У цій статті ви знайдете докладну інформацію про природу атаки на "водойму", методи її виконання та практичні поради з безпеки, які допоможуть вам убезпечити свій комп'ютер та дані від потенційних загроз.
1173 
У статті розглядається метод кібератак під назвою “Living off the Land” (LOTL), який полягає у використанні зловмисниками легітимних інструментів та функцій, вже наявних у системі жертви, для виконання шкідливих дій без необхідності встановлення додаткового шкідливого програмного забезпечення. Цей підхід ускладнює виявлення атак, оскільки зловмисники використовують стандартні системні утиліти, такі як PowerShell або Windows Management Instrumentation (WMI), що дозволяє їм залишатися непоміченими традиційними засобами захисту.
Living off the land (LOTL) — це безфайлове зловмисне програмне забезпечення або метод кібератак LOLbins, коли кіберзлочинець використовує рідні законні інструменти в системі жертви для підтримки та просування атаки.
На відміну від класичних атак із застосуванням зловмисного програмного забезпечення, які покладаються на файли сигнатур для реалізації своїх цілей, атаки LOTL не потребують завантаження чи розміщення стороннього коду в системі жертви. Замість цього зловмисник використовує вже наявні в операційному середовищі інструменти, такі як PowerShell, Windows Management Instrumentation (WMI) або утиліту Mimikatz для зчитування паролів, щоб досягти своїх цілей.
Оскільки у процесі атаки використовуються легітимні системні засоби, їх виявлення значно ускладнюється, особливо якщо кібербезпека організації ґрунтується на традиційних рішеннях, які орієнтовані на пошук відомих шкідливих файлів або скриптів. Завдяки цьому зловмисники можуть непомітно перебувати у внутрішньому середовищі компанії протягом тривалого часу—від кількох тижнів до місяців чи навіть років.
Якщо зловмисники, що використовують метод LOTL, не потребують встановлення стороннього коду для запуску безфайлової атаки, то яким чином вони проникають у систему та змінюють її стандартні інструменти для власних цілей? Доступ до середовища може бути отриманий різними способами, зокрема:
Використання вразливостей у програмному забезпеченні, які дозволяють проникнути в систему без авторизації.
Викрадення облікових даних шляхом фішингових атак або застосування кейлогерів.
Експлуатація віддаленого доступу, зокрема через неправильно налаштовані RDP, SSH або VPN-з’єднання.
Застосування легітимних системних утиліт, таких як PowerShell, Windows Management Instrumentation (WMI) або Mimikatz, для збору даних і виконання команд без завантаження шкідливих файлів.
Компрометація сторонніх постачальників або партнерських мереж, що мають доступ до внутрішньої інфраструктури компанії.
Застосування технік соціальної інженерії, наприклад, обманного переконання користувача надати доступ або запустити команду.
Експлойти — це набір коду, послідовність команд або специфічні дані, призначені для використання відомих вразливостей у програмному забезпеченні або операційній системі. Комплекти експлойтів являють собою збірки таких інструментів, що дозволяють зловмисникам автоматизувати атаки.
Застосування експлойтів є ефективним способом запуску безфайлових атак, таких як LOTL, оскільки вони можуть виконуватися безпосередньо в оперативній пам’яті, не залишаючи слідів на диску. Це дає змогу зловмисникам масштабувати початкові етапи компрометації системи.
Незалежно від того, чи атака використовує традиційне шкідливе програмне забезпечення, чи є безфайловою, експлойт завжди починається однаково. Зазвичай жертву обманом змушують взаємодіяти з шкідливим вмістом через фішинговий електронний лист або методи соціальної інженерії. Комплекти експлойтів зазвичай включають набір інструментів для різних вразливостей та консоль керування, що дозволяє атакувальнику отримати контроль над системою. Деякі з них також можуть сканувати цільову систему на наявність слабких місць і створювати відповідний експлойт у реальному часі, підлаштовуючись під конкретну ситуацію.
Під час атак LOTL зловмисники зазвичай захоплюють законні інструменти, щоб підвищити привілеї, отримати доступ до різних систем і мереж, викрасти або зашифрувати дані, встановити зловмисне програмне забезпечення, встановити бекдор-точки доступу або іншим чином просувати шлях атаки. Приклади власних інструментів або інструментів подвійного використання:
Клієнти протоколу передачі файлів (FTP) або системні функції, такі як PsExec
Криміналістичні інструменти, такі як засіб вилучення паролів Mimikatz
PowerShell, платформа для запуску сценаріїв, яка пропонує широкий функціонал для адміністрування пристроїв Windows
WMI, інтерфейс для доступу до різних компонентів Windows
Резидентне зловмисне програмне забезпечення реєстру – це шкідливий код, який впроваджується безпосередньо в реєстр Windows, що дозволяє йому залишатися активним і стійким до виявлення традиційними засобами захисту.
