CurrentVersion\Run Registry kulcsot módosította a perzisztencia elérése érdekében. Linux környezetben az EtherRAT kártevő bizonyította be ezen technika hatékonyságát az XDG autostart könyvtárak manipulálásával, ahol rejtett .desktop kiterjesztésű indítófájlokat helyezett el, biztosítva a kártékony folyamat betöltődését a felhasználói grafikus felület elindulásakor.

8. A védelem károsítása és megvakítása (Impair Defenses - T1562)

Mielőtt a Parazita hozzálát a zsaroláshoz vagy az adatlopáshoz, gondoskodnia kell az "immunrendszer", vagyis az antivírus és EDR szoftverek semlegesítéséről (14%). Ez a módszertan rendkívül aggasztó tendenciákat mutat.

A Vírusírtók és Biztonsági Eszközök Kikapcsolása (T1562.001) terén a Deadlock zsarolóvírus a Windows beépített, legitim SystemSettingsAdminFlows.exe rendszer-utilitását módosította CLI parancsokon keresztül, hogy csendben, a háttérben kapcsolja ki a Windows Defender valós idejű védelmét (RTP), a felhő alapú mintaküldést (SpynetReporting), valamint a biztonsági értesítéseket. Ezzel a Defender látszólag futott, de valójában inaktív volt.

A Mustang Panda csoport a SplatCloak eszközzel operált, amely egy visszavont, de a Windows által elfogadott tanúsítványt használt arra, hogy a kernel szinten nullázza ki a biztonsági termékek (pl. a Kaspersky) által regisztrált callback rutinokat (pl. PsSetCreateProcessNotifyRoutine), teljesen megvakítva az EDR szenzorokat a folyamat-indítási eseményekkel kapcsolatban. Még ennél is fejlettebb volt a Crypto24 által használt RealBlindingEDR technika. Ez a "Bring Your Own Vulnerable Driver" (BYOVD) módszerrel egy sérülékeny vagy lopott kulccsal aláírt kernel drivert töltött be. A driver segítségével a memóriában törölte a fájlrendszert felügyelő MiniFilter regisztrációkat és az ObRegisterCallbacks rutinokat. Az EDR és az AV folyamatok (service-ek) így futva maradtak a memóriában – elkerülve a szolgáltatás-leállási (service crash) riasztásokat a biztonsági felügyeletnél –, de a szoftverek teljesen megvakultak minden fájlrendszeri és processz-szintű manipuláció iránt, védtelenné téve a gépet a későbbi titkosítási fázissal szemben.

A Hálózati Tűzfalak Manipulációja (T1562.004) során a Medusa ransomware a Windows netsh advfirewall és a Registry beállításait használta az RDP (Remote Desktop) forgalom és a távoli WMI menedzsment engedélyezésére a helyi tűzfalon. Linuxon a PlusDaemon és különböző IoT botnetek a kernelbe épített iptables szabályokat módosították. Nem kikapcsolták a tűzfalat, hanem dinamikus átirányításokat (PREROUTING, REDIRECT) állítottak be a DNS (UDP 53) és egyéb C2 forgalmakra, miközben a kimenő TCP RST (Reset) csomagokat is eldobták, meggátolva, hogy az operációs rendszer bontsa az abnormális kapcsolatokat. A Ransomhub eközben a bcdedit parancsokkal Safe Mode-ba kényszerítette a gépeket, ahol a legtöbb third-party védelmi eszköz alapértelmezetten el sem indul.

9. Távoli hozzáférési eszközök és hardveres beágyazódás (Remote Access Tools - T1219)

Ez a kategória azért tért vissza három év után a Top 10-be (13%), mert a támadók felismerték: sokkal egyszerűbb a meglévő, engedélyezett távvezérlő programokat (AnyDesk, TeamViewer, Visual Studio Code Tunnels) használni, mint saját trójai programokat (RAT) fejleszteni. Az igazi paradigmaváltást azonban a Fizikai és Hardveres Belső Fenyegetés (Remote Access Hardware - T1219.003) megjelenése hozta el.

Az észak-koreai (DPRK) államilag támogatott hackerek által üzemeltetett "laptop farmok" bebizonyították, hogy a kiberbiztonság ma már fizikai biztonsági kérdés is. Az amerikai bűnüldöző szervek által feltárt ügyekben az IT munkások (akik hamis személyazonossággal, távmunkában dolgoztak nyugati vállalatoknak) fizikai IP-KVM eszközöket (pl. PiKVM, TinyPilot) csatlakoztattak a vállalati laptopok HDMI és USB portjaihoz. Ezek az eszközök lehetővé teszik a támadók számára, hogy a hálózaton keresztül úgy irányítsák a laptopot, mintha fizikailag ott ülnének előtte. Mivel az IP-KVM a legalacsonyabb, BIOS/Hardver rétegben operál, teljesen az operációs rendszer (OS) alatt helyezkedik el. Emiatt a hagyományos végpontvédelmi (EDR) szoftverek számára ez a tevékenység láthatatlan; a rendszer csak egy monitor és egy billentyűzet csatlakozását érzékeli. Ez a módszer újraírja az "Insider Threat" fogalmát.

