Hva er Living-Off-The-Land-angrep og hvordan kan du stoppe dem?
Innholdsfortegnelse:
Living-off-the-land (LOTL) hackingteknikker er ikke akkurat nye, men en nylig rådgivende fra USA og dets Five Eyes-allierte har fremhevet den alvorlige trusselen de utgjør for regjeringer og organisasjoner over hele verden.
Hovedmålet med LOTL-teknikker er å hjelpe hackere med å kompromittere IT-systemer og utføre ondsinnet cyberaktivitet mot organisasjoner uten å bli fanget av sikkerhetsovervåkingsverktøy. Så, med dette i tankene, hvilke beste praksiser kan organisasjoner ta i bruk for å identifisere og redusere LOTL-angrep?
Hva rådgiveren sier
Den nylige Five Eyes-rådgivningen ble utstedt av amerikanske myndighetsorganer, inkludert Cybersecurity and Infrastructure Security Agency (CISA), NSA og FBI, i samarbeid med internasjonale partnere som UK National Cyber Security Center (NCSC) og Canadian Center for Cyber Sikkerhet (CCS). Den advarer om at LOTL-strategier hjalp kinesiske statsstøttede hackere med å starte ødeleggende cyberangrep mot leverandører av kritisk infrastruktur (CNI).
Den kinesiske hackergruppen, Volt Typhoon, brukte LOTL for å holde seg skjult inne i kritiske IT-nettverk i CNI-sektorer som kommunikasjon, energi, transport og vann og avløpsvann. Motivasjonen ser ut til å være forhåndsposisjonering i tilfelle en potensiell konflikt med USA og dets allierte.
"Gruppen er også avhengig av gyldige kontoer og utnytter sterk operasjonell sikkerhet, som til sammen gir mulighet for langsiktig uoppdaget utholdenhet," heter det. "Faktisk har de amerikanske forfatterbyråene nylig observert indikasjoner på at Volt Typhoon-aktører opprettholder tilgang og fotfeste i enkelte ofre IT-miljøer i minst fem år."
Et dypdykk i LOTL
Når de utfører LOTL-angrep, bruker cyberkriminelle vanligvis ekte verktøy som allerede er installert på kompromitterte datamaskiner. Dette lar dem utføre ondsinnet aktivitet mot organisasjoner uten at sikkerhetsteamene deres finner ut av det og griper inn.
Cyberkriminelle synes ofte denne tilnærmingen er enklere og mer skjult enn å laste ned nye verktøy eller applikasjoner til et system som brytes, ifølge Michael Clark, direktør for trusselforskning ved Sysdig.
"Verktøyene som blir utnyttet av angripere anses også som pålitelige i mange tilfeller, da de kan implementere kodesignering," sier han til ISMS.online. "Hvis verktøyet ofte brukes i offerets miljø, kan bruken av det smelte sammen med all legitim bruk."
Kennet Harpsoe, senior cyberanalytiker hos Logpoint, forklarer til ISMS.online at cyberkriminelle som lanserer LOTL-angrep er motivert av ønsket om å fremme sine ondsinnede mål ved å bruke legitime, innebygde og signerte binærfiler som allerede finnes på målets datasystemer. Han advarer om at de kan gjøre dette under alle stadier av cyber-drapskjeden, inkludert oppdagelse, utholdenhet, sideveis bevegelse eller kommando og kontroll.
Det er en rekke faktorer som gjør LOTL-angrep svært farlige for organisasjoner. For det første, fordi de bruker legitime applikasjoner og verktøy som brukes av organisasjoner, advarer Harpsoe om at konvensjonelle antivirus- og inntrengningsdeteksjonssystemer kanskje ikke identifiserer dem.
"Dette gjør dem til et verdifullt og snikende verktøy for ondsinnede aktører for å unngå oppdagelse," forklarer han.
For det andre lar LOTL-strategier hackere utføre ondsinnede digitale aktiviteter mot sine ofre uten å etterlate spor. Denne metoden er "utrolig allsidig", og gir dem flere måter å starte angrep på. Disse inkluderer kjøring av kode og muligheten til å laste ned, laste opp eller kopiere filer.
Avdekke LOTL-angrep
Selv om det kan være vanskelig for organisasjoner å oppdage LOTL-angrep, kan de ta i bruk ulike beste praksiser for å styrke nettforsvaret.
Jake Moore, global cybersikkerhetsrådgiver i ESET, anbefaler at virksomheter sikrer systemene sine ved å implementere strenge administrasjonskontroller, regelmessig utføre programvareoppdateringer og patcher, og spore nettverksaktivitet i sanntid.
Han sier til ISMS.online at atferdsbaserte sikkerhetssjekker også kan være en nyttig teknikk mot LOTL-angrep, ved å fremheve eventuelle uregelmessige digitale aktiviteter som kan tyde på når en nettkriminell misbruker et legitimt verktøy som en datamaskins register.
Han oppfordrer også arbeidsgivere til å lære opp personalet i å oppdage og redusere sikkerhetstrusler på nettet, ettersom LOTL-angrep ofte begynner gjennom taktikk for sosial ingeniørkunst som phishing-e-post.
Sean Wright, leder for applikasjonssikkerhet i Featurespace, innrømmer at det ikke er lett å redusere LOTL-angrep, men sier at patch- og sårbarhetsadministrasjonsprogrammer, overvåkingsløsninger og anomalivarsler kan gi et ekstra lag med cyberbeskyttelse.
Logpoints Harpsoe peker på fordelene ved å bygge et forsvarlig, segregert nettverk som en del av en passiv sikkerhetsstrategi. Enkle trinn som å slette ubrukte kontoer, tjenester eller porter, implementere tofaktorautentisering, begrense administratorrettigheter og nettverkssegregering kan også hjelpe organisasjoner med å minimere angrepsoverflaten til deres IT-nettverk og -systemer, legger han til.
Yossi Rachman, direktør for sikkerhetsforskning ved Semperis, sier at det første trinnet i å takle LOTL-angrep er å etablere en prosess for å identifisere systemuregelmessigheter som peker på mistenkelig aktivitet.
«Vær spesielt oppmerksom på endepunktsprosesser og drivere. Overvåk også kontinuerlig prosesskjøring, spesielt for vanlige LOLBin (Living off the Land Binaries) som PowerShell, WMIC og certutil, sier han til ISMS.online. "Gjennomgå det offentlig tilgjengelige og kontinuerlig vedlikeholdt LOLLabs prosjekt for en liste over ofte (mis)brukte binærfiler."
Han legger til at overvåking av kommandolinjeaktivitet, samt bruk av identitetsdeteksjons- og responssystemer, nettverksovervåkingsverktøy og atferdsanalyse, kan også hjelpe bedrifter med å identifisere mistenkelig atferd som tyder på at et LOTL-angrep skjer.
Kelly Indah, en teknologiekspert og sikkerhetsanalytiker hos Increditools, understreker viktigheten av informasjonsdeling for å takle dette globale problemet.
"Internasjonalt samarbeid for å dokumentere statlige motstanderes utviklende spillebøker er uvurderlig for å heve forsvar overalt hvor slike grupper neste kan vende blikket," sier hun til ISMS.online. "Sammen kan vi styrke skjoldet vårt mot selv de mest skjulte truslene."
LOTL-hackingteknikker utgjør en betydelig trussel mot organisasjoner over hele verden, enten de brukes av nasjonalstater eller økonomisk motiverte hackergrupper. Selv om disse angrepene er villedende, kan bedrifter takle dem ved å forbedre cyberhygiene og følge bransjebestemmelser.
