Wykorzystanie taktyki i narzędzi Living off the Land (LotL) przez cyberprzestępców jest ostatnio rosnącą tendencją bezpieczeństwa cybernetycznego. W tym artykule wyjaśnimy skąd wziął się termin LotL oraz opiszemy jakie metody ataku obrali współcześni cyberprzestępcy, aby jak najbardziej mogli pozostać niezauważeni.

“Living off the Land” – autor Charlotte Jarvis

Początki LotL

Oprócz zastosowania terminu „Living off the Land” w świecie cyberprzestępczym w Internecie możemy znaleźć pod tym tytułem piosenkę autorstwa Justina Timberlake’a oraz książkę Charlotte Jarvis. W dosłownym tłumaczeniu na język polski „Living of the Land” oznacza życie z pracy na roli (życie z zasobów naturalnych). Dlaczego termin ten zaszczepił się w Świecie cyberprzestępczości i co ma wspólnego z technologiami informatycznymi?

Jest to forma ataku, która wykorzystuje „naturalne zasoby” systemu operacyjnego – wbudowane w niego narzędzia systemowe używane sa używane jako backdoor’y.
Okazuje się, że koncepcja LotL wcale nie jest nowa (istnieje już od 25 lat) i była już wcześniej powszechne stosowana (wspomina się o niej w kilku artykułach i e-zinach, takich jak Phrack). Jednak w ostatnich latach termin powrócił i zyskał na znaczeniu. Stał się wykorzystywany w tak zwanych atakach bezplikowych, o których często się mówi, że stanowią podzbiór ataków LotL.

Współcześnie pod pojęciem LotL jest często określane wykorzystanie wbudowanych w system operacyjnych narzędzi i ich możliwości do uruchamiania kodu w pamięci komputera. O wykorzystaniu narzędzi do uruchamiania kodu w pamięci komputera pisaliśmy w technicznym artykule tutaj.


Działanie w ukryciu – powody użycia LotL przez cyberprzestępców

Atakujący, którzy stosują taktykę LotL, używają zaufanych, gotowych do użycia i wstępnie zainstalowanych narzędzi systemowych. Może to być dużym zaskoczeniem, ale istnieje ponad 100 narzędzi systemowych Windows, które mogą być wykorzystywane przez cyberprzestępców! Każde z nich może być użyte do wykonania złośliwej komendy, która spowoduje pobranie ładunku (skryptu) i w kolejnym kroku wykonania infekcji komputera. Cyberprzestępcy używają tych narzędzi z kilku powodów:


1.Trudność w rozpoznawalności przez specjalistyczne oprogramowanie

Pierwszy z nich i najważniejszy ma na celu ukrycie aktywności złośliwego oprogramowania przed specjalistycznym oprogramowaniem do bezpieczeństwa. Ponieważ malware używa wbudowanych w system komend i kodu uruchamianego w pamięci komputera, cyberprzestępcy mają nadzieję, że złośliwa aktywność poleceń zostanie ukryta w morzu legalnych procesów odpalanych w Windows.


2. Niezidentyfikowana wcześniej przez specjalistów od zabezpieczeń metoda ataku

Drugi to niezidentyfikowana wcześniej metoda ataku dla współczesnych reasercherów bezpieczeństwa. Oprócz tego, że atakujący mogą działać w ukryciu, korzystanie z narzędzi LotL oznacza, że badaczom od zabezpieczeń trudno jest ustalić w momencie wykrycia podejrzanej aktywności kto za nią odpowiada. Inaczej jest, jeśli do włamania do komputerów używany jest exploit (program „exe” lub biblioteka „dll”), którego twórcę można jakoś określić lub zabezpieczyć się przed nim używając IoC, a inaczej jest, jeśli używana jest wbudowana komenda systemowa. Grupy hackerskie są zazwyczaj identyfikowane przez złośliwe oprogramowanie, z którego korzystają, ponieważ często używają niestandardowego szkodliwego oprogramowania. Wiedza o tym ułatwia nie tylko identyfikację, ale również określenie czy za atakiem i jego aktywnością stoją określone narzędzia. Jeśli jednak atak jest przeprowadzany przy użyciu narzędzi LotL, znacznie trudniej jest ustalić, kto może być źródłem takiej aktywności.


