Количество распространяемых злоумышленников постоянно растет, как и библиотеки средств защиты, которые должны противостоять разного рода вирусам. Первейшее и самое массовое средство защиты – это антивирус. Но что, если сам антивирус или любое другое легальное ПО станет инструментом кибератаки?
На этом и строятся LoTL-атаки, задача которых – использовать легитимное ПО, которое уже есть внутри инфраструктуры, с целью реализации своих целей, повышения привилегий в системе или кражи пользовательских данных.
В этой статье будут разобраны основные особенности LoTL-атак, способы их вычисления и детектирования, защиты от этого типа атак и превентивные меры, которые могут помочь с атаками LotL.
Как устроены LotL-атаки
Living off the Land дословно переводится как «питание подножным кормом». Суть атаки заключается в использовании «белого» программного обеспечения, его полномочий и функций на ПК пользователя или внутри инфраструктуры.
Это позволяет сильно сократить риски того, что атака будет детектирована, поскольку большинство наиболее распространенных ИБ-инструментом ориентированы на отслеживание именно вредоносной активности и ее признаков. Программы, которые находятся в «белом» списке, при этом выпадают из поля зрения защитных механизмов.
[...]
Использование легитимного ПО для решения вредоносных задач – это далеко не самый простой процесс. Иметь такой инструмент в арсенале могут только наиболее продвинутые хакерские группы, атаки которых носят системный, профессиональный характер.
Также, важно понимать, что LotL – это только один из элементов цепочки атаки, которая до этого должна каким-то образом начаться (преодоление внешнего контура) и чем-то завершиться (реализация недопустимого события).
Однако, LotL-атаки – это не ультимативное решение и не «придумка сегодняшнего дня» – они известны достаточно давно. Поэтому, существует целый ряд решений как для проактивной борьбы с такого типа атаками, так и для профилактики вероятности реализации LotL-атаки.
Чем защищаться от атак через легитимное ПО
Как известно, абсолютной защиты не существует, и любая компания, рано или поздно, сталкивается с тем, что внутри ее инфраструктуры действует злоумышленник. В этом контексте, основная задача ИБ – создать такие условия, при которой цепочка атаки будет максимально длинной, и на каждом шаге злоумышленника риски «попасться» будут возрастать.
Поскольку основной признак LotL-атаки – это нетипичное поведение пользователя в работе с программой или использование функций ПО в «необычном» формате – для их детекции часто применяются средства и решения, направленные на поведенческий анализ и выявление аномалий.
Николай Перетягин, менеджер по продукту NGR Softlab:
Одним из наиболее информативных с точки зрения выявления подобных атак инструментом являются решения класса UEBA. Алгоритмы ML, если они используются в данном инструменте, могут выявить отклонения в действиях контролируемого ПО. Например, обращение к внешним ресурсам по нетиповым для себя протоколам передачи данных или в нетипичное время, или установление связи с нетипичными IP-назначения и т.д. Безусловно, можно реализовать механизмы ЗПС, но в таких условиях эффективность решения бизнес-задач будет крайне низкая.
Однако, очень небольшое количество атак может быть реализовано с помощью одних лишь легитимных программ. Как правило, хакеры используют комплексный подход, применяя LotL для перемещения в инфраструктуре, которое может быть как горизонтальным, так и вертикальным.
Соответственно, наиболее уязвим для детекции злоумышленник в момент нахождения «точки входа» в инфраструктуру, поскольку внешний контур, в большинстве случаев, один из самых защищенных элементов компании. Соответственно, выявить его и начать защищаться можно и традиционными инструментами « первого порядка», к которым часто относят межсетевые экраны, песочницы и антивирусы.
[...]
Подробнее на сайте издания по ссылке.
На этом и строятся LoTL-атаки, задача которых – использовать легитимное ПО, которое уже есть внутри инфраструктуры, с целью реализации своих целей, повышения привилегий в системе или кражи пользовательских данных.
В этой статье будут разобраны основные особенности LoTL-атак, способы их вычисления и детектирования, защиты от этого типа атак и превентивные меры, которые могут помочь с атаками LotL.
Как устроены LotL-атаки
Living off the Land дословно переводится как «питание подножным кормом». Суть атаки заключается в использовании «белого» программного обеспечения, его полномочий и функций на ПК пользователя или внутри инфраструктуры.
Это позволяет сильно сократить риски того, что атака будет детектирована, поскольку большинство наиболее распространенных ИБ-инструментом ориентированы на отслеживание именно вредоносной активности и ее признаков. Программы, которые находятся в «белом» списке, при этом выпадают из поля зрения защитных механизмов.
[...]
Использование легитимного ПО для решения вредоносных задач – это далеко не самый простой процесс. Иметь такой инструмент в арсенале могут только наиболее продвинутые хакерские группы, атаки которых носят системный, профессиональный характер.
Также, важно понимать, что LotL – это только один из элементов цепочки атаки, которая до этого должна каким-то образом начаться (преодоление внешнего контура) и чем-то завершиться (реализация недопустимого события).
Однако, LotL-атаки – это не ультимативное решение и не «придумка сегодняшнего дня» – они известны достаточно давно. Поэтому, существует целый ряд решений как для проактивной борьбы с такого типа атаками, так и для профилактики вероятности реализации LotL-атаки.
Чем защищаться от атак через легитимное ПО
Как известно, абсолютной защиты не существует, и любая компания, рано или поздно, сталкивается с тем, что внутри ее инфраструктуры действует злоумышленник. В этом контексте, основная задача ИБ – создать такие условия, при которой цепочка атаки будет максимально длинной, и на каждом шаге злоумышленника риски «попасться» будут возрастать.
Поскольку основной признак LotL-атаки – это нетипичное поведение пользователя в работе с программой или использование функций ПО в «необычном» формате – для их детекции часто применяются средства и решения, направленные на поведенческий анализ и выявление аномалий.
Николай Перетягин, менеджер по продукту NGR Softlab:
Одним из наиболее информативных с точки зрения выявления подобных атак инструментом являются решения класса UEBA. Алгоритмы ML, если они используются в данном инструменте, могут выявить отклонения в действиях контролируемого ПО. Например, обращение к внешним ресурсам по нетиповым для себя протоколам передачи данных или в нетипичное время, или установление связи с нетипичными IP-назначения и т.д. Безусловно, можно реализовать механизмы ЗПС, но в таких условиях эффективность решения бизнес-задач будет крайне низкая.
Однако, очень небольшое количество атак может быть реализовано с помощью одних лишь легитимных программ. Как правило, хакеры используют комплексный подход, применяя LotL для перемещения в инфраструктуре, которое может быть как горизонтальным, так и вертикальным.
Соответственно, наиболее уязвим для детекции злоумышленник в момент нахождения «точки входа» в инфраструктуру, поскольку внешний контур, в большинстве случаев, один из самых защищенных элементов компании. Соответственно, выявить его и начать защищаться можно и традиционными инструментами « первого порядка», к которым часто относят межсетевые экраны, песочницы и антивирусы.
[...]
Подробнее на сайте издания по ссылке.