จะป้องกันการโจมตีจาก Living off the Land ได้อย่างไร?

เผยแพร่แล้ว: 2020-05-29

การโจมตีจากดินแดนได้รับแรงฉุดในช่วงไม่กี่ครั้งที่ผ่านมา ดังนั้นเราจึงสามารถคาดการณ์ได้อย่างปลอดภัยว่าขณะนี้แฮกเกอร์กำลังนำกลยุทธ์และเทคนิคเก่า ๆ ไปใช้ใหม่ แนวความคิดที่เกี่ยวข้องกับการใช้ชีวิตนอกแผ่นดินนั้นแทบจะไม่ใหม่เลย เครื่องมือระบบมักถูกใช้เป็นแบ็คดอร์ และช่องโหว่ที่รู้จักถูกนำไปใช้ประโยชน์ในระบบ

การโจมตี Living off the Land (LotL) นั้นยากต่อการป้องกันอย่างไม่น่าเชื่อ เนื่องจากบางครั้งพวกมันรวมการโจมตีแบบไม่มีไฟล์เป็นส่วนย่อย ในบางครั้ง แฮ็กเกอร์ใช้ประโยชน์จากเครื่องมือแบบ dual-use และหน่วยความจำ ซึ่งเป็นการรวมกันที่อันตรายตามที่ได้รับ ในคู่มือนี้ เราตั้งใจที่จะบอกคุณมากเท่าที่คุณจำเป็นต้องรู้เกี่ยวกับการโจมตี Living off the Land และวิธีที่คุณสามารถป้องกันตัวเองหรือองค์กรของคุณจากการโจมตีเหล่านี้

การโจมตีของ Living off the Land คืออะไร?

การโจมตีแบบ Living off the Land คือการโจมตีที่ผู้โจมตีใช้เครื่องมือที่ติดตั้งอยู่แล้วหรือเครื่องมือที่มีอยู่แล้วในคอมพิวเตอร์ของเหยื่อเพื่อเพิ่มเติมวิธีการ (ขโมยข้อมูลหรือเงิน เข้าควบคุมระบบ และอื่นๆ) การโจมตีดังกล่าวมีลักษณะเฉพาะตรงที่แฮกเกอร์ที่เกี่ยวข้องจะไม่ใช้โปรแกรมที่เป็นอันตราย ซึ่งโปรแกรมแอปพลิเคชันความปลอดภัยได้รับการตั้งโปรแกรมให้ระวัง เนื่องจากผู้โจมตีใช้เครื่องมือปกติหรือแม้แต่สคริปต์ธรรมดา การตรวจจับภัยคุกคามจึงกลายเป็นเรื่องยากมาก

ในการโจมตีแบบไม่ใช้ไฟล์ เช่น อาชญากรไซเบอร์สามารถทำงานในหน่วยความจำที่ระเหยได้ ในส่วนที่เกี่ยวข้องกับ PowerShell และ WMI ในสถานการณ์เช่นนี้ โปรแกรมป้องกันไวรัสและโปรแกรมป้องกันมัลแวร์ไม่สามารถตรวจจับและค้นหาภัยคุกคามได้ เพราะแม้แต่รายการของพวกมันก็จะไม่ถูกเก็บไว้ในบันทึก ท้ายที่สุด ไฟล์น้อยมาก (หรือไม่มีไฟล์เลย) ถูกสร้างขึ้นระหว่างการโจมตี

ผู้โจมตีมีเหตุผลเพียงพอที่จะไม่มีไฟล์ พวกเขาอาจพบว่ายิ่งสร้างไฟล์จำนวนน้อยเท่าไร โอกาสที่โปรแกรมอรรถประโยชน์ด้านความปลอดภัยจะตรวจพบภัยคุกคามก็จะยิ่งลดลง และโดยส่วนใหญ่แล้ว ผู้โจมตีก็พูดถูก แอปพลิเคชั่นความปลอดภัยมักจะพยายามตรวจจับการโจมตีของ Living off the Land จนกว่าจะสายเกินไปเพราะพวกเขาไม่รู้ว่าควรระวังอะไรตั้งแต่แรก

