Как защититься от атак Living off the Land?

Опубликовано: 2020-05-29

В последнее время атаки «Жизнь за пределами земли» набирают обороты, поэтому мы можем с уверенностью предположить, что хакеры теперь повторно используют старые стратегии и методы. Концепции, связанные с жизнью за счет земли, вряд ли новы. Системные инструменты когда-то широко использовались в качестве бэкдоров, а в системах использовались известные уязвимости.

От атак Living off the Land (LotL) невероятно сложно защититься, поскольку они иногда включают в себя бесфайловые атаки как подмножество. В других случаях хакеры используют инструменты двойного назначения и памяти, что само по себе является смертельной комбинацией. В этом руководстве мы намерены рассказать вам все, что вам нужно знать об атаках Living off the Land и о том, как вы можете защитить себя или свою организацию от них.

Что такое атаки Living off the Land?

Атаки «Жизнь за пределами земли» — это атаки, при которых злоумышленники используют уже установленные или существующие инструменты на компьютерах жертв для продвижения своих средств (кражи информации или денег, захвата систем и т. д.). Такие атаки уникальны тем, что участвующие в них хакеры не используют вредоносные программы, на поиск которых запрограммированы прикладные программы безопасности. Поскольку злоумышленники используют обычные инструменты или даже простые скрипты, обнаружение угроз становится очень сложным.

Например, при бесфайловых атаках киберпреступники могут работать с энергозависимой памятью, частично соответствующей PowerShell и WMI. В таких сценариях антивирусы и приложения для защиты от вредоносных программ не могут обнаружить и найти угрозы, потому что даже их записи не сохраняются в журналах. В конце концов, во время атаки создается очень мало файлов (или вообще не создается файлов).

У злоумышленников достаточно причин, чтобы остаться без файлов. Вероятно, они поняли, что чем меньше файлов будет создано, тем меньше шансов, что угрозы будут обнаружены утилитами безопасности. И по большей части злоумышленники правы. Приложения безопасности часто изо всех сил пытаются обнаружить атаки Living off the Land, пока не становится слишком поздно, потому что они не знают, на что обращать внимание в первую очередь.

В атаках LotL не участвуют вредоносные программы, но злоумышленники (в случае успеха с ними) получают достаточно времени, чтобы задержаться на скомпрометированных компьютерах в областях, где их невозможно обнаружить. И со временем злоумышленники получают возможность проникнуть в важные компоненты и уничтожить данные или операции (если захотят).

Возможно, вы слышали об атаках Petya/NotPetya, которые потрясли мир где-то в 2017 году. Жертвы этих атак (частные лица и организации) так и не увидели их приближения, потому что злоумышленники проникали в их системы через доверенные программы, которые не вызывали подозрений, а затем внедрить в эти приложения вредоносный код. Традиционные системы защиты вышли из строя; их защита не была активирована необычным использованием явно доверенного программного обеспечения.

С помощью методов «Жизнь за пределами земли» киберпреступники могут без проблем проникать в ИТ-системы и проводить в них много времени, не вызывая при этом никакой тревоги или подозрений. Поэтому, учитывая обстоятельства, определяющие такие атаки, специалистам по безопасности трудно определить источник атаки. Многие преступники считают тактику «Жизнь за пределами земли» идеальным методом для совершения атак.

Как защититься от атак Living off the Land (советы для обычных пользователей или отдельных лиц)

Принимая необходимые меры предосторожности и проявляя инициативу, вы можете снизить вероятность того, что ваши компьютеры или сети будут подвержены киберпреступникам с помощью тактики LotL.

  1. Всегда отслеживайте или проверяйте использование утилит двойного назначения в ваших сетях.
  1. Используйте белый список приложений там, где он доступен или применим.
  1. Когда вы получаете неожиданные или подозрительные электронные письма, вы должны проявлять осторожность. Вам всегда лучше ничего не нажимать (ссылки или вложения) в таких сообщениях.
  1. Всегда загружайте и устанавливайте обновления для всех ваших приложений (программ) и операционных систем (например, Windows).
  1. Будьте осторожны при использовании вложений Microsoft Office, требующих включения макросов. Вам лучше вообще не использовать такие насадки — если вы можете себе позволить не использовать их.
  1. Настройте расширенные функции безопасности, где это возможно. Под расширенными функциями безопасности мы подразумеваем двухфакторную аутентификацию (2FA), уведомления или подсказки при входе в систему и так далее.
  1. Используйте надежные уникальные пароли для всех ваших учетных записей и профилей (в разных сетях или платформах). Получите менеджер паролей — если он вам нужен, чтобы помочь вам вспомнить все пароли.
  1. Всегда не забывайте отключать свой профиль или учетную запись от сетей, когда закончите сеанс.

Как избежать атак Living off the Land (советы для организаций и предприятий)

Поскольку тактика «Жизнь за пределами земли» представляет собой одну из самых изощренных хакерских технологий, она представляет собой сложную задачу для организаций по выявлению и предотвращению. Тем не менее, компании все еще могут снизить риски таких атак (или смягчить последствия таких атак, если они когда-либо произойдут).

  1. Соблюдайте правила кибергигиены:

Этот совет может показаться простым или базовым, если принять его за чистую монету, но он, вероятно, самый важный из всех. Большинство кибератак в истории, в том числе те, в которых использовалась тактика LotL, были успешными из-за небрежности или отсутствия методов обеспечения безопасности. Многие фирмы не утруждают себя обновлением или исправлением инструментов или программ, которые они используют. Программному обеспечению обычно требуются исправления и обновления для устранения уязвимостей и дыр в безопасности.

