20.02.2024 | Living-off-the-land (LotL): скрытые атаки, уничтожающие целые организации |
В последнее время LotL-атаки становятся всё более популярными среди киберпреступников. Они предполагают использование законных и надёжных системных инструментов для запуска атак и уклонения от обнаружения. В этой статье мы рассмотрим различные аспекты LotL-атак, а также способы подготовки и снижения риска этой сложной угрозы. Определение LotL-атакLiving-off-the-land (LotL) — это тип кибератаки, при котором хакеры используют законные инструменты и функции, уже присутствующие в целевой системе, чтобы избежать обнаружения и провести максимально скрытую атаку. При этом типе атаки злоумышленники не использует никакого стороннего вредоносного программного обеспечения или кода, которые могут быть легко обнаружены традиционными решениями безопасности. Встроенные возможности операционной системы, включая инструменты администрирования и пакетные файлы для контроля над системой — лучшие друзья киберпреступников в подобных атаках. LotL — популярный метод среди хакеров, так как он сильно затрудняет обнаружение атаки системами безопасности. Реальную атаку может быть трудно отличить атаку от обычной системной активности, поскольку используются законные системные инструменты. Типы LotL-атакLotL-атаки становятся все более популярными среди киберпреступников из-за их эффективности в обходе традиционных мер безопасности. Эти атаки включают использование законных инструментов и методов для выполнения вредоносных действий, что затрудняет их обнаружение. Существует несколько типов LotL-атак, каждая из которых представляет значительную угрозу как для организаций, так и для отдельных лиц, требуя принятия упреждающих мер для своевременного обнаружения и предотвращения. Типы этих атак перечислены ниже: 1. Подмена библиотек Подмена библиотек, также известная как DLL Hijacking или DLL Sideloading, представляет собой тип LotL-атаки, которая включает подмену законного DLL-файла вредоносным. Когда приложение пытается использовать законную DLL-библиотеку, оно автоматически загружает вместо неё вредоносную, позволяя злоумышленнику выполнять код в системе жертвы. Эта атака может быть особенно опасной, поскольку часто эксплуатируется для использования приложений, работающих с повышенными привилегиями, таких как службы системного уровня и инструменты администрирования. Обнаружение этого типа атаки может быть затруднено, поскольку она часто выглядит как законный процесс. 2. Ключи запуска реестра Ключи запуска реестра — это метод, используемый злоумышленниками для активации своего вредоносного кода в системе жертвы при её запуске. Злоумышленники внедряют своё вредоносное ПО в раздел реестра, который содержит инструкции по запуску определённой программы при старте системы. Этот код может быть добавлен в любой из разделов реестра, отвечающих за автозапуск, например:
Этот тип атаки особенно опасен, поскольку позволяет злоумышленнику сохранять постоянство в заражённой системе даже после её перезагрузки. Он также может позволить злоумышленнику повысить свои привилегии. 3. Вредоносное ПО без файлов Бесфайловое вредоносное ПО — это продвинутый тип LotL-атак, который обходит традиционные антивирусные программы, оставаясь в памяти компьютера, а не в файловой системе. Злоумышленники используют языки сценариев, такие как PowerShell или инструментарий управления Windows (WMI), для выполнения кода непосредственно в памяти. В результате, отсутствует файл для сканирования, что затрудняет его обнаружение. Бесфайловое вредоносное ПО может использоваться для кражи конфиденциальных данных, установки бэкдоров или выполнения различных других вредоносных действий и, таким образом, представляет серьёзную угрозу для организаций, которые полагаются на традиционные антивирусные решения. 4. Атаки на основе PowerShell Атаки на основе PowerShell используют Windows PowerShell, мощный скриптовый язык, встроенный в Windows, для выполнения вредоносного кода. Злоумышленники могут использовать PowerShell для обхода традиционных антивирусных и иных мер безопасности, используя сценарии PowerShell для выполнения команд и запуска вредоносного ПО. Атаки на основе PowerShell могут использоваться для кражи учётных данных, загрузки дополнительных вредоносных программ и дальнейшего распространения по сети. Поскольку PowerShell является законным инструментом, используемым администраторами, обнаружение этой атаки может быть затруднено, особенно если злоумышленник получил доступ к учётной записи администратора. Как работают LotL-атакиLotL-атаки работают с использованием надёжных системных инструментов и приложений, чтобы избежать обнаружения. Как правило, злоумышленники используют уже существующие уязвимости и слабые места в этих инструментах для выполнения вредоносного кода и поддержания постоянства в системе. Использование надёжных системных инструментов LotL-атаки в значительной степени зависят от использования надёжных системных инструментов, таких как PowerShell, инструментарий управления Windows (WMI) и интерфейсы командной строки. Злоумышленники используют эти инструменты для выполнения команд, изменения системных конфигураций и выполнения других задач без оповещения пользователей или систем безопасности. Использование существующих уязвимостей LotL-атаки также могут использовать существующие уязвимости в целевой системе. Злоумышленники часто эксплуатируют такие уязвимости для получения доступа к конфиденциальной информации или выполнения произвольных команд. Поскольку эти уязвимости уже существуют в целевой системе, злоумышленникам не нужно использовать сложные методы взлома. Вместо этого они могут просто