Living-off-the-land (LotL): скрытые атаки, уничтожающие целые организации

В последнее время LotL-атаки становятся всё более популярными среди киберпреступников. Они предполагают использование законных и надёжных системных инструментов для запуска атак и уклонения от обнаружения.

В этой статье мы рассмотрим различные аспекты LotL-атак, а также способы подготовки и снижения риска этой сложной угрозы.

Определение LotL-атак

Living-off-the-land (LotL) — это тип кибератаки, при котором хакеры используют законные инструменты и функции, уже присутствующие в целевой системе, чтобы избежать обнаружения и провести максимально скрытую атаку.

При этом типе атаки злоумышленники не использует никакого стороннего вредоносного программного обеспечения или кода, которые могут быть легко обнаружены традиционными решениями безопасности.

Встроенные возможности операционной системы, включая инструменты администрирования и пакетные файлы для контроля над системой — лучшие друзья киберпреступников в подобных атаках.

LotL — популярный метод среди хакеров, так как он сильно затрудняет обнаружение атаки системами безопасности. Реальную атаку может быть трудно отличить атаку от обычной системной активности, поскольку используются законные системные инструменты.

Типы LotL-атак

LotL-атаки становятся все более популярными среди киберпреступников из-за их эффективности в обходе традиционных мер безопасности. Эти атаки включают использование законных инструментов и методов для выполнения вредоносных действий, что затрудняет их обнаружение.

Существует несколько типов LotL-атак, каждая из которых представляет значительную угрозу как для организаций, так и для отдельных лиц, требуя принятия упреждающих мер для своевременного обнаружения и предотвращения. Типы этих атак перечислены ниже:

1. Подмена библиотек

Подмена библиотек, также известная как DLL Hijacking или DLL Sideloading, представляет собой тип LotL-атаки, которая включает подмену законного DLL-файла вредоносным. Когда приложение пытается использовать законную DLL-библиотеку, оно автоматически загружает вместо неё вредоносную, позволяя злоумышленнику выполнять код в системе жертвы.

Эта атака может быть особенно опасной, поскольку часто эксплуатируется для использования приложений, работающих с повышенными привилегиями, таких как службы системного уровня и инструменты администрирования. Обнаружение этого типа атаки может быть затруднено, поскольку она часто выглядит как законный процесс.

2. Ключи запуска реестра

Ключи запуска реестра — это метод, используемый злоумышленниками для активации своего вредоносного кода в системе жертвы при её запуске. Злоумышленники внедряют своё вредоносное ПО в раздел реестра, который содержит инструкции по запуску определённой программы при старте системы. Этот код может быть добавлен в любой из разделов реестра, отвечающих за автозапуск, например:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Этот тип атаки особенно опасен, поскольку позволяет злоумышленнику сохранять постоянство в заражённой системе даже после её перезагрузки. Он также может позволить злоумышленнику повысить свои привилегии.

3. Вредоносное ПО без файлов

Бесфайловое вредоносное ПО — это продвинутый тип LotL-атак, который обходит традиционные антивирусные программы, оставаясь в памяти компьютера, а не в файловой системе.

Злоумышленники используют языки сценариев, такие как PowerShell или инструментарий управления Windows (WMI), для выполнения кода непосредственно в памяти. В результате, отсутствует файл для сканирования, что затрудняет его обнаружение.

Бесфайловое вредоносное ПО может использоваться для кражи конфиденциальных данных, установки бэкдоров или выполнения различных других вредоносных действий и, таким образом, представляет серьёзную угрозу для организаций, которые полагаются на традиционные антивирусные решения.

4. Атаки на основе PowerShell

Атаки на основе PowerShell используют Windows PowerShell, мощный скриптовый язык, встроенный в Windows, для выполнения вредоносного кода. Злоумышленники могут использовать PowerShell для обхода традиционных антивирусных и иных мер безопасности, используя сценарии PowerShell для выполнения команд и запуска вредоносного ПО.

Атаки на основе PowerShell могут использоваться для кражи учётных данных, загрузки дополнительных вредоносных программ и дальнейшего распространения по сети. Поскольку PowerShell является законным инструментом, используемым администраторами, обнаружение этой атаки может быть затруднено, особенно если злоумышленник получил доступ к учётной записи администратора.

Как работают LotL-атаки

LotL-атаки работают с использованием надёжных системных инструментов и приложений, чтобы избежать обнаружения. Как правило, злоумышленники используют уже существующие уязвимости и слабые места в этих инструментах для выполнения вредоносного кода и поддержания постоянства в системе.

Использование надёжных системных инструментов

LotL-атаки в значительной степени зависят от использования надёжных системных инструментов, таких как PowerShell, инструментарий управления Windows (WMI) и интерфейсы командной строки.

Злоумышленники используют эти инструменты для выполнения команд, изменения системных конфигураций и выполнения других задач без оповещения пользователей или систем безопасности.