3. Trudność w znalezieniu nowych luk zero-day i dostępność w białej liście

Inną przyczyną wzrostu aktywności LotL przez cyberprzestępców jest ograniczona i zmniejszona dostępność luk zero-day oraz trud wymagany do ich znalezienia. Dzieje się tak, ponieważ nowe ulepszenia zabezpieczeń przeglądarek oraz systemów operacyjnych znacznie utrudniły znalezienie takich luk. Ostatni czas nie był łaskawy dla Microsoftu i zaobserwowaliśmy w nim nowe zero-day’e wyprodukowane przez anonimowego hackera o nazwie sandboxescaper, który zamiast je zgłosić to opublikował je w sieci.
Również programy nagród za błędy tzw. „Bug bounty” wyeliminowały łatwe do znalezienia luki, dzięki czemu tylko najbardziej zaangażowani badacze i atakujący mogą odkryć krytyczne podatności. W niektórych scenariuszach narzędzia systemowe są na białej liście i mogą być jedynym procesem dozwolonym do uruchomienia w zabezpieczonym systemie, co czyni je jedynymi narzędziami dostępnymi dla atakującego.

Połączenie tych trzech przesłanek powoduje, że cyberprzestępcy coraz częściej zaczynają używać narzędzi LotL żeby atakować systemy korporacyjne.


Jakie narzędzia są najpopularniejsze wśród ataków LotL?

W naszych artykułach na Kapitanie Hacku opisywaliśmy różne metody ataków wykorzystujące wbudowane narzędzia systemowe takie jak: CertUtil.exe, MsBuild.exe Powershell.exe, RunDll32.exe i inne. Wśród legalnych narzędzi często wykorzystywanych przez cyberprzestępców do ataków LotL możemy wymienić najpopularniejsze takie jak:

  • Skrypty PowerShell
  • Skrypty VB
  • WMI
  • PsExec

Wykorzystanie tych narzędzi, co jest niepokojące, najczęściej nie jest monitorowanie przez organizacje. Narzędzia te są domyślnie włączone na komputerach użytkowników, ponieważ mają legalne zastosowania na urządzeniach, więc administratorzy i oprogramowanie zabezpieczające mogą mieć trudności z określeniem, kiedy są wykorzystywane do szkodliwych celów. Korzystając tylko z narzędzi LotL, atakujący mogą uzyskać zdalny dostęp do urządzenia, wykraść dane lub zakłócić jego działanie – bez konieczności używania złośliwego oprogramowania.


Przykłady ataków LotL

Przykładem ataków jakie miały miejsce z wykorzystaniem narzędzi wbudowanych w system operacyjny i zarazem najsłynniejszych z ostatnich przykładów cyberataków jest Petya / NotPetya. Atak został przeprowadzony w 2017 roku i trafił na pierwsze strony gazet na całym Świecie. Źródłem było popularne na Ukrainie oprogramowanie do księgowości. Petya używała poleceń systemowych w procesie infekcji komputerów, gdzie po ich wykonywaniu pobierała na komputer skompilowaną wersję modułu LSADump z Mimikatz. Moduł Mimikatz posłużył do pobrania poświadczeń zalogowanych użytkowników z pamięci operacyjnej Windows. Poświadczenia tych kont zostały następnie wykorzystane do rozpowszechnienia malware na inne komputery w sieci poprzez udział administracyjny Admin$ i użyciem exploita EternalBlue (podatnosć SMBv1) wykorzystywanego w narzędziach NSA, które wcześniej wyciekły do sieci. Gdy zagrożenie dostało się do zdalnego systemu, wykonało kolejne polecenia zdalne tym razem za pomocą pobranej instancji narzędzia PsExec.exe i komend z wiersza poleceń (WMI). Petya użyła narzędzi LotL do rozprzestrzeniania się w sieciach, ale często używa się narzędzi systemowych do fazy rozpoznania w sieci np. net.exe.

