Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
18.10.2023

LOtL-атаки и как им противостоять: эффективная интеграция для максимальной защиты

Атаки типа «Living Off the Land» или LOtL-атаки подразумевают использование злоумышленниками встроенных системных утилит, скриптовых языков или доверенных приложений вместо того, чтобы прибегать к стороннему вредоносному коду.

Целью таких атак является значительное затруднение их обнаружения с помощью традиционных методов обнаружения.

Важность раннего обнаружения: предотвращение ущерба от LOtL-атак

Поскольку выявление LOtL-атак может быть очень сложной задачей, злоумышленники могут долгое время скрытно находиться в чужих системах, перекачивать конфиденциальные данные или перемещаться по сети. А когда компрометация обнаружится, будет уже слишком поздно.

Именно поэтому, чтобы предотвратить потенциальную утечку данных и защитить важные активы, включая интеллектуальную собственность, личную информацию и другие конфиденциальные данные от несанкционированного доступа или воздействия, крайне важно иметь эффективные методы своевременного обнаружения LOTL-атак, в том числе способы автоматизированного противодействия им.

Что такое LOLBaS Project и как он может помочь в обеспечении эффективной защиты?

Нашим постоянным читателям, вполне возможно, уже известна аббревиатура LOLBaS. Обычно под ней подразумевается более конкретное подмножество LoTL-атак, также эксплуатирующих уже имеющиеся в целевой системе инструменты.

Основное отличие от простых LOtL-атак состоит в том, что LOLBaS-атаки фокусируются на использовании бинарных файлов (исполняемых файлов, LOLBins) и скриптов (сценариев) для осуществления атак.

LOLBaS Project является одноимённым каталогом, разработанным независимыми исследователями, в котором задокументированы все известные двоичные файлы, сценарии и библиотеки Windows, которые можно использовать для выполнения LOtL-атак.

В репозитории LOLBaS Project все доступные инструменты LOLBins можно импортировать в качестве индикаторов в специализированное ПО для автообнаружения угроз. Каждый LOLBin-инструмент на сайте содержит следующую информацию:

  • Название файла;
  • Путь расположения;
  • Тип, функционал, поведение, индикаторы обнаружения;
  • Ссылка MITRE ATT&CK на соответствующие шаблоны атак.

Использование LOLBaS Project для автоматического анализа

Идея оперативного противодействия LOtL- и LOLBaS-атакам состоит в том, чтобы в автоматическом режиме проверять, имеет ли предоставленный аргумент командной строки LOLBin сходство с известными вредоносными шаблонами, описанными в репозитории LOLBaS Project.

Сравнивая данный аргумент с задокументированными шаблонами потенциально вредоносных действий, возможно выявить любое потенциально зловредное поведение, связанное с LOLBin-инструментами.

Такой анализ помогает обеспечить безопасность и целостность системных операций за счёт упреждающего обнаружения потенциальных угроз.

Конкретные действия и рекомендации для противодействия LOLBaS-атакам при помощи LOLBaS Project

1. Интеграция с IDS/IPS

Для эффективной защиты от LOLBaS необходимо интегрировать данные из LOLBaS Project в уже используемые системы обнаружения и предотвращения вторжений (IDS/IPS).

Для этого можно использовать готовые правила сигнатурного обнаружения, которые доступны на сайте репозитория, или создать свои собственные правила на основе информации о различных бинарных файлах, скриптах и библиотеках, которые могут быть использованы во вред в конкретной системе.

2. Автообновление данных

Если всё же было решено использовать готовые сигнатурные правила, рекомендуется настроить их автоматическое обновление из LOLBaS Project с помощью специальных скриптов или инструментов.

Это позволит оперативно получать информацию о новых или изменённых индикаторах компрометации, связанных с LOLBaS-атаками, и применять соответствующие защитные меры.

3. Мониторинг подозрительных LOLBins

Также важно регулярно мониторить активность подозрительных бинарных файлов, скриптов и библиотек на своих системах с помощью инструментов аудита и логирования.

Это позволит обнаруживать необычное поведение или аномалии, свидетельствующие о возможной компрометации системы через LOLBaS-атаку.

4. Ограничение доступа

С помощью инструментов контроля приложений или списков разрешений/запретов (whitelisting/blacklisting) стоит заранее ограничить доступ к определённым бинарным файлам, скриптам и библиотекам в своих системах. Возможно, это будет не лишним сделать для потенциально опасных файлов, которые не нужны для корректной работы системы.

Такой ход позволит предотвратить запуск или выполнение нежелательных или вредоносных программ и скриптов, которые могут быть использованы для LOLBaS-атак.

5. Прокачка кибергигиены персонала

Крайне важно обучать сотрудников организации основам информационной безопасности и правилам безопасного поведения в сети, а также регулярно проверять их знания с помощью тестирования или симуляции атак.

Это позволит снизить риск компрометации системы через фишинг или социальную инженерию, которые могут быть использованы для распространения вредоносных скриптов, связанных с LOLBaS.

Заключение

Использование возможностей LOLBaS Project для анализа командной строки в сочетании с продвинутыми IDS/IPS-решениями обеспечивает надёжный подход к повышению безопасности и обнаружению потенциальных угроз.

LOLBaS Project служит ценным ресурсом для документирования законных двоичных файлов и скриптов, которые потенциальные злоумышленники могут использовать для методов Living Off The Land.

Интеграция данных из LOLBaS Project в решения по кибербезопасности позволяет беспрепятственно использовать репозиторий в качестве надёжного сборника правил, обеспечивая эффективный анализ и выявление большинства подозрительных действий.

Используя подобную комбинацию, любые организации могут ещё больше укрепить свою безопасность и оставаться на шаг впереди потенциальных злоумышленников в постоянно меняющейся сфере кибербезопасности.