Атаки LotL (Living off the Land — работающие на «подножном корме»), превратились из сложной техники, ранее используемой элитными участниками хакерского сообщества, в доминирующий метод нынешних взломщиков различной квалификации. Согласно проведённому анализу 700 000 инцидентов безопасности, в 84% случаях крупных кибератак использовались методы LotL. Это является ошеломляющим показателем, который коренным образом изменил ландшафт выявления угроз компьютерным системам различного уровня сложности. Скрытые операции используют легитимные системные инструменты и доверенные процессы для выполнения вредоносных действий, что делает их практически невидимыми для традиционных средств защиты.
Одного обнаружения уже недостаточно, поскольку современные угрозы становятся все более скрытными. Сегодня злоумышленники с большей вероятностью “войдут в систему, а не взломают её”, используя украденные учётные данные, законные инструменты и собственный доступ, чтобы незаметно внедриться в среду своей цели. Это делает традиционные стратегии обеспечения безопасности недостаточными. Продвижение вперёд начинается не с увеличения количества предупреждений, а с сокращения самой зоны атаки.
Используя в качестве оружия те самые инструменты, которые предназначены для защиты систем и управления ими, такие как PowerShell, инструментарий управления Windows (WMI), легитимные бинарный код и административные утилиты, злоумышленники создали новую парадигму, в которой грань между легитимным администрированием и вредоносной деятельностью практически исчезла. Для специалистов по безопасности, администраторов серверного оборудования, системных администраторов и руководителей ИТ-служб понимание атак living-off-the-land теперь является обязательным. Это критически важно для выживания в сегодняшнем ландшафте угроз.
Сам принцип представляет собой фундаментальный сдвиг в методологии киберпреступности. Вместо того, чтобы развёртывать пользовательское вредоносное ПО, которое могут обнаружить и заблокировать средства безопасности, злоумышленники используют легитимное программное обеспечение, собственные системные утилиты и доверенные административные инструменты, уже присутствующие в целевой среде. Эти предустановленные инструменты, изначально разработанные для системного администрирования, устранения неполадок и законных бизнес-операций, становятся оружием в неправильных руках.
Основные компоненты LotL и современные векторы атак.
Арсенал среды Windows:
PowerShell — наиболее эффективный инструмент, способный выполнять скрипты в памяти, загружать полезные данные и обеспечивать сохранение;
Инструментарий управления Windows (WMI) — используется для перемещения по горизонтали, разведки и поддержания постоянной скрытности;
Утилиты командной строки: net.exe (сетевые команды), reg.exe (работа с реестром), sc.exe (управление службами);
Инструменты для передачи файлов: certutil.exe (кодирование/декодирование), curl.exe и tar.exe (современные дополнения Windows 10+);
Системные планировщики: планировщик заданий, schtasks.exe служащие для обеспечения стабильности системы;
Устаревшие инструменты: rundll32.exe, mshta.exe и bitsadmin.exe которые устарели, но всё ещё встречаются в старых системах;
Ландшафт Linux/Unix:
Среды оболочек: Bash, zsh и скрипты оболочек для автоматизированных атак;
Системные коды: curl, wget, nc (netcat) для связи и передачи данных;
Задания Cron: механизмы исполнения скриптов по расписанию для записи бэкапов;
SSH-туннелирование: скрытые каналы связи и горизонтальное перемещение по привилегиям;
Инструменты обработки текста: awk, sed, grep для извлечения и обработки данных;
Преимущество скрытности
Что делает атаки LotL исключительно опасными, так это их неотъемлемая легитимность. Эти инструменты несут действительные цифровые подписи от Microsoft, Apple или дистрибутивов Linux. Они обладают повышенными привилегиями по умолчанию и занесены в белый список приложений безопасности. Когда системный администратор запускает PowerShell для проверки состояния системы, и когда злоумышленник использует тот же PowerShell для извлечения данных, цифровой след выглядит почти идентичным. Эта легитимность создаёт парадокс обнаружения: службы безопасности не могут просто заблокировать эти инструменты, не нарушая нормальные бизнес-операции. Проблема заключается не в идентификации самих инструментов, а в различении вредоносных схем использования от законных административных действий, различие, которое традиционные решения безопасности на основе сигнатур с трудом выполняют.
Взрывной рост такого типа хакерских проникновений обусловлен их непревзойдённой эффективностью против современных инфраструктур безопасности. Пока организации вкладывают миллионы в передовое обнаружение угроз, защиту конечных точек и обучение по вопросам безопасности, методы LotL систематически обходят эти защиты, эксплуатируя фундаментальное предположение: что легитимные инструменты изначально безопасны.