การโจมตี LotL ไม่เกี่ยวข้องกับมัลแวร์ แต่ผู้โจมตี (หากโจมตีได้สำเร็จ) จะได้รับเวลามากพอที่จะอยู่ในคอมพิวเตอร์ที่ถูกบุกรุกในพื้นที่ที่ไม่สามารถตรวจจับได้ และเมื่อเวลาผ่านไป ในที่สุด ผู้โจมตีก็มีโอกาสที่จะแทรกซึมส่วนประกอบที่ละเอียดอ่อนและทำลายข้อมูลหรือการดำเนินการ (หากพวกเขาเลือก)

บางทีคุณอาจเคยได้ยินเกี่ยวกับการโจมตีของ Petya/NotPetya ซึ่งเขย่าโลกในช่วงปี 2017 ผู้ที่ตกเป็นเหยื่อของการโจมตีเหล่านั้น (บุคคลและองค์กร) ไม่เคยเห็นพวกเขามาเพราะผู้โจมตีได้เข้าสู่ระบบของพวกเขาผ่านโปรแกรมที่เชื่อถือได้ซึ่งไม่ก่อให้เกิดความสงสัย แล้วแทรกแอปพลิเคชันเหล่านั้นด้วยรหัสที่เป็นอันตราย ระบบป้องกันแบบดั้งเดิมล้มเหลว การป้องกันของพวกเขาไม่ได้เกิดขึ้นจากการใช้ซอฟต์แวร์ที่น่าเชื่อถืออย่างเห็นได้ชัด

ด้วยเทคนิค Living off the Land อาชญากรไซเบอร์สามารถเข้าสู่ระบบไอทีได้โดยไม่มีความยุ่งยาก และใช้เวลากับพวกเขามากโดยที่ไม่ต้องตั้งสัญญาณเตือนหรือกระตุ้นความสงสัยใดๆ ดังนั้น จากสถานการณ์ที่กำหนดการโจมตีดังกล่าว ผู้เชี่ยวชาญด้านความปลอดภัยจึงพบว่าเป็นการยากที่จะระบุแหล่งที่มาของการโจมตี อาชญากรหลายคนพิจารณาว่ากลยุทธ์การใช้ชีวิตนอกดินแดนเป็นวิธีที่เหมาะสำหรับการโจมตี

วิธีอยู่อย่างปลอดภัยจากการโจมตีของ Living off the Land (เคล็ดลับสำหรับผู้ใช้ทั่วไปหรือบุคคล)

เมื่อใช้มาตรการป้องกันที่จำเป็นและเป็นเชิงรุก คุณจะลดโอกาสที่คอมพิวเตอร์หรือเครือข่ายของคุณจะถูกอาชญากรไซเบอร์ผ่านกลวิธี LotL

  1. ตรวจสอบหรือตรวจสอบการใช้ยูทิลิตีแบบใช้คู่ภายในเครือข่ายของคุณเสมอ
  1. ใช้รายการที่อนุญาตพิเศษของแอปพลิเคชันหากมีหรือใช้ได้
  1. เมื่อคุณได้รับอีเมลที่ไม่คาดคิดหรือน่าสงสัย คุณต้องใช้ความระมัดระวัง จะดีกว่าเสมอถ้าไม่คลิกอะไร (ลิงก์หรือไฟล์แนบ) ในข้อความดังกล่าว
  1. ดาวน์โหลดและติดตั้งการอัปเดตสำหรับแอปพลิเคชัน (โปรแกรม) และระบบปฏิบัติการทั้งหมดของคุณเสมอ (เช่น Windows)
  1. ใช้ความระมัดระวังในขณะที่ใช้สิ่งที่แนบมาของ Microsoft Office ที่คุณต้องเปิดใช้งานมาโคร คุณดีกว่าที่จะไม่ใช้สิ่งที่แนบมาดังกล่าวตั้งแต่แรก – ถ้าคุณไม่สามารถที่จะใช้สิ่งที่แนบมาดังกล่าวได้
  1. กำหนดค่าคุณสมบัติความปลอดภัยขั้นสูงหากทำได้ ด้วยคุณสมบัติความปลอดภัยขั้นสูง เราหมายถึงการรับรองความถูกต้องด้วยสองปัจจัย (2FA) การแจ้งเตือนการเข้าสู่ระบบหรือการแจ้งเตือน และอื่นๆ
  1. ใช้รหัสผ่านที่คาดเดายากสำหรับบัญชีและโปรไฟล์ทั้งหมดของคุณ (ข้ามเครือข่ายหรือแพลตฟอร์ม) รับผู้จัดการรหัสผ่าน – หากคุณต้องการความช่วยเหลือในการจำรหัสผ่านทั้งหมด
  1. อย่าลืมลงชื่อในโปรไฟล์หรือบัญชีของคุณออกจากเครือข่ายเมื่อคุณทำเซสชั่นเสร็จแล้ว

