Jak chronić się przed atakami Living off the Land?

Opublikowany: 2020-05-29

Ataki typu Living off the Land zyskały ostatnio na popularności, więc możemy bezpiecznie ekstrapolować, że hakerzy ponownie stosują stare strategie i techniki. Koncepcje związane z Living off the Land nie są nowe. Narzędzia systemowe były kiedyś powszechnie używane jako backdoory, a znane luki były wykorzystywane w systemach.

Ataki Living off the Land (LotL) są niezwykle trudne do obrony, ponieważ czasami obejmują ataki bezplikowe jako podzbiór. Innym razem hakerzy wykorzystują narzędzia podwójnego zastosowania i pamięci, co jest śmiertelną kombinacją. W tym przewodniku zamierzamy powiedzieć Ci tyle, ile potrzebujesz wiedzieć o atakach Living off the Land oraz o tym, jak możesz chronić siebie lub swoją organizację przed nimi.

Czym są ataki Living off the Land?

Ataki typu Living off the Land to ataki, w których atakujący używają już zainstalowanych lub istniejących narzędzi na komputerach ofiar, aby zwiększyć swoje środki (kradzież informacji lub pieniędzy, przejmowanie systemów itd.). Takie ataki są wyjątkowe pod tym względem, że zaangażowani hakerzy nie używają szkodliwych programów, na których wykrywanie są zaprogramowane aplikacje zabezpieczające. Ponieważ atakujący używają zwykłych narzędzi lub nawet prostych skryptów, wykrycie zagrożenia staje się bardzo trudne.

Na przykład w atakach bezplikowych cyberprzestępcy mogą działać w pamięci ulotnej, w częściach odpowiadających PowerShellowi i WMI. W takich sytuacjach programy antywirusowe i antymalware nie wykrywają i nie znajdują zagrożeń – ponieważ nawet ich wpisy nie są przechowywane w logach. W końcu podczas ataku tworzonych jest bardzo niewiele plików (lub wcale).

Atakujący mają wystarczająco dużo powodów, aby przejść bez plików. Prawdopodobnie zorientowali się, że im mniej tworzonych plików, tym mniejsze szanse na wykrycie zagrożeń przez narzędzia bezpieczeństwa. A napastnicy w większości mają rację. Aplikacje zabezpieczające często mają trudności z wykrywaniem ataków Living off the Land, dopóki nie jest za późno, ponieważ nie wiedzą, na co przede wszystkim uważać.

Ataki LotL nie obejmują złośliwego oprogramowania, ale napastnicy (jeśli im się to uda) mają wystarczająco dużo czasu, aby zatrzymać się na zaatakowanych komputerach w obszarach, w których nie można ich wykryć. Z biegiem czasu osoby atakujące w końcu uzyskują możliwość infiltracji wrażliwych komponentów i niszczenia danych lub operacji (jeśli zdecydują się).

Być może słyszeliście o atakach Petya/NotPetya, które wstrząsnęły światem w 2017 roku. Ofiary tych ataków (osoby fizyczne i organizacje) nigdy ich nie widziały, ponieważ osoby atakujące dostały się do ich systemów za pośrednictwem zaufanych programów, które nie wzbudziły podejrzeń, a następnie wstrzyknął te aplikacje złośliwym kodem. Tradycyjne systemy ochrony zawiodły; ich mechanizmy obronne nie zostały uruchomione przez nietypowe użycie pozornie zaufanego oprogramowania.

Dzięki technikom Living off the Land cyberprzestępcy mogą bez komplikacji wchodzić do systemów informatycznych i spędzać w nich dużo czasu, nie wywołując przy tym żadnego alarmu ani nie wzbudzając podejrzeń. Dlatego też, biorąc pod uwagę okoliczności, które definiują takie ataki, ekspertom ds. bezpieczeństwa trudno jest zidentyfikować źródło ataku. Wielu przestępców uważa taktykę Living off the Land za idealną metodę przeprowadzania ataków.

Jak zachować bezpieczeństwo przed atakami Living off the Land (wskazówki dla zwykłych użytkowników lub pojedynczych osób)

Podejmując niezbędne środki ostrożności i proaktywnie, możesz zmniejszyć ryzyko narażenia komputerów lub sieci na cyberprzestępców dzięki taktyce LotL.