Использование существующих уязвимостей

LotL-атаки также могут использовать существующие уязвимости в целевой системе. Злоумышленники часто эксплуатируют такие уязвимости для получения доступа к конфиденциальной информации или выполнения произвольных команд.

Поскольку эти уязвимости уже существуют в целевой системе, злоумышленникам не нужно использовать сложные методы взлома. Вместо этого они могут просто использовать известную уязвимость для получения доступа.

Сокрытие вредоносного кода в безопасных файлах

Наконец, LotL-атаки могут включать сокрытие вредоносного кода в безопасных файлах. Злоумышленники могут, например, внедрить вредоносный код в файлы надёжных типов, таких как PDF или документы Word, и обманом заставить пользователя открыть их.

Как только пользователь запустит такой файл, выполнится встроенный код и предоставит злоумышленнику доступ к системе. Этот тип атаки известен как бесфайловый, поскольку не требует от злоумышленника установки какого-либо программного обеспечения в целевой системе.

Инструменты, используемые киберпреступниками при LotL-атаках

Следующие инструменты обычно используются злоумышленниками во многих типах кибератак, включая LotL-атаки. Они предоставляют широкий спектр возможностей, включая сканирование сети, удалённое выполнение, взлом паролей и использование уязвимостей.

Эти инструменты часто сочетаются между собой для сбора информации, получения доступа к системам и поддержания постоянства в целевой сети. Их использование требует высокого уровня технических навыков и знаний, и они также популярны среди специалистов по безопасности для тестирования на проникновение и оценки уязвимостей.

Перечень этих инструментов предоставлен ниже:

• PowerShell — это скриптовый язык и одноимённая командная оболочка, которая используется в LotL-атаках для выполнения команд в целевой системе и автоматизации различных задач. Злоумышленники могут использовать PowerShell для загрузки и выполнения вредоносного кода, обхода средств контроля безопасности и уклонения от обнаружения.
• Metasploit Framework — популярный инструмент для пентеста и эксплуатации уязвимостей, широко используемый в LotL-атаках. Он предоставляет ряд модулей, которые можно использовать для выявления и использования слабых мест в системах, включая удалённое выполнение кода и повышение привилегий.
• Mimikatz — это мощный инструмент взлома, используемый в LotL-атаках для извлечения текстовых паролей, хэшей и другой конфиденциальной информации из операционной системы Windows. Злоумышленники могут использовать Mimikatz для получения учётных данных и доступа к другим системам в сети.
• Cobalt Strike — это инструмент тестирования на проникновение, предоставляющий ряд функций, включая командные серверы, генерацию полезной нагрузки и инструменты для постэксплуатации.
• Nmap — это инструмент сетевого маппинга и сканирования портов, используемый при LotL-атаках для выявления открытых портов, сервисов и уязвимостей в целевых системах. Злоумышленники используют его для сбора информации о топологии сети, данных об используемых операционных системах и приложениях, а также для определения потенциальных векторов атаки.
• Wireshark — это анализатор сетевых протоколов, используемый в LotL-атаках для сбора и анализа сетевого трафика. Его можно использовать для выявления шаблонов связи, выявления уязвимых сервисов и извлечения конфиденциальной информации из сетевых пакетов.
• Netcat — это универсальный сетевой инструмент, используемый в LotL-атаках для программирования сокетов TCP/IP. Его можно использовать для установления соединений, передачи файлов и выполнения удалённых команд в целевых системах.
• Aircrack-ng — это набор инструментов, используемых в LotL-атаках для тестирования и взлома безопасности беспроводной сети. Хакеры могут использовать его для перехвата пакетов, проведения атак методом перебора и взлома ключей шифрования для получения несанкционированного доступа к беспроводным сетям.
• John the Ripper — это инструмент для взлома паролей, используемый в LotL-атаках для проверки надёжности пароля и взлома хэшей паролей. Он поддерживает ряд типов хэшей и может использоваться для выявления слабых или уязвимых паролей.
• Hashcat — это инструмент для взлома паролей, используемый в LotL-атаках для тестирования и взлома хэшей паролей. Он поддерживает широкий спектр алгоритмов хеширования и может использоваться для атак методом перебора, атак по словарю и атак на основе правил для взлома паролей и получения несанкционированного доступа к системам и учётным записям.

Как обнаруживать LotL-атаки

Обнаружение LotL-атак может быть сложной задачей, поскольку злоумышленники используют надёжные системные инструменты и существующие уязвимости, чтобы избежать обнаружения. Однако существуют некоторые стратегии, которые организации могут использовать для обнаружения и предотвращения этих атак.

Например, мониторинг системных журналов и сетевого трафика может помочь обнаружить необычную или подозрительную активность. Кроме того, использование продвинутых EDR-решений может помочь обнаруживать LotL-атаки и реагировать на них в режиме реального времени. Регулярное сканирование уязвимостей и исправление ошибок также может помочь предотвратить использование злоумышленниками известных уязвимостей в системе.

