Taktyka oraz narzędzia Living Off the Land (LOtL) cieszą się coraz większym zainteresowaniem wśród cyberprzestępców, w tym podmiotów sponsorowanych przez państwa.
Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) we współpracy z partnerami międzynarodowymi opublikowała właśnie kompleksowe porady dotyczące ograniczania ryzyka ataku LOtL. Poniżej postaraliśmy się je opisać.
Krótko o LoTL
O samym pojęciu Living Off the Land (LOtL) pisaliśmy na Kapitanie w licznych artykułach. Dla przypomnienia wyjaśniamy, że oznacza ono techniki wykorzystujące legalne narzędzia i procesy w systemach do dyskretnego prowadzenia szkodliwych działań. Metody te pozwalają atakującym wmieszać się w normalne działania systemu, przez co ich wykrycie i zablokowanie staje się większym wyzwaniem dla systemów bezpieczeństwa.
Techniki te są szczególnie skuteczne, ponieważ wykorzystują narzędzia już wdrożone i zaufane w środowisku, omijając w ten sposób konwencjonalne środki bezpieczeństwa.
W związku z rosnącą skalą ataków z wykorzystaniem LOtL oraz dużym zagrożeniem ze strony atakujących dla firm i instytucji powstał 46 stronicowy poradnik mający na celu zabezpieczenie się przed nimi. Opracowano go dzięki wspólnemu wysiłkowi Agencji Bezpieczeństwa Narodowego USA (NSA), Federalnego Biura Śledczego (FBI) i agencji ds. cyberbezpieczeństwa z Australii, Kanady, Nowej Zelandii i Wielkiej Brytanii.
To międzynarodowe partnerstwo podkreśla globalny charakter krajobrazu zagrożeń cybernetycznych i znaczenie wspólnych strategii obronnych.
Kluczowe zalecenia CISA dotyczące łagodzenia skutków ataku
Opublikowane przez CISA porady zawierają zbiór najlepszych praktyk i wskazówek dotyczących wykrywania, które mają pomóc organizacjom w wyszukiwaniu potencjalnej działalności LOtL. Wśród kluczowych zaleceń znajdują się:
- Wdrażanie szczegółowego rejestrowania zdarzeń. Organizacjom zaleca się wdrożenie kompleksowego i szczegółowego rejestrowania zdarzeń oraz zbiorczych dzienników w scentralizowanej lokalizacji. Praktyka ta umożliwia analizę zachowań, wykrywanie anomalii i proaktywne polowanie.
- Ustanawianie i utrzymywanie wartości bazowych. Ustalenie wartości bazowych aktywności sieciowej, użytkowników, administracyjnych i aplikacji jest niezbędne do identyfikacji potencjalnych wartości odstających, które mogą wskazywać na złośliwą aktywność.
- Wykorzystanie automatyzacji. Aby zwiększyć efektywność działań poszukiwawczych i dowodowych, zaleca się wykorzystywanie automatyzacji do ciągłego przeglądania wszystkich dzienników i porównywania bieżących działań z ustalonymi wzorcami zachowań.
- Ograniczanie szumu alertów. Dostrajanie narzędzi monitorowania i mechanizmów ostrzegania w celu rozróżnienia typowych działań administracyjnych od zachowań związanych z potencjalnym zagrożeniem ma kluczowe znaczenie w celu skupienia się na alertach, które wskazują najprawdopodobniej podejrzane działania.
Oprócz określenia strategii wykrywania, porady podkreślają znaczenie praktyk hartowania systemów (utwardzania konfiguracji) w celu zmniejszenia powierzchni ataku. Mówią również o popularnych narzędziach „Living Off the Land Binaries” (LOLBins) wykorzystywanych w atakach. O nich również pisaliśmy wielokrotnie i zachęcamy do zapoznania się – tutaj.
W dokumencie CISA znajdziemy również stosowne zalecenia dostawców i wskazówki dotyczące zwiększania bezpieczeństwa, wdrażania list dozwolonych aplikacji, usprawniania segmentacji i monitorowania sieci oraz wdrażania kontroli uwierzytelniania i autoryzacji.