10. Hatás kifejtése céljából titkosított adatok (Data Encrypted for Impact - T1486)

Bár az előző évhez képest a hatodikról a tizedik helyre esett vissza (13%), a fájlok titkosítása általi üzleti zsarolás (Ransomware) vagy szabotázs (Wiper) továbbra is a legpusztítóbb következménnyel járó technika. A modern ransomware operátorok jellemzően Hibrid Titkosítást alkalmaznak, hogy maximalizálják a sebességet és a feltörhetetlenséget.

A következő táblázat a 2025-ben domináns ransomware csoportok által alkalmazott hibrid titkosítási protokollokat mutatja be:

A folyamat során a kártevő a felhasználó fájljait a rendkívül gyors szimmetrikus algoritmussal (pl. AES) titkosítja egy véletlenszerűen generált kulccsal. Ezt a kulcsot az aszimmetrikus algoritmus (pl. RSA vagy ECC) nyilvános (Public) kulcsával kódolják. A dekódoláshoz elengedhetetlen a támadónál lévő privát (Private) kulcs. Emellett geopolitikai motivációkból terjednek az adatpusztító "Wiper" kártevők is, mint az Anubis ransomware wipe módja, vagy a Sandworm APT csoporthoz köthető ZEROLOT és Sting, amelyek célja nem a zsarolás, hanem a rendszerek végleges helyreállíthatatlanságának elérése.

Védekezési stratégiák, ajánlások és a jövőkép

A Picus Red Report 2026 megállapításai alapján a reaktív, tisztán szignatúra-alapú és fájl-fókuszú biztonsági védelem megbukott. A szervezetek biztonsági beruházásait az "assuming protection" (feltételezzük a védelmet) hozzáállásról a "validating resilience" (ellenállóképesség validálása) modellre kell áthelyezni.

A következő stratégiai lépések elengedhetetlenek a "Digitális Parazita" elleni küzdelemben:

1.    Folyamatos biztonsági balidáció és BAS (Breach and Attack Simulation): A statikus auditok nem elegendőek a kontextus-tudatos (sandboxot kerülő) kártevők ellen. Rendszeresen szimulálni kell a valós támadási technikákat (különösen a Process Injection-t és az Impair Defenses metódusokat) az éles környezetben, hogy a SOC csapat validálhassa, a riasztások valóban megtörténnek-e az "invisibility gap" (láthatatlansági szakadék) áthidalása érdekében. Külön hangsúlyt kell fektetni a "csendes meghibásodások" (silent failures) keresésére; egy elnémult EDR szenzor gyakran a kifinomult támadás első jele.

2.    Az identitás és a felhő szigorítása (identity & cloud hardening): Mivel a támadások negyede a jelszótárolókat (T1555) célozza, meg kell tiltani a vállalati eszközökön a böngészőkbe épített jelszómentési funkciók használatát. A modern védelem sarokköve az adathalászat-rezisztens MFA technológiák (pl. FIDO2 / WebAuthn) bevezetése, amelyeket a támadók nehezebben tudnak "Downgrade" (T1562.010) támadásokkal visszafejleszteni. A felhős API kulcsok (CIEM megoldásokkal támogatott) legkisebb jogosultság (Least Privilege) alapú kezelése kulcsfontosságú a "Living off the Cloud" támadások ellen.

3.    A LOLBins (beépített eszközök) forgalmának korlátozása: A PowerShell "Constrained Language Mode" engedélyezése, a natív parancsértelmezők blokkolása (amennyiben nincsenek aláírva), és a gyanús szülő-gyermek folyamat kapcsolatok (pl. Office dokumentumokból indított cmd.exe) blokkolása ASR (Attack Surface Reduction) szabályokkal.

4.    Kibővített EDR képességek a memória szkennelésére: A Process Hollowing, Process Doppelgänging és a "Threadless" injektálási technikák miatt a memóriába betöltött kódok folyamatos, dinamikus ellenőrzése kritikus. A védelemnek képesnek kell lennie a memóriában történő kampó-kikötések (unhooking) azonosítására is.

5.    Hardveres és fizikai réteg védelme: Az IP-KVM alapú, operációs rendszer alatt futó támadások ellen az USB és HDMI portokra csatlakoztatott ismeretlen hardverek (mint billentyűzet emulátorok) riasztását végpontmenedzsmenttel kell támogatni. A hálózati hozzáférés-szabályozás (802.1x NAC) bevezetése és a BIOS/UEFI jelszóval, valamint Secure Boot technológiával történő védelme elengedhetetlen.

6.    Adatszivárgás elleni védelem (Anti-Extortion): A titkosítás csökkenésével az adatok csendes kimentésének megakadályozása prioritást kap. A DLP (Data Loss Prevention) rendszereket fel kell készíteni az adatok titkosított protokollokon (SFTP, egyedi HTTPS csatornák) történő mozgatásának ("staging") detektálására, valamint javasolt a "Canary" (csapda) tokenek elhelyezése a szenzitív adatbázisokban, amelyek értesítést küldenek jogosulatlan elérés esetén.

A kiberbiztonság modern korszaka túllépett a tűzfalak és antivírusok statikus vonalain. A "Digitális Parazita" és a láthatatlan jelenlét leküzdése csak egy olyan proaktív, viselkedés-alapú és folyamatosan tesztelt biztonsági ökoszisztémával lehetséges, amely a megbízhatónak vélt eszközök minden egyes mozdulatát megkérdőjelezi.