Когда исправления или обновления не установлены, злоумышленники могут найти уязвимости и воспользоваться ими. Организации обязаны обеспечить инвентаризацию приложений. Таким образом, они могут идентифицировать устаревшие и неисправленные программы и даже операционные системы; они также знают, когда им нужно выполнять важные задачи обновления и как не отставать от графика.

Кроме того, персонал должен быть обучен правилам безопасности. Это выходит за рамки простого обучения человека не открывать фишинговые электронные письма. В идеале работники должны узнать, как работают встроенные средства и код Windows. Таким образом, они обнаруживают аномалии или несоответствия в поведении, вредоносную активность и подозрительные приложения или сценарии, работающие в фоновом режиме и пытающиеся избежать обнаружения. Сотрудники, хорошо знакомые с фоновыми действиями Windows, как правило, на шаг опережают обычных киберпреступников.

  1. Настройте правильные права доступа и разрешения:

Например, переход сотрудника по вредоносной ссылке в электронном письме не обязательно должен приводить к попаданию вредоносной программы в систему сотрудника. Системы должны быть спроектированы таким образом, чтобы в описанном сценарии вредоносная программа перемещалась по сети и попадала в какую-то другую систему. В этом случае мы можем сказать, что сеть была достаточно хорошо сегментирована, чтобы сторонние приложения и обычные пользователи имели строгие протоколы доступа.

Важность чаевых заслуживает как можно большего внимания. Использование надежных протоколов в отношении прав доступа и привилегий, предоставляемых работникам, может иметь большое значение для защиты ваших систем от компрометации; это может быть разницей между успешной атакой LotL и атакой, которая ни к чему не привела.

  1. Используйте специальную стратегию поиска угроз:

Когда вы заставляете охотников за угрозами работать вместе, чтобы найти различные формы угроз, шансы обнаружения угроз значительно возрастают. Лучшие методы обеспечения безопасности требуют, чтобы фирмы (особенно крупные организации) нанимали специализированных охотников за угрозами и заставляли их проверять различные сегменты своей ИТ-инфраструктуры на наличие даже слабых признаков наиболее смертоносных или изощренных атак.

Если ваш бизнес относительно невелик или вы не можете позволить себе иметь собственную команду по поиску угроз, то вам будет лучше, если вы передадите свои потребности фирме по поиску угроз или аналогичной службе управления безопасностью. Скорее всего, вы найдете другие организации или группы фрилансеров, которые будут заинтересованы в заполнении этого критического пробела. В любом случае, пока проводятся операции по поиску угроз, все хорошо.

  1. Настройте обнаружение и ответ конечной точки (EDR):

Тихий сбой — один из важных терминов, когда речь идет об отражении кибератак. Тихий сбой относится к сценарию или настройке, когда выделенная система безопасности или защиты не может идентифицировать и защитить от кибератаки, и после атаки не срабатывает сигнализация.

Рассмотрите эту параллель с прогнозируемым событием: если безфайловому вредоносному ПО каким-то образом удастся обойти ваши уровни защиты и получить доступ к вашей сети, оно может оставаться в вашей системе в течение длительного времени, пытаясь проанализировать всю вашу систему в целом, готовясь к более масштабной атаке. атака.

С этой целью, чтобы преодолеть рассматриваемую проблему, вы должны настроить надежную систему обнаружения и реагирования на конечных точках (EDR). С хорошей системой EDR вы сможете выявить и изолировать подозрительные элементы, существующие на конечных точках, и даже устранить или избавиться от них.

  1. Оцените события и сценарии, когда вас взломают (если вас взломают):

Если ваши машины будут взломаны или если ваша сеть будет скомпрометирована, вам стоит изучить события, предшествующие атаке. Мы советуем вам взглянуть на файлы и программы, которые сыграли важную роль в успехе злоумышленников.

Вы можете нанять аналитиков по кибербезопасности и попросить их сосредоточиться на инструментах и ​​системах, которые они могут использовать для оценки исторических атак. Большинство сценариев, в которых фирмы становятся жертвами атак, характеризуются подозрительными ключами реестра и необычными выходными файлами, а также идентификацией активных или все еще существующих угроз.

После того, как вы обнаружите некоторые из затронутых файлов или другие подсказки, вам следует тщательно их проанализировать. В идеале вы должны попытаться выяснить, где что-то пошло не так, что нужно было сделать лучше и так далее. Таким образом, вы узнаете больше и получите ценную информацию, что означает, что вы сможете заполнить пробелы в своей стратегии безопасности, чтобы предотвратить будущие атаки LotL.

РЕКОМЕНДУЕМЫЕ

Защитите компьютер от угроз с помощью Anti-Malware

Проверьте свой компьютер на наличие вредоносных программ, которые ваш антивирус может пропустить, и безопасно удалите угрозы с помощью Auslogics Anti-Malware

Auslogics Anti-Malware является продуктом Auslogics, сертифицированного Microsoft Silver Application Developer.
СКАЧАТЬ СЕЙЧАС

ПОДСКАЗКА

Безопасность — главная тема этого руководства, поэтому у нас не будет лучшей возможности рассказать вам об отличном предложении. Если вы хотите повысить безопасность своих компьютеров или сетей, вам может понадобиться Auslogics Anti-Malware. С помощью этой первоклассной утилиты защиты вы можете улучшить текущую настройку безопасности, которая может быть недостаточно динамичной для борьбы с несколькими угрозами.

В борьбе с вредоносными программами улучшения всегда приветствуются. Вы никогда не можете сказать, когда что-то выходит за рамки вашего текущего приложения безопасности, или, возможно, вы даже не используете его. Вы также не можете с уверенностью сказать, что ваш компьютер в данный момент не скомпрометирован и не заражен. В любом случае, вам стоит загрузить и запустить рекомендованное приложение, чтобы у вас было больше шансов (чем раньше) оставаться в безопасности.