Odpowiednie zabezpieczenie i monitorowanie narzędzi do zarządzania infrastrukturą
Dokument opisuje także kwestie związane z zabezpieczeniem różnego typu aplikacji używanych w organizacjach. Podmioty cyberprzestępcze wykorzystują na rzecz LOtL wdrożone oprogramowanie / oprogramowanie do zdalnego dostępu, w tym poniższe:
- Systemy zarządzania urządzeniami mobilnymi. Systemy zarządzania urządzeniami mobilnymi (MDM) są atrakcyjnym celem dla cyberprzestępców, ponieważ zapewniają podwyższony dostęp do tysięcy urządzeń mobilnych.
- Zdalne monitorowanie i zarządzanie / zarządzanie konfiguracją centrum systemowego (SCCM). Oprogramowanie to ma znaczne możliwości monitorowania lub obsługi urządzeń i systemów, a także uzyskiwania podwyższonych uprawnień, co czyni go atrakcyjnym narzędziem dla cyberprzestępców, umożliwiającym utrzymanie trwałości i boczne poruszanie się po zaatakowanych sieciach.
- Systemy zarządzania poprawkami. Systemy zarządzania poprawkami zapewniają dostęp do tysięcy systemów.
- EDR. Cyberprzestępcy wykorzystują typowe narzędzia EDR zainstalowane w sieciach ofiar, aby skorzystać z możliwości zdalnej powłoki tych narzędzi.
- Narzędzia do zarządzania maszynami wirtualnymi. Cyberprzestępcy atakują narzędzia niezbędne do zarządzania wirtualizacją w celu wykorzystania infrastruktury maszyn wirtualnych. Używają tych platform do przejęcia kontroli nad maszynami wirtualnymi, wykonywania poleceń, ułatwiania bocznego ruchu w sieci i uzyskiwania dostępu do wrażliwych danych.
- Narzędzia do zarządzania bazami danych. Cyberprzestępcy mogą atakować narzędzia do zarządzania bazami danych w celu wykonywania poleceń SQL, wydobywania poufnych danych lub manipulowania wpisami w bazie.
- Systemy zarządzania siecią. Systemy zarządzania siecią zapewniają szeroką widoczność oraz kontrolę nad urządzeniami sieciowymi i są głównymi celami ataków. Kompromis tych systemów może spowodować, że cyberprzestępca będzie mógł monitorować ruch sieciowy, zmieniać konfigurację i potencjalnie zakłócać działanie sieci, wykorzystując narzędzia używane do zapewnienia stabilności i bezpieczeństwa sieci.
- Systemy zarządzania identyfikacją i dostępem (IAM). Systemy IAM, które odgrywają kluczową rolę w zarządzaniu tożsamością i dostępem użytkowników do sieci, często stają się celem cyberprzestępców.
- Zarządzanie usługami IT (ITSM). Podmioty cyberprzestępcze mogą manipulować platformami zarządzania usługami IT (ITSM), wykorzystując te systemy do zmiany zgłoszeń, przepływów pracy i wyzwalania zautomatyzowanych działań w złośliwych celach.
Przykład z wykorzystaniem do ataku wdrożonej w firmie aplikacji takiej jak SolarWinds bardzo dobrze wpisuje się w tego typu zagrożenie. Warto więc zwrócić uwagę, kto posiada dostęp do takich aplikacji, i odpowiednio je zabezpieczyć. Najrozsądniejsze byłoby stosowanie modelu Zero Trust i dostępu typu Just-in-Time (czasowy dostęp).
Wezwanie organizacji zajmujących się infrastrukturą krytyczną do podjęcia odpowiednich działań
Poradniki są skierowane do organizacji zajmujących się infrastrukturą krytyczną i wzywają je do stosowania zalecanych najlepszych praktyk i wskazówek dotyczących wykrywania.
W ten sposób organizacje te mogą zapewnić sobie skuteczniejsze wykrywanie i łagodzenie działań LOtL, poprawiając swój poziom bezpieczeństwa przed wyrafinowanymi zagrożeniami cybernetycznymi.
Dlaczego warto skorzystać z porad CISA?
Na koniec coś od nas. Publikacja tych porad stanowi znaczący krok naprzód we wspólnych wysiłkach na rzecz zwalczania zagrożeń cybernetycznych. Stosując się do zalecanych praktyk, organizacje mogą znacząco wzmocnić swoją obronę przed atakami wykorzystującymi dyskretny i wymagający charakter technik Living Off the Land.