Как всего один ресурс может качественно улучшить безопасность вашей сети.
Атаки типа «Living Off the Land» или LOtL-атаки подразумевают использование злоумышленниками встроенных системных утилит, скриптовых языков или доверенных приложений вместо того, чтобы прибегать к стороннему вредоносному коду.
Целью таких атак является значительное затруднение их обнаружения с помощью традиционных методов обнаружения.
Поскольку выявление LOtL-атак может быть очень сложной задачей, злоумышленники могут долгое время скрытно находиться в чужих системах, перекачивать конфиденциальные данные или перемещаться по сети. А когда компрометация обнаружится, будет уже слишком поздно.
Именно поэтому, чтобы предотвратить потенциальную утечку данных и защитить важные активы, включая интеллектуальную собственность, личную информацию и другие конфиденциальные данные от несанкционированного доступа или воздействия, крайне важно иметь эффективные методы своевременного обнаружения LOTL-атак, в том числе способы автоматизированного противодействия им.
Нашим постоянным читателям, вполне возможно, уже известна аббревиатура LOLBaS. Обычно под ней подразумевается более конкретное подмножество LoTL-атак, также эксплуатирующих уже имеющиеся в целевой системе инструменты.
Основное отличие от простых LOtL-атак состоит в том, что LOLBaS-атаки фокусируются на использовании бинарных файлов (исполняемых файлов, LOLBins) и скриптов (сценариев) для осуществления атак.
LOLBaS Project является одноимённым каталогом, разработанным независимыми исследователями, в котором задокументированы все известные двоичные файлы, сценарии и библиотеки Windows, которые можно использовать для выполнения LOtL-атак.
В репозитории LOLBaS Project все доступные инструменты LOLBins можно импортировать в качестве индикаторов в специализированное ПО для автообнаружения угроз. Каждый LOLBin-инструмент на сайте содержит следующую информацию:
Идея оперативного противодействия LOtL- и LOLBaS-атакам состоит в том, чтобы в автоматическом режиме проверять, имеет ли предоставленный аргумент командной строки LOLBin сходство с известными вредоносными шаблонами, описанными в репозитории LOLBaS Project.
Сравнивая данный аргумент с задокументированными шаблонами потенциально вредоносных действий, возможно выявить любое потенциально зловредное поведение, связанное с LOLBin-инструментами.
Такой анализ помогает обеспечить безопасность и целостность системных операций за счёт упреждающего обнаружения потенциальных угроз.
1. Интеграция с IDS/IPS
Для эффективной защиты от LOLBaS необходимо интегрировать данные из LOLBaS Project в уже используемые системы обнаружения и предотвращения вторжений (IDS/IPS).
Для этого можно использовать готовые правила сигнатурного обнаружения, которые доступны на сайте репозитория, или создать свои собственные правила на основе информации о различных бинарных файлах, скриптах и библиотеках, которые могут быть использованы во вред в конкретной системе.
2. Автообновление данных
Если всё же было решено использовать готовые сигнатурные правила, рекомендуется настроить их автоматическое обновление из LOLBaS Project с помощью специальных скриптов или инструментов.
Это позволит оперативно получать информацию о новых или изменённых индикаторах компрометации, связанных с LOLBaS-атаками, и применять соответствующие защитные меры.
3. Мониторинг подозрительных LOLBins
Также важно регулярно мониторить активность подозрительных бинарных файлов, скриптов и библиотек на своих системах с помощью инструментов аудита и логирования.
Это позволит обнаруживать необычное поведение или аномалии, свидетельствующие о возможной компрометации системы через LOLBaS-атаку.
4. Ограничение доступа
С помощью инструментов контроля приложений или списков разрешений/запретов (whitelisting/blacklisting) стоит заранее ограничить доступ к определённым бинарным файлам, скриптам и библиотекам в своих системах. Возможно, это будет не лишним сделать для потенциально опасных файлов, которые не нужны для корректной работы системы.
Такой ход позволит предотвратить запуск или выполнение нежелательных или вредоносных программ и скриптов, которые могут быть использованы для LOLBaS-атак.
5. Прокачка кибергигиены персонала
Крайне важно обучать сотрудников организации основам информационной безопасности и правилам безопасного поведения в сети, а также регулярно проверять их знания с помощью тестирования или симуляции атак.
Это позволит снизить риск компрометации системы через фишинг или социальную инженерию, которые могут быть использованы для распространения вредоносных скриптов, связанных с LOLBaS.
Использование возможностей LOLBaS Project для анализа командной строки в сочетании с продвинутыми IDS/IPS-решениями обеспечивает надёжный подход к повышению безопасности и обнаружению потенциальных угроз.
LOLBaS Project служит ценным ресурсом для документирования законных двоичных файлов и скриптов, которые потенциальные злоумышленники могут использовать для методов Living Off The Land.
Интеграция данных из LOLBaS Project в решения по кибербезопасности позволяет беспрепятственно использовать репозиторий в качестве надёжного сборника правил, обеспечивая эффективный анализ и выявление большинства подозрительных действий.
Используя подобную комбинацию, любые организации могут ещё больше укрепить свою безопасность и оставаться на шаг впереди потенциальных злоумышленников в постоянно меняющейся сфере кибербезопасности.
Большой взрыв знаний каждый день в вашем телефоне