Финансовые и операционные последствия: большие объёмы утечки данных: у злоумышленников иногда есть месяцы до обнаружения их несанкционированного проникновения в систему — этого хватает, чтобы не только получить доступ ко многим другим сетевым службам и выделенным серверам, но извлечь почти всю конфиденциальную информацию. Нарушения соответствия правилам сохранения конфиденциальной информации часто приводят к нормативным штрафам. Кроме того, опубликование случаев взлома приводит к ущербу для репутации компании.
Возможности обхода защиты, которые меняют представление о скрытности.
Традиционные слепые зоны безопасности:
Обход антивирусной защиты: отсутствие вредоносных сигнатур, которые можно обнаружить при использовании подписанных, легитимных двоичных файлов;
Проблемы обнаружения и реагирования на конечные точки (EDR): базовые поведенческие показатели сталкиваются с трудностями при использовании инструментов как законно, так и злонамеренно;
Пробелы в мониторинге сети: для связи по данной методике хакеры часто используют стандартные протоколы (HTTPS, DNS), которые выглядят как обычный трафик;
Ограничения анализа журнала: административные действия создают ожидаемые записи журнала, маскируя вредоносные шаблоны;
Расширенные механизмы сохранения: в отличие от традиционных вредоносных программ, которые устанавливают постоянные файлы, атаки LotL обеспечивают сохранение с помощью:
— изменения реестра с помощью reg.exe для создания записей автозапуска;
— запланированные задачи через schtasks.exe для периодического выполнения;
— установка служб через sc.exe для сохранения на системном уровне;
— подписки на события WMI для выполнения на основе триггера без артефактов файловой системы.
PowerShell доминирует в среде LotL благодаря своей глубокой системной интеграции и возможностям создания сценариев. Злоумышленники используют его на нескольких этапах атаки, что делает его наиболее важным инструментом для мониторинга в средах Windows.
Первоначальный доступ и разведка — преступники используют возможности веб-клиента PowerShell для загрузки и выполнения вредоносных скриптов непосредственно в памяти, не оставляя заметных следов деятельности в файловой системе. Встроенные в инструмент функции системного анализа позволяют взломщику собирать исчерпывающую информацию о целевых системах, включая запущенные процессы, установленное программное обеспечение и конфигурации безопасности. Эта разведывательная фаза выполняется исключительно с помощью легитимных командлетов PowerShell, что делает обнаружение чрезвычайно сложным.
Установление легитимизации получения данных: PowerShell отлично справляется с созданием механизмов постоянного доступа по нескольким направлениям. Преступники создают записи автозапуска реестра, используя встроенные функции редактирования реестра, устанавливают запланированные задачи для периодического выполнения и используют подписки на события WMI для поддержания доступа без традиционной процедуры на основе сохранения/обновления файлов. Эти методы обеспечивают постоянный доступ к системе на уровне администратора даже после перезагрузки системы, сохраняя при этом скрытность работы.
Утечка данных: широкие сетевые возможности этого инструмента позволяют осуществлять сложные операции по эксфильтрации данных с использованием встроенных функции кодирования для маскировки самого факта кражи. Кроме того, используются возможности разрешения DNS для скрытой передачи информации и взаимодействия с легитимными API облачного хранилища, куда загружается украденная информация. Благодаря такому подходу трафик выглядит как обычные деловые коммуникации или сохранение резервных копий системы.
Эксплуатация инструментария управления Windows (WMI) обеспечивает расширенный доступ к системе с минимальным вмешательством, что делает его идеальным для скрытых операций в корпоративных сетях. Распределённые вычислительные возможности WMI позволяют злоумышленникам выполнять команды на удалённых системах в сети. Эта возможность позволяет субъектам угроз действовать горизонтальным перемещением по присоединённым к основному серверу компьютерам с использованием легитимных административных протоколов. Техника выглядит как стандартная деятельность по системному администрированию, что делает её почти невозможной для отличия от авторизованных операций удалённого управления. А расширенные механизмы сохранения: представляют собой один из самых сложных методов сохранения, доступных хакерам. Эти механизмы создают постоянные бэкдоры, которые активируются на основе определённых системных событий, шаблонов доступа к файлам или сетевых условий. В отличие от традиционных методов сохранения, события WMI оставляют минимальные криминалистические доказательства и выдерживают перестройку системы и антивирусные сканирования.
Интерфейс командной строки редактора реестра Windows предоставляет взломщикам комплексные возможности управления системой, когда они используют эти инструменты для сбора учётных данных путём извлечения сохранённых паролей и токенов аутентификации из записей реестра. Они реализуют обходные пути защиты, отключая функции безопасности посредством изменений в реестре и обеспечивая постоянство новыми записями скриптов автозапуска и конфигураций служб.
Встроенные утилиты управления сетевыми взаимодействиями позволяют злоумышленникам манипулировать конфигурациями сети, создавать неавторизованные учётные записи пользователей и устанавливать каналы удалённого доступа. Эти средства способствуют повышению привилегий путём добавления поддельных учётных записей в административные группы, позволяя обходить защиту с помощью манипулирования правилами брандмауэра, чтобы пропускать вредоносный трафик.