วิธีหลีกเลี่ยงการโจมตีจาก Living off the Land (เคล็ดลับสำหรับองค์กรและธุรกิจ)

เนื่องจากกลยุทธ์ Living off the Land เป็นเทคนิคการแฮ็กที่ซับซ้อนที่สุด จึงเป็นความท้าทายอย่างมากสำหรับองค์กรในการระบุตัวตนและหลีกเลี่ยง อย่างไรก็ตาม ยังมีวิธีที่บริษัทต่างๆ สามารถลดความเสี่ยงของการโจมตีดังกล่าวได้ (หรือบรรเทาผลกระทบจากการโจมตีดังกล่าว หากเกิดขึ้น)

  1. รักษาสุขอนามัยที่ดีในโลกไซเบอร์:

เคล็ดลับนี้อาจดูเรียบง่ายหรือเป็นพื้นฐานเมื่อพิจารณาตามมูลค่าที่ตราไว้ แต่อาจเป็นสิ่งสำคัญที่สุด การโจมตีทางไซเบอร์ส่วนใหญ่ในประวัติศาสตร์ รวมถึงการใช้กลยุทธ์ LotL ประสบความสำเร็จเนื่องจากความประมาทเลินเล่อหรือขาดแนวทางปฏิบัติด้านความปลอดภัย หลายบริษัทไม่สนใจที่จะอัปเดตหรือแก้ไขเครื่องมือหรือโปรแกรมที่พวกเขาใช้ ซอฟต์แวร์มักต้องการแพตช์และการอัปเดตเพื่อปิดผนึกช่องโหว่และช่องโหว่ด้านความปลอดภัย

เมื่อไม่ได้ติดตั้งโปรแกรมแก้ไขหรือโปรแกรมปรับปรุง ประตูจะเปิดทิ้งไว้ให้ผู้คุกคามค้นหาช่องโหว่และใช้ประโยชน์จากช่องโหว่เหล่านี้ องค์กรมีหน้าที่ตรวจสอบให้แน่ใจว่าพวกเขาเก็บรายการแอปพลิเคชันไว้ ด้วยวิธีนี้ พวกเขาจะระบุโปรแกรมที่ล้าสมัยและไม่ได้แพตช์ และแม้แต่ระบบปฏิบัติการ พวกเขายังรู้เมื่อต้องทำงานอัปเดตที่จำเป็นและทำอย่างไรให้เป็นไปตามกำหนดเวลา

นอกจากนี้ ควรอบรมพนักงานให้มีความตระหนักด้านความปลอดภัย เป็นมากกว่าการสอนบุคคลไม่ให้เปิดอีเมลฟิชชิ่ง ตามหลักการแล้ว ผู้ปฏิบัติงานควรเรียนรู้วิธีการทำงานของสิ่งอำนวยความสะดวก Windows และรหัสในตัว ด้วยวิธีนี้ พวกเขาจะตรวจพบความผิดปกติหรือความไม่สอดคล้องกันของพฤติกรรม กิจกรรมที่เป็นอันตราย และแอปพลิเคชันหรือสคริปต์ที่น่าสงสัยที่ทำงานอยู่เบื้องหลัง และพยายามหลบเลี่ยงการตรวจจับ พนักงานที่มีความรู้ดีเกี่ยวกับกิจกรรมเบื้องหลังของ Windows มักจะล้ำหน้ากว่าอาชญากรไซเบอร์ทั่วไปหนึ่งก้าว

  1. กำหนดค่าสิทธิ์การเข้าถึงและการอนุญาตที่เหมาะสม:

ตัวอย่างเช่น พนักงานที่คลิกลิงก์ที่เป็นอันตรายในอีเมลไม่ควรส่งผลให้โปรแกรมที่เป็นอันตรายเชื่อมโยงไปถึงระบบของพนักงาน ระบบควรได้รับการออกแบบในลักษณะที่ในสถานการณ์ที่อธิบาย โปรแกรมที่เป็นอันตรายจะเดินทางข้ามเครือข่ายและลงจอดบนระบบอื่น ในกรณีดังกล่าว เราสามารถพูดได้ว่าเครือข่ายมีการแบ่งส่วนที่ดีพอที่จะทำให้มั่นใจว่าแอปของบุคคลที่สามและผู้ใช้ทั่วไปมีโปรโตคอลการเข้าถึงที่เข้มงวด

ความสำคัญของเคล็ดลับสมควรได้รับไฮไลท์มากที่สุด การใช้โปรโตคอลที่มั่นคงเกี่ยวกับสิทธิ์การเข้าถึงและสิทธิพิเศษที่มอบให้กับพนักงานสามารถช่วยให้ระบบของคุณไม่ถูกบุกรุก มันอาจเป็นความแตกต่างระหว่างการโจมตี LotL ที่ประสบความสำเร็จและการโจมตีที่ไม่ไปไหน

  1. ใช้กลยุทธ์การล่าภัยคุกคามโดยเฉพาะ:

เมื่อคุณให้นักล่าภัยคุกคามทำงานร่วมกันเพื่อค้นหาภัยคุกคามในรูปแบบต่างๆ โอกาสในการตรวจจับภัยคุกคามจะเพิ่มขึ้นอย่างมาก แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดต้องการให้บริษัทต่างๆ (โดยเฉพาะองค์กรขนาดใหญ่) จ้างผู้ค้นหาภัยคุกคามโดยเฉพาะ และให้พวกเขาผ่านส่วนต่างๆ ของโครงสร้างพื้นฐานด้านไอทีเพื่อตรวจสอบสัญญาณแม้แต่น้อยของการโจมตีที่ร้ายแรงหรือซับซ้อนที่สุด

หากธุรกิจของคุณมีขนาดค่อนข้างเล็ก หรือหากคุณไม่มีเงินพอที่จะมีทีมล่าภัยคุกคามภายในองค์กร คุณก็ควรจ้างบุคคลภายนอกตามความต้องการของคุณไปยังบริษัทล่าภัยคุกคามหรือบริการจัดการความปลอดภัยที่คล้ายคลึงกัน คุณมักจะพบองค์กรหรือทีมนักแปลอิสระอื่นๆ ที่สนใจจะเติมเต็มช่องว่างที่สำคัญนั้น ไม่ว่าจะด้วยวิธีใด ตราบใดที่มีการดำเนินการตามล่าภัยคุกคาม ก็ยังดี

  1. กำหนดค่าการตรวจจับและตอบสนองปลายทาง (EDR):

ความล้มเหลวแบบเงียบเป็นคำที่สำคัญอย่างหนึ่งในการป้องกันการโจมตีทางไซเบอร์ ความล้มเหลวแบบเงียบหมายถึงสถานการณ์สมมติหรือการตั้งค่าที่ระบบรักษาความปลอดภัยหรือการป้องกันเฉพาะไม่สามารถระบุและป้องกันการโจมตีทางไซเบอร์และไม่มีการเตือนภัยหลังจากการโจมตีเกิดขึ้น

พิจารณาสิ่งนี้ควบคู่ไปกับเหตุการณ์ที่คาดการณ์ไว้: หากมัลแวร์แบบไม่มีไฟล์สามารถผ่านชั้นการป้องกันของคุณและเข้าถึงเครือข่ายของคุณได้ มัลแวร์นั้นอาจอยู่ในระบบของคุณเป็นเวลานาน พยายามวิเคราะห์ทั้งระบบของคุณเพื่อเตรียมพร้อมสำหรับการทำงานที่ใหญ่ขึ้น จู่โจม.