Зазвичай зараження Windows відбувається через програму-завантажувач, яка отримує шкідливий файл і підтримує його активність у системі. Це робить його потенційно вразливим до антивірусного сканування. Водночас безфайлове зловмисне ПЗ працює інакше: замість завантаження окремого шкідливого файлу, програма-дропер записує зловмисний код безпосередньо у реєстр Windows.
Цей код може бути запрограмований на автоматичний запуск під час кожного завантаження операційної системи, залишаючись прихованим у системних файлах, які зазвичай не перевіряються антивірусами.
Одним із перших прикладів такого типу атак був Poweliks, за яким з’явилися інші варіанти, такі як Kovter і GootKit. Зловмисне ПЗ, що вносить зміни в ключі реєстру, часто залишається непоміченим протягом тривалого часу, що дає зловмисникам змогу використовувати його для довготривалих атак.
Зловмисне програмне забезпечення, призначене виключно для роботи в пам’яті, не залишає слідів на диску, що ускладнює його виявлення традиційними методами захисту. Одним із яскравих прикладів такого ПЗ є хробак Duqu, який залишається непоміченим завдяки тому, що повністю зберігається в оперативній пам’яті.
Його вдосконалена версія, Duqu 2.0, має дві варіації. Перша – це бекдор, який дає змогу зловмисникам отримати початковий доступ до системи та закріпитися в мережі жертви. Друга – розширена версія, що забезпечує розвідку, бічне переміщення між вузлами та крадіжку даних.
Duqu 2.0 використовувався в успішних атаках на компанії телекомунікаційного сектора, а також на одного з провідних постачальників програмного забезпечення у сфері кібербезпеки, що демонструє його високий рівень складності та ефективності.
Зловмисники не обмежуються одним методом атак, а використовують будь-які технології, які допомагають їм впроваджувати шкідливий код у цільову систему. Сучасні кіберзлочинці активно застосовують безфайлові техніки, що дозволяють впроваджувати шкідливий код безпосередньо в документи за допомогою вбудованих мов сценаріїв, таких як макроси, або завантажувати його в пам’ять через експлойти.
Програмне забезпечення-вимагач також використовує ці методи, захоплюючи легітимні системні утиліти, такі як PowerShell, для шифрування файлів жертви, не залишаючи жодних слідів на диску. Це робить такі атаки надзвичайно складними для виявлення традиційними антивірусними засобами, оскільки шкідливий код не існує у вигляді окремого файлу, а працює виключно у пам’яті зараженої системи.
Зловмисники можуть розпочати безфайлову атаку, використовуючи вкрадені облікові дані, щоб отримати доступ до своєї цілі під виглядом законного користувача. Опинившись усередині, зловмисник може використовувати власні інструменти, такі як WMI або PowerShell, щоб провести свою атаку. Вони можуть встановити постійність, приховавши код у реєстрі чи ядрі, або створивши облікові записи користувачів, які надають їм доступ до будь-якої системи, яку вони виберуть.
Дані зі Звіту про глобальні загрози 2023 від CrowdStrike свідчать про значне зростання атак, які не містять класичного зловмисного програмного забезпечення. Зокрема, у останньому кварталі 2021 року 62% виявлених загроз використовували легітимні облікові дані та вбудовані системні інструменти замість традиційного шкідливого ПЗ. Це є характерною ознакою атак типу Living off the Land (LOTL), де зловмисники експлуатують наявні в системі ресурси для досягнення своїх цілей.
Ці атаки набирають популярності, оскільки вони значно ефективніші за класичні методи з використанням вірусів і троянів. Їх складніше виявити за допомогою застарілих засобів кіберзахисту, що дає зловмисникам більше часу для ескалації привілеїв, викрадення конфіденційних даних та встановлення бекдорів для подальшого несанкціонованого доступу. Це робить такі атаки особливо небезпечними для корпоративних та урядових мереж, які не мають сучасних засобів поведінкового аналізу загроз.
