Vad är Living-Off-The-Land-attacker och hur kan du stoppa dem?
Innehållsförteckning:
Living-off-the-land (LOTL) hackningstekniker är inte precis nya, men a nyligen rådgivande från USA och dess Five Eyes-allierade har belyst det allvarliga hot de utgör mot regeringar och organisationer världen över.
Det primära syftet med LOTL-tekniker är att hjälpa hackare att kompromissa med IT-system och utföra skadlig cyberaktivitet mot organisationer utan att fångas av säkerhetsövervakningsverktyg. Så med detta i åtanke, vilka bästa praxis kan organisationer tillämpa för att identifiera och mildra LOTL-attacker?
Vad rådgivaren säger
Den senaste Five Eyes-rådgivningen utfärdades av amerikanska statliga myndigheter, inklusive Cybersecurity and Infrastructure Security Agency (CISA), NSA och FBI, i samarbete med internationella partners som UK National Cyber Security Center (NCSC) och Canadian Center for Cyber Säkerhet (CCS). Den varnar för att LOTL-strategier hjälpte kinesiska statssponsrade hackare att starta förödande cyberattacker mot amerikanska leverantörer av kritisk infrastruktur (CNI).
Den kinesiska hackergruppen Volt Typhoon använde LOTL för att hålla sig gömd i kritiska IT-nätverk inom CNI-sektorer som kommunikation, energi, transport och vatten och avloppsvatten. Dess motivation verkar vara pre-positionering i händelse av en potentiell konflikt med USA och dess allierade.
"Gruppen förlitar sig också på giltiga konton och utnyttjar stark operativ säkerhet, vilket tillsammans möjliggör långsiktig oupptäckt uthållighet", står det att läsa. "Faktum är att de amerikanska författarbyråerna nyligen har observerat indikationer på att Volt Typhoon-aktörer bibehåller åtkomst och fotfäste inom vissa offer-IT-miljöer i minst fem år."
En djupdykning i LOTL
När de utför LOTL-attacker använder cyberbrottslingar vanligtvis äkta verktyg som redan är installerade på komprometterade datorer. Detta gör att de kan utföra skadlig aktivitet mot organisationer utan att deras säkerhetsteam tar reda på det och ingriper.
Cyberbrottslingar tycker ofta att detta tillvägagångssätt är enklare och smygande än att ladda ner nya verktyg eller applikationer till ett system som har brutits, enligt Michael Clark, chef för hotforskning på Sysdig.
"Verktygen som utnyttjas av angripare anses också vara betrodda i många fall eftersom de kan implementera kodsignering", säger han till ISMS.online. "Om verktyget ofta används i offrets miljö kan användningen smälta in med all legitim användning."
Kennet Harpsoe, senior cyberanalytiker på Logpoint, förklarar för ISMS.online att cyberbrottslingar som lanserar LOTL-attacker är motiverade av önskan att främja sina skändliga mål med legitima, inbyggda och signerade binärfiler som redan finns på målets datorsystem. Han varnar för att de kan göra detta under vilket skede som helst av cyberdödskedjan, inklusive upptäckt, uthållighet, rörelse i sidled eller kommando och kontroll.
Det finns ett antal faktorer som gör LOTL-attacker mycket farliga för organisationer. För det första, eftersom de använder legitima applikationer och verktyg som används av organisationer, varnar Harpsoe för att konventionella antivirus- och intrångsdetekteringssystem kanske inte identifierar dem.
"Detta gör dem till ett värdefullt och smygande verktyg för illvilliga aktörer att undvika upptäckt," förklarar han.
För det andra tillåter LOTL-strategier hackare att utföra skadliga digitala aktiviteter mot sina offer utan att lämna spår. Denna metod är "otroligt mångsidig", vilket ger dem flera sätt att starta attacker. Dessa inkluderar kodexekvering och möjligheten att ladda ner, ladda upp eller kopiera filer.
Avslöja LOTL-attacker
Även om det kan vara svårt för organisationer att upptäcka LOTL-attacker, kan de anta olika bästa praxis för att stödja cyberförsvar.
Jake Moore, global cybersäkerhetsrådgivare på ESET, rekommenderar att företag säkrar sina system genom att implementera strikta administrationskontroller, regelbundet utföra programuppdateringar och patchar och spåra nätverksaktivitet i realtid.
Han säger till ISMS.online att beteendebaserade säkerhetskontroller också kan vara en användbar teknik för att mildra LOTL-attacker, genom att lyfta fram alla oregelbundna digitala aktiviteter som kan tyda på när en cyberbrottsling missbrukar ett legitimt verktyg som en dators register.
Han uppmuntrar också arbetsgivare att utbilda personal i att upptäcka och mildra säkerhetshot på nätet, eftersom LOTL-attacker ofta börjar genom social ingenjörsteknik som nätfiske-e-post.
Sean Wright, chef för applikationssäkerhet på Featurespace, medger att det inte är lätt att mildra LOTL-attacker, men säger att program för patch- och sårbarhetshantering, övervakningslösningar och anomalivarningar kan ge ett extra lager av cyberskydd.
Logpoints Harpsoe pekar på fördelarna med att bygga ett försvarbart, segregerat nätverk som en del av en passiv säkerhetsstrategi. Enkla steg som att ta bort oanvända konton, tjänster eller portar, implementera tvåfaktorsautentisering, begränsa administratörsrättigheter och nätverkssegregation kan också hjälpa organisationer att minimera attackytan på sina IT-nätverk och system, tillägger han.
Yossi Rachman, chef för säkerhetsforskning på Semperis, säger att det första steget i att tackla LOTL-attacker är att etablera en process för att identifiera systemoegentligheter som pekar på misstänkt aktivitet.
"Var särskild uppmärksamhet åt slutpunktsprocesser och drivrutiner. Övervaka också kontinuerligt processexekveringen, speciellt för vanliga LOLBin (Living off the Land Binaries) som PowerShell, WMIC och certutil, säger han till ISMS.online. "Granska det allmänt tillgängliga och kontinuerligt underhållna LOLLabs projekt för en lista över vanligt (o)använda binärfiler."
Han tillägger att övervakning av kommandoradsaktivitet, såväl som att använda identitetsdetektering och svarssystem, nätverksövervakningsverktyg och beteendeanalys, kan också hjälpa företag att identifiera misstänkt beteende som tyder på att en LOTL-attack äger rum.
Kelly Indah, en teknisk expert och säkerhetsanalytiker på Increditools, betonar vikten av informationsutbyte för att hantera denna globala fråga.
"Internationellt samarbete för att dokumentera statliga motståndares utvecklande spelböcker är ovärderligt för att höja försvar överallt där sådana grupper nästa kan vända siktet," säger hon till ISMS.online. "Tillsammans kan vi stärka vår sköld mot även de mest smygande hot."
LOTL-hackningstekniker utgör ett betydande hot mot organisationer runt om i världen, oavsett om de används av nationalstater eller ekonomiskt motiverade hackningsgrupper. Även om dessa attacker är vilseledande till sin design, kan företag tackla dem genom att förbättra cyberhygienen och följa branschens bästa praxis.