Влияние LotL-атак

Последствия LotL-атак могут быть значительными, начиная от кражи данных и заканчивая полной компрометацией системы. Эти атаки могут привести к потере конфиденциальной информации, сбоям в работе, финансовым потерям и ущербу репутации организации.

Реальные примеры LotL-атак включают атаки Petya и NotPetya в 2017 году. Эти атаки нанесли значительный ущерб предприятиям и организациям по всему миру путём тайного проникновения в сети компаний и шифрования файлов с требованием выкупа.

Вредонос NotPetya нанёс особый ущерб, поскольку был замаскирован под программу-вымогатель, но на самом являлся вайпером, безвозвратно уничтожающим все данные на заражённых компьютерах.

По примерным оценкам, эти атаки привели к потерям на миллиарды долларов по всему миру и послужили напоминанием о важности надёжных методов обеспечения кибербезопасности.

Экономические последствия LotL-атак могут быть крайне серьёзными, особенно для малого и среднего бизнеса, у которых может банально не хватить ресурсов для восстановления и возмещения сопутствующих расходов.

Как предотвратить LotL-атаки

LotL-атаки бывает крайне трудно обнаружить, и они могут нанести значительный ущерб бизнесу. Однако реализация определённых мер может помочь снизить риск их успешного проведения. Эти меры включают:

• Ограничение использования языков сценариев. LotL-атаки основаны на использовании скриптовых языков для выполнения вредоносных сценариев. Ограничение их использования или внедрение строгого контроля может снизить риск таких атак.
• Мониторинг активности системы. Внедрение надёжной системы мониторинга активности системы и доступа к файлам может помочь обнаружить необычные паттерны доступа, которые могут указывать на LotL-атаку.
• Регулярное обновление программного обеспечения. Регулярные обновления ПО зачастую исправляют уязвимости, которые могут быть использованы в LotL-атаках. Обновлённое до последних версий программное обеспечение — один из важнейших элементов защиты любой организации.
• Внедрение контроля доступа с наименьшими привилегиями. Ограничение доступа к конфиденциальным данным и ресурсам может помочь снизить риск LotL-атак и гарантировать, что пользователи будут иметь доступ только к тем данным и ресурсам, которые необходимым им для выполнения своих рабочих задач.
• Внедрение надёжной аутентификации пользователей. Меры строгой аутентификации пользователей, такие как многофакторная аутентификация, могут помочь предотвратить несанкционированный доступ к конфиденциальным данным и ресурсам.
• Обучение пользователей. Пользователи могут невольно внедрять уязвимости в систему организации, загружая вредоносное ПО или переходя по фишинговым ссылкам. Регулярное обучение сотрудников поможет подготовить их к возможным мошенническим стратегиям и обезопасить компанию от LotL-атак.

Подозрения в компрометации

Организациям, подозревающим, что они могли стать жертвой такой атаки, следует привлечь авторитетного партнёра по кибербезопасности, который поможет им провести оценку компрометации, чтобы определить, была ли взломана организация, и, если да, то на каком этапе сейчас находятся злоумышленники.

Во время оценки компрометации команда безопасности проанализирует текущие и архивные события, чтобы выявить признаки атак, таких как подозрительные разделы реестра и подозрительные выходные файлы, а также идентифицировать активные угрозы. Многие опытные злоумышленники проводят месяцы и годы в сетях своих жертв, оставаясь незамеченными, поэтому подобный анализ имеет решающее значение для определения вредоносной активности.

Если оценка компрометации покажет, что атака произошла или всё ещё продолжается, команда безопасности будет работать с компанией-клиентом над локализацией ущерба, восстановлением и ремонтом затронутых систем, а также укреплением сети на будущее.

Для предотвращения будущих атак партнёру по безопасности необходимо будет провести тщательный анализ среды клиента, чтобы убедиться, что злоумышленники не создали никаких запасных точек входа, которые могли бы быть использованы позже. Специалисты, вероятно, также порекомендует надёжные инструменты и сервисы, которые могли бы помочь предотвратить вероятность атак без файлов в будущем.

Заключение

LotL-атаки представляют собой растущую угрозу для безопасности организаций. Злоумышленники адаптируют свои методы, используя интегрированные системные инструменты для нанесения вреда. Ни одно предприятие не может чувствовать себя защищённым от этого типа атак.

Масштаб воздействия таких атак обширен — от краж персональных данных до полной потери работоспособности компаний. Примеры Petya и NotPetya показывают, что ущерб может оцениваться миллиардами долларов. А для малого бизнеса последствия могут и вовсе оказаться фатальными.

Несмотря на все трудности в выявлении и предотвращении, комплексный подход к кибербезопасности способен снизить риски. Он включает мониторинг подозрительной активности, регулярные обновления ПО, ограничение доступа и повышение осведомлённости пользователей. Необходима особая бдительность для распознавания новых уловок хакеров и оперативного реагирования на них.