Інші причини, чому LOTL-атаки привабливі для кіберзлочинців:
Багато поширених засобів атаки LOTL, таких як WMI та PowerShell, знаходяться в «дозволеному» списку мережі жертви, що є ідеальним прикриттям для зловмисників, які здійснюють зловмисну діяльність — діяльність, яка часто ігнорується центром безпеки жертви (SOC) та іншими заходами безпеки.
Атаки LOTL не використовують файли чи підписи, що означає, що атаки неможливо порівняти чи пов’язати, що ускладнює запобігання в майбутньому та дозволяє злочинцям повторно використовувати тактику за бажанням.
Використання легітимних інструментів і відсутність підпису ускладнює приписування атак LOTL, таким чином посилюючи цикл атак.
Тривалий час безперебійного перебування дозволяє супротивнику створювати та здійснювати складні, складні атаки. До того моменту, коли жертва усвідомлює проблему, часто залишається мало часу для ефективного реагування.
Безфайлове програмне забезпечення-вимагач і атаки LOTL надзвичайно складно виявити за допомогою методів на основі сигнатур, застарілих AV, дозволених списків, ізольованого програмного середовища або навіть аналізу на основі машинного навчання. Отже, як організації можуть захистити себе від цього поширеного та потенційно руйнівного типу атак?
Тут ми ділимося коротким переліком заходів безпеки, які, якщо взяти разом як інтегрований підхід, можуть допомогти запобігти та виявити LOTL, безфайлове зловмисне програмне забезпечення, невідомі програми-вимагачі та подібні методи атак:
Один із найефективніших підходів до зменшення ризику атак Living off the Land (LOTL) – це використання індикаторів атаки (IOA) замість традиційних індикаторів компрометації (IOC).
На відміну від IOC, які фіксують сліди вже здійснених атак, IOA є проактивним методом виявлення. Вони аналізують підозрілі дії, які можуть свідчити про розгортання атаки, зокрема виконання коду, переміщення в мережі (бічні рухи) та спроби приховати активність зловмисника.
IOA особливо ефективні проти безфайлових атак, оскільки не орієнтуються на спосіб виконання шкідливого коду – важливо не звідки почалася атака (з жорсткого диска чи безфайлової техніки), а що саме відбувається в системі. Аналізуючи послідовність подій, взаємозв’язки між діями та контекст, цей метод дозволяє виявляти навіть складні атаки, які маскуються під легітимні процеси.
Безфайлові атаки часто використовують легальні системні засоби, такі як PowerShell, і ніколи не залишають файлів на диску. Це дозволяє їм обходити сигнатурні методи, дозволені списки та ізольовані середовища. Навіть рішення на основі машинного навчання можуть не розпізнати такі атаки. Однак IOA аналізує патерни поведінки та розкриває справжні наміри зловмисника.
Оскільки цей метод враховує контекст, послідовність дій та наміри, він може виявити загрози, навіть якщо вони здійснюються через законні облікові записи або скомпрометовані програми. Це особливо важливо, коли зловмисник використовує викрадені облікові дані, що є поширеною тактикою при LOTL-атаках.
Полювання на загрози у контексті безфайлових атак є складним і ресурсомістким процесом, що вимагає збору, аналізу та нормалізації великих обсягів даних. Проте без цього компонента ефективний захист від безфайлового шкідливого програмного забезпечення практично неможливий. Саме тому для більшості організацій найоптимальнішим рішенням є передача цієї функції спеціалізованим експертам-постачальникам.
Керовані служби з полювання на загрози працюють у режимі 24/7, активно відстежуючи підозрілі дії, аналізуючи загрози та виявляючи вторгнення, які могли б залишитися непоміченими традиційними засобами кіберзахисту. Вони допомагають організаціям запобігати атакам ще на ранніх стадіях, перш ніж вони переростуть у масштабні компрометації даних.
Полювання на загрози стало ключовим елементом сучасної кібербезпеки, адже воно дозволяє виявляти приховані атаки, аналізуючи тонкі поведінкові патерни зловмисників. Використовуючи кероване виявлення загроз, компанії отримують доступ до команди професійних експертів, які постійно аналізують безпекові дані, виявляючи найнепомітніші ознаки складних атак.
Подібні сервіси керованого виявлення загроз розроблені спеціально для того, щоб заповнити критичні прогалини у системах захисту, забезпечуючи організаціям усіх розмірів надійну проактивну безпеку.