  1. Zawsze monitoruj lub sprawdzaj wykorzystanie narzędzi podwójnego zastosowania w sieciach.
  1. Korzystaj z białej listy aplikacji, jeśli jest dostępna lub ma zastosowanie.
  1. Gdy otrzymujesz nieoczekiwane lub podejrzane wiadomości e-mail, musisz zachować ostrożność. Zawsze lepiej nie klikać niczego (linków lub załączników) w takich wiadomościach.
  1. Zawsze pobieraj i instaluj aktualizacje dla wszystkich swoich aplikacji (programów) i systemów operacyjnych (na przykład Windows).
  1. Zachowaj ostrożność podczas korzystania z załączników pakietu Microsoft Office, które wymagają włączenia makr. W pierwszej kolejności lepiej nie używać takich załączników – jeśli możesz sobie na to pozwolić.
  1. Tam, gdzie to możliwe, skonfiguruj zaawansowane funkcje bezpieczeństwa. Przez zaawansowane funkcje bezpieczeństwa rozumiemy uwierzytelnianie dwuskładnikowe (2FA), powiadomienia lub monity logowania i tak dalej.
  1. Używaj silnych, unikalnych haseł do wszystkich swoich kont i profili (w sieciach lub platformach). Zdobądź menedżera haseł – jeśli potrzebujesz, aby pomóc Ci zapamiętać wszystkie hasła.
  1. Zawsze pamiętaj, aby wylogować swój profil lub konto z sieci po zakończeniu sesji.

Jak uniknąć ataków Living off the Land (wskazówki dla organizacji i firm)

Ponieważ taktyki Living off the Land stanowią jedne z najbardziej wyrafinowanych technik hakerskich, stanowią duże wyzwanie dla organizacji, aby je zidentyfikować i odeprzeć. Niemniej jednak nadal istnieją sposoby, w jakie firmy mogą zmniejszyć ryzyko takich ataków (lub złagodzić skutki takich ataków – jeśli kiedykolwiek wystąpią).

  1. Utrzymuj dobrą higienę cybernetyczną:

Ta wskazówka może wydawać się prosta lub podstawowa, jeśli wziąć pod uwagę wartość nominalną, ale prawdopodobnie jest to najważniejsza z wielu. Większość cyberataków w historii – w tym te, w których zastosowano taktykę LotL – zakończyła się sukcesem z powodu zaniedbań lub braku praktyk bezpieczeństwa. Wiele firm nie zadaje sobie trudu, aby aktualizować lub łatać narzędzia lub programy, których używają. Oprogramowanie zazwyczaj wymaga poprawek i aktualizacji w celu uszczelnienia luk w zabezpieczeniach i luk w zabezpieczeniach.

Gdy poprawki lub aktualizacje nie zostaną zainstalowane, cyberprzestępcy mogą znaleźć luki w zabezpieczeniach i skorzystać z nich. Organizacje mają obowiązek zapewnić prowadzenie spisu aplikacji. W ten sposób mogą identyfikować przestarzałe i niezałatane programy, a nawet systemy operacyjne; wiedzą również, kiedy muszą wykonać niezbędne zadania związane z aktualizacją i jak dotrzymać harmonogramu.

Ponadto personel powinien zostać przeszkolony w zakresie świadomości bezpieczeństwa. Wykracza poza samo nauczenie osoby, aby nie otwierała wiadomości phishingowych. W idealnym przypadku pracownicy powinni dowiedzieć się, jak działają wbudowane funkcje i kod systemu Windows. W ten sposób mogą wykryć anomalie lub niespójności w zachowaniu, złośliwej aktywności i podejrzanych aplikacjach lub skryptach działających w tle i próbujących uniknąć wykrycia. Pracownicy z dobrą znajomością działań w tle systemu Windows są zazwyczaj o krok przed zwykłymi cyberprzestępcami.

  1. Skonfiguruj odpowiednie prawa dostępu i uprawnienia:

Na przykład, kliknięcie przez pracownika szkodliwego odsyłacza w wiadomości e-mail nie musi koniecznie skutkować wylądowaniem szkodliwego programu w systemie pracownika. Systemy powinny być zaprojektowane w taki sposób, aby w opisanym scenariuszu złośliwy program przemieszczał się przez sieć i trafiał do innego systemu. W takim przypadku możemy powiedzieć, że sieć została podzielona na segmenty na tyle dobrze, aby zapewnić, że aplikacje innych firm i zwykli użytkownicy mają ścisłe protokoły dostępu.

Znaczenie końcówki zasługuje na jak najwięcej podkreśleń. Korzystanie z solidnych protokołów dotyczących praw dostępu i przywilejów zapewnianych pracownikom może znacznie pomóc w uchronieniu systemów przed narażeniem na szwank; może to być różnica między udanym atakiem LotL a takim, który prowadzi donikąd.

  1. Zastosuj dedykowaną strategię polowania na zagrożenia:

Kiedy łowcy zagrożeń współpracują ze sobą w celu znalezienia różnych form zagrożeń, szanse na wykrycie zagrożenia znacznie wzrastają. Najlepsze praktyki w zakresie bezpieczeństwa wymagają od firm (zwłaszcza dużych organizacji) zatrudniania dedykowanych łowców zagrożeń i przechodzenia przez różne segmenty infrastruktury IT w celu sprawdzenia nawet słabych oznak najbardziej śmiertelnych lub wyrafinowanych ataków.

