Techniki hakerskie, które powstały wiele lat temu, choć w nieco zmodyfikowanych formach, wciąż znajdują zastosowanie. Dzieje się tak dlatego, że dawne metody są stale dostosowywane do rozwijanych technologii i środowisk. Cyberprzestępcy wiedzą, że jeśli coś działa, warto to udoskonalić, a nie porzucać. Takie podejście obserwujemy również w przypadku ataku typu Living off the Land.
Living off the Land w cyberbezpieczeństwie
Czym jest LotL? To metoda wykorzystywana przez cyberprzestępców od wielu lat, a pierwsze wzmianki o jej zastosowaniu sięgają ponad dwóch dekad wstecz. Jej rozwój jest ściśle związany z postępem technologii oraz rosnącą skutecznością mechanizmów wykrywania złośliwego oprogramowania. LotL zyskało na popularności w erze coraz bardziej zaawansowanych systemów antywirusowych. Ze względu na ciągłe skany urządzeń i procesów w czasie rzeczywistym cyber-napastnicy zaczęli unikać tradycyjnych metod infekcji, zastępując je wykorzystaniem zaufanych narzędzi i procesów systemowych. Innymi słowy, zamiast wprowadzać zewnętrzne, łatwe do wykrycia oprogramowanie, zaczęli wykorzystywać wbudowane funkcje i aplikacje systemowe, takie jak PowerShell, WMI czy PsExec.
Ataki Lotl są skuteczne, dzięki swojej subtelności – wykorzystują one narzędzia integralne dla działania standardowej infrastruktury IT. Dzięki temu ich aktywność wygląda jak zwykłe działania administracyjne lub systemowe, co znacząco komplikuje ich identyfikację. Cyberprzestępcy coraz chętniej wybierają tę metodę, uznając ją za efektywny sposób na przełamywanie zabezpieczeń i realizowanie swoich celów, takich jak eskalacja uprawnień i idące za tym kradzieże danych oraz szpiegostwo.
Na czym polega atak LotL
Ataki typu Living off the Land w cybersecurity polegają na „maskowaniu się” w normalnej aktywności systemowej, co sprawia, że są trudne do wykrycia przez tradycyjne systemy zabezpieczeń. Standardowe oprogramowanie antywirusowe koncentruje się na wykrywaniu złośliwych plików czy podejrzanych procesów zdefiniowanych w najnowszych sygnaturach wirusów, podczas gdy atak LotL omija ten poziom kontroli, bazując na procesach, które na pierwszy rzut oka mogą wydawać się całkowicie nieszkodliwe. Cyberprzestępcy posługują się legalnymi, wbudowanymi narzędziami systemowymi i funkcjami dostępnymi w środowisku ofiary, aby osiągnąć swoje cele, bez potrzeby wprowadzania zewnętrznego, łatwego do wykrycia złośliwego oprogramowania.
Wiele ataków LotL odbywa się bez zapisywania szkodliwych plików na dysku twardym, co utrudnia ich wykrycie. Zamiast tego, kod jest wykonywany bezpośrednio w pamięci RAM, co eliminuje ślady, które mogłyby zostać uchwycone przez tradycyjne systemy zabezpieczeń. Główne cele ataków LotL to kradzież danych, szpiegostwo, przemieszczanie się w sieci i instalacja dodatkowego złośliwego oprogramowania, które pozwala na dalszą eksfiltrację informacji i kontrolę nad systemem.
Przykłady ataków LotL
Atak Living off the Land oferuje cyberprzestępcom szeroką gamę technik, które mogą być dostosowane do specyfiki i struktury atakowanej infrastruktury. Dzięki różnorodności metod stanowi on skuteczny sposób na przełamywanie zabezpieczeń i unikanie wykrycia.
Użycie PowerShell
PowerShell to zaawansowane narzędzie administracyjne, powszechnie wykorzystywane przez administratorów systemów do automatyzacji zadań i zarządzania komputerami. Dla cyberprzestępców jest to cenne narzędzie do uruchamiania skryptów, pobierania złośliwego oprogramowania oraz kradzieży danych. Ponieważ PowerShell jest integralną częścią systemu operacyjnego spod szyldu Microsoft, jego użycie nie wzbudza podejrzeń i nie jest blokowane przez tradycyjne mechanizmy ochrony. Atakujący mogą za jego pomocą pobrać złośliwy kod z internetu i uruchomić go bezpośrednio w pamięci RAM (tzw. fileless malware), co pozwala ominąć skanowanie plików na dysku i unikać wykrycia.
