Статья LOtL-атаки и как им противостоять: эффективная интеграция для максимальной защиты

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.672
Репутация
52.902
Реакции
52.754
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Как всего один ресурс может качественно улучшить безопасность вашей сети.

image


Атаки типа «Living Off the Land» или LOtL-атаки подразумевают использование злоумышленниками встроенных системных утилит, скриптовых языков или доверенных приложений вместо того, чтобы прибегать к стороннему вредоносному коду.
Целью таких атак является значительное затруднение их обнаружения с помощью традиционных методов обнаружения.

Важность раннего обнаружения: предотвращение ущерба от LOtL-атак

Поскольку выявление LOtL-атак может быть очень сложной задачей, злоумышленники могут долгое время скрытно находиться в чужих системах, перекачивать конфиденциальные данные или перемещаться по сети. А когда компрометация обнаружится, будет уже слишком поздно.
Именно поэтому, чтобы предотвратить потенциальную утечку данных и защитить важные активы, включая интеллектуальную собственность, личную информацию и другие конфиденциальные данные от несанкционированного доступа или воздействия, крайне важно иметь эффективные методы своевременного обнаружения LOTL-атак, в том числе способы автоматизированного противодействия им.

Что такое LOLBaS Project и как он может помочь в обеспечении эффективной защиты?

Нашим постоянным читателям, вполне возможно, уже известна аббревиатура LOLBaS. Обычно под ней подразумевается более конкретное подмножество LoTL-атак, также эксплуатирующих уже имеющиеся в целевой системе инструменты.
Основное отличие от простых LOtL-атак состоит в том, что LOLBaS-атаки фокусируются на использовании бинарных файлов (исполняемых файлов, LOLBins) и скриптов (сценариев) для осуществления атак.

LOLBaS Project является одноимённым каталогом, разработанным независимыми исследователями, в котором задокументированы все известные двоичные файлы, сценарии и библиотеки Windows, которые можно использовать для выполнения LOtL-атак.
В репозитории LOLBaS Project все доступные инструменты LOLBins можно импортировать в качестве индикаторов в специализированное ПО для автообнаружения угроз. Каждый LOLBin-инструмент на сайте содержит следующую информацию:

  • Название файла;
  • Путь расположения;
  • Тип, функционал, поведение, индикаторы обнаружения;
  • Ссылка MITRE ATT&CK на соответствующие шаблоны атак.

Использование LOLBaS Project для автоматического анализа

Идея оперативного противодействия LOtL- и LOLBaS-атакам состоит в том, чтобы в автоматическом режиме проверять, имеет ли предоставленный аргумент командной строки LOLBin сходство с известными вредоносными шаблонами, описанными в репозитории LOLBaS Project.
Сравнивая данный аргумент с задокументированными шаблонами потенциально вредоносных действий, возможно выявить любое потенциально зловредное поведение, связанное с LOLBin-инструментами.
Такой анализ помогает обеспечить безопасность и целостность системных операций за счёт упреждающего обнаружения потенциальных угроз.

Конкретные действия и рекомендации для противодействия LOLBaS-атакам при помощи LOLBaS Project

1. Интеграция с IDS/IPS
Для эффективной защиты от LOLBaS необходимо интегрировать данные из LOLBaS Project в уже используемые системы обнаружения и предотвращения вторжений (IDS/IPS).
Для этого можно использовать готовые правила сигнатурного обнаружения, которые доступны на сайте репозитория, или создать свои собственные правила на основе информации о различных бинарных файлах, скриптах и библиотеках, которые могут быть использованы во вред в конкретной системе.
2. Автообновление данных
Если всё же было решено использовать готовые сигнатурные правила, рекомендуется настроить их автоматическое обновление из LOLBaS Project с помощью специальных скриптов или инструментов.
Это позволит оперативно получать информацию о новых или изменённых индикаторах компрометации, связанных с LOLBaS-атаками, и применять соответствующие защитные меры.
3. Мониторинг подозрительных LOLBins
Также важно регулярно мониторить активность подозрительных бинарных файлов, скриптов и библиотек на своих системах с помощью инструментов аудита и логирования.
Это позволит обнаруживать необычное поведение или аномалии, свидетельствующие о возможной компрометации системы через LOLBaS-атаку.
4. Ограничение доступа
С помощью инструментов контроля приложений или списков разрешений/запретов (whitelisting/blacklisting) стоит заранее ограничить доступ к определённым бинарным файлам, скриптам и библиотекам в своих системах. Возможно, это будет не лишним сделать для потенциально опасных файлов, которые не нужны для корректной работы системы.
Такой ход позволит предотвратить запуск или выполнение нежелательных или вредоносных программ и скриптов, которые могут быть использованы для LOLBaS-атак.
5. Прокачка кибергигиены персонала
Крайне важно обучать сотрудников организации основам информационной безопасности и правилам безопасного поведения в сети, а также регулярно проверять их знания с помощью тестирования или симуляции атак.
Это позволит снизить риск компрометации системы через фишинг или социальную инженерию, которые могут быть использованы для распространения вредоносных скриптов, связанных с LOLBaS.

Заключение

Использование возможностей LOLBaS Project для анализа командной строки в сочетании с продвинутыми IDS/IPS-решениями обеспечивает надёжный подход к повышению безопасности и обнаружению потенциальных угроз.
LOLBaS Project служит ценным ресурсом для документирования законных двоичных файлов и скриптов, которые потенциальные злоумышленники могут использовать для методов Living Off The Land.
Интеграция данных из LOLBaS Project в решения по кибербезопасности позволяет беспрепятственно использовать репозиторий в качестве надёжного сборника правил, обеспечивая эффективный анализ и выявление большинства подозрительных действий.

Используя подобную комбинацию, любые организации могут ещё больше укрепить свою безопасность и оставаться на шаг впереди потенциальных злоумышленников в постоянно меняющейся сфере кибербезопасности.






 
  • Теги
    lotl-атака вредоносный код заражение
  • Сверху Снизу