Моніторинг облікових записів і засоби контролю керування можуть виявляти та запобігати несанкціонованим діям, забезпечуючи повну видимість робочого середовища. Це дозволяє запобігти втраті даних через такі дії та порушення облікових даних, водночас дозволяючи власникам ресурсів контролювати, хто має доступ до даних, і вказувати, чи доступ надано неналежним чином.
Завчасне виявлення застарілих або невиправлених програм та операційних систем дозволяє ефективно керувати всіма додатками у вашому середовищі та підвищити рівень безпеки. Оптимізація інвентаризації програмного забезпечення за допомогою сучасних рішень для ІТ-гігієни допомагає одночасно усунути потенційні загрози та зменшити витрати.
Забезпечення видимості активного програмного забезпечення завдяки ІТ-гігієні дозволяє запобігати атакам, що використовують вразливості у застарілих системах, а також оптимізувати конфігурацію програмного забезпечення для підвищення продуктивності та безпеки.
Відстеження використання програм у режимі реального часу та історичного аналізу допомагає ідентифікувати невикористані або малоефективні програми, які можна безпечно видалити. Це не лише зменшує навантаження на систему, але й допомагає організаціям заощаджувати значні кошти, скорочуючи витрати на непотрібні ліцензії та підтримку непотрібного софту.
Asset Inventory надає повний огляд пристроїв, що працюють у вашій мережі, дозволяючи ефективно впроваджувати архітектуру безпеки та забезпечувати, щоб у вашій інфраструктурі не функціонували несанкціоновані або шахрайські системи.
Завдяки цьому інструменту команди безпеки та ІТ-операцій можуть чітко розрізняти керовані, некеровані та невідомі активи у середовищі, що дає змогу вживати відповідних заходів для усунення вразливостей та підвищення загального рівня кібербезпеки. Контроль над усіма пристроями в мережі допомагає мінімізувати ризики атак, запобігати використанню незахищених ресурсів і забезпечувати стабільність та захищеність ІТ-інфраструктури.
Зловмисники, що використовують LOTL-атаки, можуть залишатися невидимими в мережі жертви протягом тижнів, місяців, а інколи й років, що значно ускладнює процес відновлення після інциденту. Організаціям, які підозрюють компрометацію, необхідно звернутися до авторитетних фахівців з кібербезпеки, щоб провести оцінку компрометації (Compromise Assessment, CA). Ця перевірка допоможе визначити, чи відбувся злом, а також на якому етапі атаки може перебувати зловмисник.
Під час оцінки компрометації експерти аналізують історичні та поточні події, шукаючи ознаки підозрілої активності, зокрема невідомі ключі реєстру, незвичні вихідні файли та активні загрози. Оскільки досвідчені зловмисники можуть залишатися непоміченими протягом тривалого часу, важливим етапом оцінки є ретельний аналіз історичних логів та дій у мережі.
Якщо компрометація підтверджується, команда безпеки працюватиме над локалізацією шкоди, відновленням постраждалих систем та посиленням захисту, щоб запобігти подальшим атакам.
Для мінімізації ризиків у майбутньому експерти з кібербезпеки проводять детальний аудит мережевого середовища, щоб переконатися, що зловмисники не залишили бекдори або приховані точки доступу. Також організації рекомендується впровадити сучасні рішення для захисту від безфайлових атак, зокрема поведінковий аналіз загроз, інструменти виявлення аномалій та розширені засоби моніторингу безпеки.
Для захисту від атак Living off the Land (LOTL) та безфайлових загроз необхідно застосовувати комплексний підхід до кібербезпеки. По-перше, важливо обмежити використання вбудованих системних інструментів, таких як PowerShell, WMI та PSExec, шляхом налаштування політик доступу та контролю виконання скриптів. По-друге, слід запровадити поведінковий аналіз загроз, що дозволяє виявляти підозрілі дії у мережі, навіть якщо вони виконуються через легітимні процеси.
Крім того, ретельний контроль облікових даних допоможе запобігти атакам через викрадені або скомпрометовані акаунти – для цього необхідно використовувати мультифакторну автентифікацію (MFA), моніторинг входів та обмеження привілеїв. Важливим заходом є регулярне оновлення програмного забезпечення, оскільки багато LOTL-атак експлуатують невиправлені вразливості. Нарешті, проактивне полювання на загрози та моніторинг мережевої активності дозволять вчасно виявити приховані атаки, перш ніж вони завдадуть шкоди.
1173 
501 
924