Wykorzystanie Windows Management Instrumentation
WMI to narzędzie do zarządzania i monitorowania komputerów w sieci, które pozwala na zdalne wykonywanie poleceń i uruchamianie aplikacji. Atakujący mogą wykorzystać WMI do lateral movement, czyli przemieszczania się po sieci, zdobywając dostęp do kolejnych komputerów w organizacji. Dzięki WMI cyberprzestępcy mogą zdalnie uruchomić złośliwy kod na innych maszynach, co pozwala na rozprzestrzenianie się ataku bez potrzeby instalowania dodatkowych plików. To narzędzie umożliwia cichą i skuteczną infiltrację całej infrastruktury podłączonej do sieci firmowej.
Task Scheduler
Task Scheduler w systemach Windows pozwala na automatyczne uruchamianie zaplanowanych zadań w określonych odstępach czasu. Cyberprzestępcy mogą wykorzystać tę funkcję do uruchamiania złośliwych skryptów lub programów w tle, bez wiedzy użytkownika. Na przykład, mogą skonfigurować zadanie, które regularnie uruchamia złośliwe oprogramowanie lub pobiera malware z internetu. Dzięki temu, cyberprzestępcy uzyskują stały dostęp do systemu i mogą ukrywać swoją aktywność, nieustannie utrzymując kontrolę nad systemem.
Użycie PsExec (Sysinternals)
PsExec, narzędzie z pakietu Sysinternals, umożliwia zdalne uruchamianie aplikacji na innych komputerach w sieci. Jest to narzędzie szerokich możliwościach, które atakujący mogą wykorzystać do przeprowadzania ataków typu lateral movement. Dzięki PsExec, cyberprzestępcy mogą zdalnie uruchomić złośliwe oprogramowanie na innych maszynach w sieci, co pozwala na przejmowanie kontroli nad kolejnymi komputerami i rozprzestrzenianie ataku na cały system. Wykorzystanie PsExec do infekowania wielu urządzeń w organizacji umożliwia rozległą kampanię ataków, której skutki dla organizacji mogą być katastrofalne.
Jak zabezpieczyć się przed atakami Living off the Land
Aby skutecznie zabezpieczyć się przed atakami typu Living off the Land, kluczowe jest wprowadzenie odpowiednich środków ochrony, które pozwolą na wczesne wykrycie i ograniczenie potencjalnych zagrożeń. Regularne monitorowanie aktywności w systemie jest niezbędne do wykrywania podejrzanych działań.
Narzędzia EDR (Endpoint Detection and Response) pozwalają na znacznie bardziej zaawansowane, niż ma to miejsce w przypadku standardowych antywirusów, analizowanie aktywności na urządzeniach końcowych w czasie rzeczywistym. Każda podejrzana aktywność jest zgłaszana, dając pełen obraz tego co się dzieje osobom odpowiedzialnym za zarządzanie/ monitoring i możliwość podjęcia odpowiednich działań. Dlatego EDR w połączeniu ze stałym monitoringiem operatorów (MDR) daje bardzo skuteczną ochronę, w tym szybkie wychwycenie i odpowiednie zareagowanie na ewentualne zdarzenia związane z technikami LotL.
Wdrożenie segmentacji sieci to równie istotny krok w zapobieganiu rozprzestrzenianiu się ataków w obrębie organizacji. Dzięki segmentacji atakujący nie będzie mógł swobodnie przemieszczać się pomiędzy wszystkimi urządzeniami, co utrudni eskalację uprawnień i rozprzestrzenianie złośliwego kodu. Podzielona sieć pozwala również na izolowanie krytycznych zasobów, co ogranicza ryzyko utraty danych. Pomocne może być też wprowadzenie strategii whitelisting. Oznacza to zezwalanie na ruch sieciowy tylko do zaufanych adresów IP i domen, jest skuteczną metodą ochrony przed nieautoryzowanym dostępem. Pozwala to na ograniczenie potencjalnych punktów wejścia dla atakujących, eliminując możliwość wykorzystania narzędzi systemowych w nieporządany sposób.
Ważne jest również Regularne aktualizowanie oprogramowania – utrzymanie wszystkich systemów i aplikacji w najnowszych wersjach jest podstawowym krokiem w zapewnieniu bezpieczeństwa. Wiele ataków LotL wykorzystuje znane luki w oprogramowaniu, dlatego regularne stosowanie łatek i aktualizacji zabezpieczeń zmniejsza ryzyko infekcji.
Ochrona przed atakami Living off the Land od ASCO Cyber Security
Aby skutecznie przeciwdziałać atakom typu LotL i innym zagrożeniom, skontaktuj się z ekspertami z ASCO Cyber Security. Oferujemy kompleksową pomoc w zakresie zabezpieczania infrastruktury IT, w tym monitorowanie urządzeń i sieci, identyfikację anomalii procesów systemowych, wykrywanie zaawansowanych zagrożeń oraz reagowanie na nie. Dzięki usługom takim jak audyty bezpieczeństwa IT, analiza zagrożeń oraz wdrożenie odpowiednich systemów ochrony.