Inne ataki wykorzystujące wbudowane narzędzia systemowe to Tick, Chafer i Greenbug oraz kampania Thrip. Thrip wykorzystał kombinację narzędzi LotL i niestandardowego szkodliwego oprogramowania do przeprowadzenia kampanii cyberszpiegowskiej ukierunkowanej na cele działające w sektorach telekomunikacji i obrony. Wśród narzędzi LotL wykorzystywanych przez Thrip były PowerShell, PsExec i Mimikatz.


Jak się chronić przed LotL?

W celu wykrycia i zabezpieczenia się przed aktywnością ataków LotL powinniśmy w pierwszej kolejności dobrze rozplanować architekturę bezpieczeństwa sieci, zapewnić separację jej systemów i wydzielić (fizycznie i logicznie) podsieci szczególnie narażone na atak (separacja sieci biurowej, produkcyjnej i testowej). Dzięki temu drogi przejść pomiędzy sieciami wykorzystujące wektor ataku będą trudniejsze do wykonania przez cyberprzestępców, a tym samym będzie można szybciej wykryć niedozwolony ruch niż miałoby to miejsce w sieci otwartej. Powinniśmy także podjąć następujące kroki w organizacji, aby zmniejszyć ryzyko narażenia sieci lub urządzeń na ataki cyberprzestępców:

  • Przeprowadzać cykliczne audyty organizacji, dzięki którym możemy się dowiedzieć o zagrożeniach wynikających z nieprawidłowości,
  • Zachować ostrożność podczas otrzymywania i otwierania niechcianych, nieoczekiwanych lub podejrzanych wiadomości e-mail – w firmie powinniśmy podnieść świadomość pracowników w kontekście rozpoznawania takich podejrzanych maili,
  • Uważać na załączniki Microsoft Office, które zachęcają użytkowników do włączania makr,
  • Zaimplementować białą listę dozwolonych aplikacji używanych przez użytkowników (np. implementacja funkcji AppLocker) – zaimplementować należycie systemy blokowania przed uruchomieniem niedozwolonych aplikacji – nawet jeśli komuś uda się pobrać aplikację i ją zdekodować, aplikacja nie będzie w stanie się uruchomić na systemie,
  • Wyłączyć PowerShell tam, gdzie nie jest to konieczny do używania. W niektórych organizacjach może być to trudne, ponieważ wiele z funkcji oprogramowania do administracji wykorzystuje do pracy PowerShell,
  • Zabronić komunikacji sieciowej systemowych aplikacji (ok 100 wbudowanych aplikacji) z Internetem oraz monitorować ich wykorzystanie np. za pomocą SysMON,
  • Monitorować aktywność na plikach (w szczególności aktywności użytkowników na plikach w folderze C:\Windows\system32) – będziemy mieć ślad, że powstają określonego typu pliki lub jest zmieniana ich nazwa,
  • Stosować inteligentne firewalle brzegowe z możliwością dekodowania Base64,
  • Monitorować podejrzane logowania i zmiany użytkowników w tym aktywności z KILLCHAIN,
  • Włączyć zaawansowane funkcje zabezpieczeń konta, takie jak 2FA i powiadomienie logowania jeśli są dostępne,
  • Używać silnych haseł do wszystkich kont w organizacji,
  • Po zakończeniu zawsze wylogowywać się z sesji (patrz przykład z zagrożeniem CVE-2019-9510),
  • Zastosować się do innych zaleceń z naszego artykułu,

Powyższe kroki nie zagwarantują nam 100% skuteczności przed ochroną LotL, ale z pewnością znacznie zniwelują możliwości przeprowadzania ataku. Cyberprzestępcy non stop wymyślają coraz to nowe metody pozwalające żyć w świecie LotL, w tym wykrywane są nowe zero-day pozwalające łamać zabezpieczenia. Dlatego my na Kapitanie Hacku nie przestajemy Was o nich informować.