Утилиты управления службами Windows позволяют злоумышленникам внедрять постоянные бэкдоры в качестве законных служб системы. Этот метод обеспечивает доступ на системном уровне и устойчивость при перезагрузках. Используются эти средства и для нарушения работы служб безопасности, останавливая или отключая защитные механизмы, создавая возможности для дополнительных вредоносных действий.
Утилита управления сертификатами Windows стала предпочтительным инструментом для злоумышленников из-за её двойной функциональности: в качестве менеджера сертификатов и механизма передачи файлов. Преступники используют её функции кэширования URL-адресов для загрузки вредоносных программ непосредственно в целевые системы. Возможности кодирования и декодирования этого инструмента обеспечивают встроенные методы обфускации (запутывания кода, сохраняя при этом его функциональность), которые помогают эффективно обходить системы обнаружения.
Windows 10 (как и более поздние версии) включают собственные инструменты HTTP-клиента, которые злоумышленники легко используют для прямой загрузки полезных нагрузок. Эти инструменты позволяют манипулировать сжатыми архивами для извлечения вредоносных полезных нагрузок и облегчают взаимодействие API с инфраструктурой управления и контроля. Легитимность этих инструментов делает их сетевые коммуникации похожими на стандартные системные обновления или административные задачи.
Среды оболочки Unix и Linux предоставляют злоумышленникам мощные возможности скриптинга для автоматизированного выполнения атак. Хакеры используют bash и другие интерпретаторы оболочек для выполнения резидентных атак в памяти, которые не оставляют следов файловой системы. Манипулирование заданиями Cron обеспечивает постоянный доступ посредством запланированного выполнения задач, в то время как обширный набор системных утилит обеспечивает комплексные возможности для атак. Собственные утилиты Linux предлагают обширные возможности для работы в сети и обработки данных, которые систематически эксплуатируются злоумышленниками. Туннелирование SSH обеспечивает скрытые каналы связи для операций управления/контроля и горизонтального перемещения. Инструменты обработки текста позволяют выполнять сложное извлечение учётных данных и манипулирование журналами, в то время как сетевые утилиты облегчают внутреннюю разведку и обнаружение системы.
Основная проблема при обнаружении методов LotL заключается в анализе контекста и поведения, а не в методах обнаружения на основе сигнатур. Необходимо сосредоточиться на контекстных аномалиях, а не на самом использовании инструментов. Анализ на основе времени выявляет использование административных инструментов за пределами обычных рабочих часов. Анализ контекста пользователя выявляет неадминистративных пользователей, выполняющих привилегированные команды. Мониторинг взаимоотношений процессов выявляет необычные цепочки родительских и дочерних процессов, которые указывают на вредоносную активность. Анализ аргументов командной строки выявляет подозрительные параметры или запутанные команды, которые отличаются от стандартного административного использования.
Надо вручную отслеживать критические поведенческие аномалии: выполнение PowerShell закодированных команд или загрузку контента из внешних источников, использование WMI для горизонтального перемещения между системами, изменения реестра, происходящие вне контекстов установки программного обеспечения, запланированные задачи, созданные неадминистративными процессами, и законные инструменты, порождающие неожиданные дочерние процессы. Эти индикаторы, при корреляции с базовыми показателями поведения пользователей и бизнес-контекстом, обеспечивают основу для эффективного обнаружения атак LotL.
Продвинутые группы по борьбе с постоянными киберугрозами сделали проверку на эти методы внедрения хакеров своей стандартной операционной процедурой. Опытные специалисты по безопасности понимают, что чем дольше злоумышленники остаются незамеченными, тем больше ценных разведданных они могут собрать. Переход от пользовательских вредоносных программ к методам LotL представляет собой стратегическую эволюцию в кибервойне, где настойчивость и скрытность преобладают над сложными техническими эксплойтами. Для организаций это означает, что традиционные модели безопасности в корне недостаточны против противников, которые уже нарушили периметр и действуют с административными привилегиями.
Традиционные модели безопасности фокусируются на предотвращении первоначального взлома с помощью брандмауэров, безопасности электронной почты и защиты конечных точек. Однако реальность современных ландшафтов угроз — где социальная инженерия или эксплойты нулевого дня выходят за рамки сохранения безопасности периметра, регулярно обходя защиту такого рода, а поэтому требуют иного подхода. Организации должны предполагать, что злоумышленники уже получили первоначальный доступ и действуют в сети, используя законные административные инструменты. Обнаружение и реагирование на атаки living-off-the-land требует фундаментального сдвига парадигмы от традиционной безопасности к методологии предполагаемого осуществлённого уже взлома системы.