Hvad er Living-Off-The-Land-angreb, og hvordan kan du stoppe dem?
Indholdsfortegnelse:
Living-off-the-land (LOTL) hackingteknikker er ikke ligefrem nye, men en seneste rådgivning fra USA og dets Five Eyes-allierede har fremhævet den alvorlige trussel, de udgør for regeringer og organisationer verden over.
Det primære formål med LOTL-teknikker er at hjælpe hackere med at kompromittere it-systemer og udføre ondsindet cyberaktivitet mod organisationer uden at blive fanget af sikkerhedsovervågningsværktøjer. Så med dette i tankerne, hvilken bedste praksis kan organisationer vedtage for at identificere og afbøde LOTL-angreb?
Hvad rådgiveren siger
Den seneste Five Eyes-rådgivning blev udsendt af amerikanske regeringsorganer, herunder Cybersecurity and Infrastructure Security Agency (CISA), NSA og FBI, i samarbejde med internationale partnere såsom UK National Cyber Security Center (NCSC) og Canadian Center for Cyber Sikkerhed (CCS). Det advarer om, at LOTL-strategier hjalp kinesiske statssponsorerede hackere med at lancere ødelæggende cyberangreb på amerikanske udbydere af kritisk infrastruktur (CNI).
Den kinesiske hackergruppe, Volt Typhoon, brugte LOTL til at holde sig skjult inde i kritiske it-netværk i CNI-sektorer såsom kommunikation, energi, transport og vand og spildevand. Dets motivation ser ud til at være præ-positionering i tilfælde af en potentiel konflikt med USA og dets allierede.
"Gruppen stoler også på gyldige konti og udnytter stærk operationel sikkerhed, som kombineret giver mulighed for langsigtet uopdaget persistens," lyder det. "Faktisk har de amerikanske forfatterbureauer for nylig observeret tegn på, at Volt Typhoon-aktører har bevaret adgang og fodfæste i nogle ofre IT-miljøer i mindst fem år."
Et dybt dyk ned i LOTL
Når de udfører LOTL-angreb, udnytter cyberkriminelle typisk ægte værktøjer, der allerede er installeret på kompromitterede computere. Dette giver dem mulighed for at udføre ondsindet aktivitet mod organisationer, uden at deres sikkerhedsteam finder ud af det og griber ind.
Cyberkriminelle finder ofte, at denne tilgang er enklere og mere skjult end at downloade nye værktøjer eller applikationer til et brudt system, ifølge Michael Clark, direktør for trusselsforskning hos Sysdig.
"De værktøjer, der udnyttes af angribere, betragtes også som betroede i mange tilfælde, da de kan implementere kodesignering," siger han til ISMS.online. "Hvis værktøjet er almindeligt anvendt i ofrets miljø, kan dets brug falde sammen med alle de lovlige anvendelser."
Kennet Harpsoe, senior cyberanalytiker hos Logpoint, forklarer til ISMS.online, at cyberkriminelle, der lancerer LOTL-angreb, er motiveret af ønsket om at fremme deres uhyggelige mål ved hjælp af legitime, indbyggede og signerede binære filer, der allerede findes på målets computersystemer. Han advarer om, at de kan gøre dette under alle stadier af cyberdrab-kæden, inklusive opdagelse, vedholdenhed, lateral bevægelse eller kommando og kontrol.
Der er en række faktorer, der gør LOTL-angreb meget farlige for organisationer. For det første, fordi de bruger legitime applikationer og værktøjer, der bruges af organisationer, advarer Harpsoe om, at konventionelle antivirus- og indtrængningsdetektionssystemer muligvis ikke identificerer dem.
"Dette gør dem til et værdifuldt og snigende værktøj for ondsindede aktører til at undgå opdagelse," forklarer han.
For det andet giver LOTL-strategier hackere mulighed for at udføre ondsindede digitale aktiviteter mod deres ofre uden at efterlade spor. Denne metode er "utrolig alsidig", hvilket giver dem flere måder at starte angreb på. Disse omfatter kodeudførelse og muligheden for at downloade, uploade eller kopiere filer.
Afsløring af LOTL-angreb
Selvom det kan være svært for organisationer at opdage LOTL-angreb, kan de vedtage forskellige bedste praksisser for at styrke cyberforsvaret.
Jake Moore, global cybersikkerhedsrådgiver hos ESET, anbefaler, at virksomheder sikrer deres systemer ved at implementere strenge administrationskontroller, regelmæssigt udføre softwareopdateringer og patches og spore netværksaktivitet i realtid.
Han fortæller til ISMS.online, at adfærdsbaserede sikkerhedstjek også kan være en nyttig afbødningsteknik mod LOTL-angreb ved at fremhæve eventuelle uregelmæssige digitale aktiviteter, der kan tyde på, når en cyberkriminel misbruger et legitimt værktøj som en computers register.
Han opfordrer også arbejdsgivere til at uddanne personalet i at spotte og afbøde online sikkerhedstrusler, da LOTL-angreb ofte begynder gennem social engineering-taktikker såsom phishing-e-mails.
Sean Wright, chef for applikationssikkerhed hos Featurespace, indrømmer, at det ikke er let at afbøde LOTL-angreb, men siger, at patch- og sårbarhedsstyringsprogrammer, overvågningsløsninger og anomalivarsler kan give et ekstra lag af cyberbeskyttelse.
Logpoints Harpsoe peger på fordelene ved at bygge et forsvarligt, adskilt netværk som en del af en passiv sikkerhedsstrategi. Simple trin som sletning af ubrugte konti, tjenester eller porte, implementering af to-faktor-autentificering, begrænsning af administratorrettigheder og netværksadskillelse kan også hjælpe organisationer med at minimere angrebsoverfladen på deres it-netværk og -systemer, tilføjer han.
Yossi Rachman, direktør for sikkerhedsforskning hos Semperis, siger, at det første skridt i at tackle LOTL-angreb er at etablere en proces til at identificere systemuregelmæssigheder, der peger på mistænkelig aktivitet.
"Vær særlig opmærksom på slutpunktsprocesser og drivere. Overvåg også løbende procesudførelsen, især for almindelige LOLBin (Living off the Land Binaries) som PowerShell, WMIC og certutil,” siger han til ISMS.online. "Gennemgå det offentligt tilgængelige og løbende vedligeholdt LOLLabs projekt for en liste over almindeligt (mis)brugte binære filer."
Han tilføjer, at overvågning af kommandolinjeaktivitet samt brug af identitetsdetektions- og responssystemer, netværksovervågningsværktøjer og adfærdsanalyser også kan hjælpe virksomheder med at identificere mistænkelig adfærd, der tyder på, at et LOTL-angreb finder sted.
Kelly Indah, en teknologiekspert og sikkerhedsanalytiker hos Increditools, understreger vigtigheden af informationsdeling for at tackle dette globale problem.
"Internationalt samarbejde om at dokumentere statsfjenders udviklende spillebøger er uvurderligt for at rejse forsvar overalt, hvor sådanne grupper næste gang vender blikket," siger hun til ISMS.online. "Sammen kan vi styrke vores skjold mod selv de mest skjulte trusler."
LOTL-hackingteknikker udgør en betydelig trussel mod organisationer over hele kloden, uanset om de bruges af nationalstater eller økonomisk motiverede hackergrupper. Selvom disse angreb er vildledende, kan virksomheder tackle dem ved at forbedre cyberhygiejnen og følge industriens bedste praksis.
