Jak działają ataki Living off the Land?

Ataki Living off the Land (tzw. LotL) wykorzystują natywne narzędzia systemowe, by przenikać, eskalować uprawnienia i wyciągać dane, a przy tym możliwie jak najmniej się wyróżniać.

Na pierwszy rzut oka wszystko wygląda normalnie.

Wiersz poleceń czy PowerShell to przecież standardowe narzędzia Windowsa, potrzebne administratorom i użytkownikom w codziennej pracy, lecz mogą stać się ciężką bronią w rękach doświadczonego napastnika.

Zazwyczaj zwykłe antywirusy traktują je jako „zaufane”, a dopiero systemy typu XDR/EDR patrzą na nie w innym kontekście, np. jeśli nagle cmd.exe zaczyna uruchamiać jakieś dziwne skrypty albo powershell.exe ściąga pliki z domeny w obcym państwie, to znak, że ktoś próbuje działać w ukryciu.

Podstawową zaletą tego typu ataków jest niewidoczność. Tradycyjne oprogramowanie AV, które bazuje na podstawie sygnatur, wykrywa znane mu podejrzane pliki binarne. Natomiast w przypadku gdy malware korzysta wyłącznie z natywnych narzędzi, to sygnatura po prostu nie istnieje, a sam proces wygląda jak zwykła, rutynowa aktywność systemu.

Dzięki temu LotL często stają się pierwszym etapem poważniejszych incydentów, gdyż świetnie sprawdzają się do typowego rekonesansu, ruchu bocznego lub trwałego osadzenia się w infrastrukturze, pozostając poza możliwościami tradycyjnych mechanizmów ochronnych.

Jak może to wyglądać w praktyce?

Posłużmy się dwoma przykładami:

• PowerShell jako downloader – Atak rozpoczyna się od phishingu, pracownik otwiera dokument Word z makrem, które uruchamia PowerShella, który to pobiera z internetu zaszyfrowany skrypt i go uruchamia. Zwykły antywirus nie wykrywa niczego, bo nie ma nowego pliku z rozszerzeniem .exe – działa jedynie zaufane narzędzie systemowe.

• Regsvr32 uruchamiający biblioteki .dll – To narzędzie Windowsa do rejestrowania bibliotek systemowych. Regsvr32 może pobierać i uruchamiać złośliwe skrypty (np. JavaScript) z internetu, bez zapisywania ich na dysku. To klasyczna technika fileless malware, która dla antywirusa wygląda to jak zwykłe działanie zaufanego komponentu systemowego.

Warto wspomnieć, że katalog MITRE ATT&CK dokumentuje tysiące takich technik oraz ich wariantów. Jest to swoista encyklopedia zagrożeń cybernetycznych, używana przez analityków i zespoły SOC do mapowania działań ataków cybernetycznych.

Systemy XDR/EDR mają przewagę.

Jak wspomnieliśmy wyżej, w klasycznym modelu antywirusowym, wszystko opiera się na napisanych sygnaturach, które pozwalają programowi antywirusowemu zidentyfikować i sklasyfikować konkretny malware.

Inaczej wygląda to w systemach EDR/XDR. Korzystając z wielu technik telemetrycznych, tego typu systemy potrafią np. zauważyć że:

• powershell.exe nagle wykonuje długie, zakodowane polecenia,

• cmd.exe został uruchomiony przez Outlooka (to nie jest normalne zachowanie),

• regsvr32 odwołuje się do zasobów spoza organizacji.

Te oraz wiele innych możliwości pozwalających na analizę kontekstu, umożliwiają wykrywanie tym systemom ataków typu LotL, mimo, że sam plik czy proces nie nosi znamion złośliwego oprogramowania.

Jak się bronić przed LotL?

• Jeśli pracownicy nie potrzebują narzędzi administracyjnych, ogranicz im dostęp do nich poprzez konfigurację z restrykcyjnymi politykami.

• Korzystaj z EDR/XDR i ustaw reguły na nietypowe zachowania procesów, a także zintegruj je z bazą MITRE ATT&CK.

• Edukuj regularnie swoich pracowników, gdyż większość scenariuszy LotL zaczyna się od kliknięcia w załącznik albo link.

Firma Grupa E zajmuje się bezpieczeństwem IT od 30 lat.

Zapraszamy do kontaktu, w celu uzyskania bezpłatnej konsultacji dotyczącej Twojego cyberbezpieczeństwa.