использовать известную уязвимость для получения доступа. Сокрытие вредоносного кода в безопасных файлах Наконец, LotL-атаки могут включать сокрытие вредоносного кода в безопасных файлах. Злоумышленники могут, например, внедрить вредоносный код в файлы надёжных типов, таких как PDF или документы Word, и обманом заставить пользователя открыть их. Как только пользователь запустит такой файл, выполнится встроенный код и предоставит злоумышленнику доступ к системе. Этот тип атаки известен как бесфайловый, поскольку не требует от злоумышленника установки какого-либо программного обеспечения в целевой системе. Инструменты, используемые киберпреступниками при LotL-атаках Следующие инструменты обычно используются злоумышленниками во многих типах кибератак, включая LotL-атаки. Они предоставляют широкий спектр возможностей, включая сканирование сети, удалённое выполнение, взлом паролей и использование уязвимостей. Эти инструменты часто сочетаются между собой для сбора информации, получения доступа к системам и поддержания постоянства в целевой сети. Их использование требует высокого уровня технических навыков и знаний, и они также популярны среди специалистов по безопасности для тестирования на проникновение и оценки уязвимостей. Перечень этих инструментов предоставлен ниже:
Как обнаруживать LotL-атакиОбнаружение LotL-атак может быть сложной задачей, поскольку злоумышленники используют надёжные системные инструменты и существующие уязвимости, чтобы избежать обнаружения. Однако существуют некоторые стратегии, которые организации могут использовать для обнаружения и предотвращения этих атак. Например, мониторинг системных журналов и сетевого трафика может помочь обнаружить необычную или подозрительную активность. Кроме того, использование продвинутых EDR-решений может помочь обнаруживать LotL-атаки и реагировать на них в режиме реального времени. Регулярное сканирование уязвимостей и исправление ошибок также может помочь предотвратить использование злоумышленниками известных уязвимостей в системе. Влияние LotL-атакПоследствия LotL-атак могут быть значительными, начиная от кражи данных и заканчивая полной компрометацией системы. Эти атаки могут привести к потере конфиденциальной информации, сбоям в работе, финансовым потерям и ущербу репутации организации. Реальные примеры LotL-атак включают атаки Petya и NotPetya в 2017 году. Эти атаки нанесли значительный ущерб предприятиям и организациям по всему миру путём тайного проникновения в сети компаний и шифрования файлов с требованием выкупа. Вредонос NotPetya нанёс особый ущерб, поскольку был замаскирован под программу-вымогатель, но на самом являлся вайпером, безвозвратно уничтожающим все данные на заражённых компьютерах. По примерным оценкам, эти атаки привели к потерям на миллиарды долларов по всему миру и послужили напоминанием о важности надёжных методов обеспечения кибербезопасности. Экономические последствия LotL-атак могут быть крайне серьёзными, особенно для малого и среднего бизнеса, у которых может банально не хватить ресурсов для восстановления и возмещения сопутствующих расходов. Как предотвратить LotL-атакиLotL-атаки бывает крайне трудно обнаружить, и они могут нанести значительный ущерб бизнесу. Однако реализация определённых мер может помочь снизить риск их успешного проведения. Эти меры включают:
Подозрения в компрометацииОрганизациям, подозревающим, что они могли стать жертвой такой атаки, следует привлечь авторитетного партнёра по кибербезопасности, который поможет им провести оценку компрометации, чтобы определить, была ли взломана организация, и, если да, то на каком этапе сейчас находятся злоумышленники. Во время оценки компрометации команда безопасности проанализирует текущие и архивные события, чтобы выявить признаки атак, таких как подозрительные разделы реестра и подозрительные выходные файлы, а также идентифицировать активные угрозы. Многие опытные злоумышленники проводят месяцы и годы в сетях своих жертв, оставаясь незамеченными, поэтому подобный анализ имеет решающее значение для определения вредоносной активности. Если оценка компрометации покажет, что атака произошла или всё ещё продолжается, команда безопасности будет работать с компанией-клиентом над локализацией ущерба, восстановлением и ремонтом затронутых систем, а также укреплением сети на будущее. Для предотвращения будущих атак партнёру по безопасности необходимо будет провести тщательный анализ среды клиента, чтобы убедиться, что злоумышленники не создали никаких запасных точек входа, которые могли бы быть использованы позже. Специалисты, вероятно, также порекомендует надёжные инструменты и сервисы, которые могли бы помочь предотвратить вероятность атак без файлов в будущем. ЗаключениеLotL-атаки представляют собой растущую угрозу для безопасности организаций. Злоумышленники адаптируют свои методы, используя интегрированные системные инструменты для нанесения вреда. Ни одно предприятие не может чувствовать себя защищённым от этого типа атак. Масштаб воздействия таких атак обширен — от краж персональных данных до полной потери работоспособности компаний. Примеры Petya и NotPetya показывают, что ущерб может оцениваться миллиардами долларов. А для малого бизнеса последствия могут и вовсе оказаться фатальными. Несмотря на все трудности в выявлении и предотвращении, комплексный подход к кибербезопасности способен снизить риски. Он включает мониторинг подозрительной активности, регулярные обновления ПО, ограничение доступа и повышение осведомлённости пользователей. Необходима особая бдительность для распознавания новых уловок хакеров и оперативного реагирования на них. |
Проверить безопасность сайта