Jeśli Twoja firma jest stosunkowo mała lub jeśli nie możesz sobie pozwolić na posiadanie własnego zespołu łowców zagrożeń, dobrze zrobisz, jeśli zlecisz swoje potrzeby firmie łowców zagrożeń lub podobnej usłudze zarządzania bezpieczeństwem. Prawdopodobnie znajdziesz inne organizacje lub zespoły freelancerów, które będą zainteresowane wypełnieniem tej krytycznej luki. Tak czy inaczej, dopóki przeprowadzane są operacje polowania na zagrożenia, wszystko jest w porządku.

  1. Skonfiguruj wykrywanie i reakcję punktów końcowych (EDR):

Cicha porażka to jeden z ważnych terminów, jeśli chodzi o odpieranie cyberataków. Cicha awaria odnosi się do scenariusza lub konfiguracji, w której dedykowany system bezpieczeństwa lub obrony nie identyfikuje i nie broni się przed cyberatakiem, a po jego wystąpieniu nie uruchamiają się żadne alarmy.

Rozważ to równolegle z przewidywanym zdarzeniem: jeśli bezplikowe złośliwe oprogramowanie w jakiś sposób zdoła przedostać się przez warstwy ochrony i uzyskać dostęp do sieci, może pozostać w systemie przez długi czas, próbując przeanalizować cały system w ramach przygotowań do większego atak.

W tym celu, aby rozwiązać problem, należy skonfigurować solidny system wykrywania i reagowania w punktach końcowych (EDR). Dzięki dobremu systemowi EDR będziesz w stanie wykryć i wyizolować podejrzane elementy istniejące w punktach końcowych, a nawet je wyeliminować lub pozbyć się.

  1. Oceń zdarzenia i scenariusze, gdy zostaniesz zhakowany (jeśli zostaniesz zhakowany):

Jeśli twoje maszyny zostaną zhakowane lub twoja sieć zostanie naruszona, dobrze zrobisz, jeśli zbadasz zdarzenia w ramach przygotowań do ataku. Radzimy przyjrzeć się plikom i programom, które odegrały główną rolę w osiągnięciu sukcesu przez atakujących.

Możesz zatrudnić analityków cyberbezpieczeństwa i poprosić ich o skupienie się na narzędziach i systemach, których mogą użyć do oceny historycznych ataków. Większość scenariuszy, w których firmy padają ofiarą ataków, charakteryzuje się podejrzanymi kluczami rejestru i nietypowymi plikami wyjściowymi, a także identyfikacją aktywnych lub wciąż istniejących zagrożeń.

Po odkryciu niektórych dotkniętych plików lub innych wskazówek dobrze będzie je dokładnie przeanalizować. Najlepiej byłoby, gdybyś spróbował dowiedzieć się, gdzie coś poszło nie tak, co należało zrobić lepiej i tak dalej. W ten sposób dowiesz się więcej i uzyskasz cenne spostrzeżenia, co oznacza, że ​​będziesz w stanie wypełnić luki w swojej strategii bezpieczeństwa, aby zapobiec przyszłym atakom LotL.

ZALECANA

Chroń komputer przed zagrożeniami za pomocą programu Anti-Malware

Sprawdź swój komputer pod kątem złośliwego oprogramowania, które może przegapić Twój program antywirusowy, i bezpiecznie usuń zagrożenia za pomocą Auslogics Anti-Malware

Auslogics Anti-Malware to produkt Auslogics, certyfikowanego Microsoft Silver Application Developer
POBIERZ TERAZ

WSKAZÓWKA

Bezpieczeństwo jest głównym tematem tego przewodnika, więc nie będziemy mieli lepszej okazji, aby opowiedzieć Ci o doskonałej propozycji. Jeśli chcesz wzmocnić zabezpieczenia swoich komputerów lub sieci, możesz chcieć uzyskać Auslogics Anti-Malware. Dzięki temu pierwszorzędnemu narzędziu ochrony możesz poprawić obecną konfigurację zabezpieczeń, która może nie być wystarczająco dynamiczna, aby poradzić sobie z wieloma zagrożeniami.

W walce ze złośliwymi programami ulepszenia są zawsze mile widziane. Nigdy nie możesz stwierdzić, kiedy coś przejdzie przez twoją obecną aplikację bezpieczeństwa, a może nawet jej nie używasz. Nie możesz również powiedzieć z całą pewnością, że Twój komputer nie jest aktualnie zagrożony lub zainfekowany. W każdym razie dobrze zrobisz, jeśli pobierzesz i uruchomisz zalecaną aplikację, aby dać sobie większą szansę (niż wcześniej) na zachowanie bezpieczeństwa.