เพื่อแก้ปัญหานี้ คุณต้องตั้งค่าระบบ Endpoint Detection and Response (EDR) ที่มั่นคง ด้วยระบบ EDR ที่ดี คุณจะสามารถค้นหาและแยกรายการที่น่าสงสัยที่มีอยู่ที่ปลายทางและแม้กระทั่งกำจัดหรือกำจัดสิ่งเหล่านั้น

  1. ประเมินเหตุการณ์และสถานการณ์เมื่อคุณถูกแฮ็ก (หากคุณถูกแฮ็ก):

หากเครื่องของคุณถูกแฮ็กหรือหากเครือข่ายของคุณถูกบุกรุก คุณควรตรวจสอบเหตุการณ์ที่เกิดขึ้นในการโจมตี เราขอแนะนำให้คุณดูไฟล์และโปรแกรมที่มีบทบาทสำคัญในการช่วยให้ผู้โจมตีประสบความสำเร็จ

คุณสามารถจ้างนักวิเคราะห์ความปลอดภัยทางไซเบอร์และขอให้พวกเขามุ่งเน้นไปที่เครื่องมือและระบบที่พวกเขาสามารถใช้เพื่อวัดการโจมตีในอดีต สถานการณ์ส่วนใหญ่ที่บริษัทต่างๆ ตกเป็นเหยื่อของการโจมตีนั้น มีลักษณะเฉพาะด้วยรีจิสตรีคีย์ที่น่าสงสัยและไฟล์เอาต์พุตที่ผิดปกติ และยังมีการระบุถึงภัยคุกคามที่ใช้งานอยู่หรือยังคงมีอยู่

หลังจากที่คุณค้นพบไฟล์ที่ได้รับผลกระทบหรือเบาะแสอื่นๆ คุณควรวิเคราะห์อย่างละเอียด ตามหลักการแล้ว คุณควรพยายามหาว่ามีอะไรผิดพลาด อะไรควรปรับปรุงให้ดีขึ้น และอื่นๆ ด้วยวิธีนี้ คุณจะได้เรียนรู้เพิ่มเติมและรับข้อมูลเชิงลึกอันมีค่า ซึ่งหมายความว่าคุณจะสามารถเติมเต็มช่องว่างในกลยุทธ์ความปลอดภัยของคุณเพื่อป้องกันการโจมตี LotL ในอนาคต

ที่แนะนำ

ปกป้องพีซีจากภัยคุกคามด้วย Anti-Malware

ตรวจสอบพีซีของคุณเพื่อหามัลแวร์ที่แอนตี้ไวรัสของคุณอาจพลาด และรับการคุกคามออกอย่างปลอดภัยด้วย Auslogics Anti-Malware

Auslogics Anti-Malware เป็นผลิตภัณฑ์ของ Auslogics ซึ่งได้รับการรับรอง Microsoft Silver Application Developer
ดาวน์โหลดเดี๋ยวนี้

เคล็ดลับ

ความปลอดภัยเป็นหัวข้อหลักในคู่มือนี้ ดังนั้นเราจะไม่มีโอกาสได้รับโอกาสที่ดีไปกว่านี้ในการบอกคุณเกี่ยวกับข้อเสนอที่ยอดเยี่ยม หากคุณต้องการเพิ่มความปลอดภัยให้กับคอมพิวเตอร์หรือเครือข่ายของคุณ คุณอาจต้องการรับ Auslogics Anti-Malware ด้วยยูทิลิตี้การป้องกันชั้นหนึ่งนี้ คุณจะได้ปรับปรุงการตั้งค่าความปลอดภัยปัจจุบันของคุณ ซึ่งอาจไม่มีไดนามิกเพียงพอที่จะจัดการกับภัยคุกคามหลายตัว

ในการต่อสู้กับโปรแกรมที่เป็นอันตราย เรายินดีรับการปรับปรุงเสมอ คุณไม่สามารถบอกได้ว่ามีบางอย่างผ่านแอปพลิเคชันความปลอดภัยปัจจุบันของคุณ หรือบางทีคุณอาจไม่ได้ใช้เลย คุณไม่สามารถพูดได้อย่างแน่นอนว่าคอมพิวเตอร์ของคุณไม่ได้ถูกบุกรุกหรือติดไวรัส ไม่ว่าในกรณีใด คุณจะต้องดาวน์โหลดและเรียกใช้แอปพลิเคชันที่แนะนำเป็นอย่างดี เพื่อให้คุณมีโอกาส (มากกว่าเดิม) ในการอยู่อย่างปลอดภัย