Pregled tehnike napadov »Living off the Land« 

V zadnjem času ste morda opazili, da je več spletnih mest z novicami o kibernetski varnosti citiralo Microsoftov članek o prikritosti Flax Typhoona (akterjev grožnje) pri izvajanju kibernetskih vdorov. Članek vsebuje veliko dragocenih informacij, zato vam priporočamo, da si ga preberete. Kljub temu smo želeli nekaj stvari deliti direktno z našimi bralci. 

Najprej si oglejmo tehniko »Living off the Land« in zakaj je učinkovita metoda vdora. Nato si bomo ogledali, kako se lahko branite pred takšnimi tehnikami. 

Kaj je tehnika “Living off the Land”?

Brez iskanja po Googlu in navajanja različnih razlag (kot je to priljubljeno v kibernetskem svetu) je tehnika »Living off the Land« sledeče: To je tehnika, ki jo uporabljajo akterji groženj, ki zlorabljajo legitimna (domača) orodja, ki so (pogosto) že nameščena v ciljnem sistemu. Cilj uporabe takšne tehnike je ostati neopažen čim dlje v ciljnem okolju. 

Kako torej tehnika »Living off the Land« omogoča prikrito delovanje? 

Če pogledamo celotno sliko, moramo razlikovati med tremi primeri: 

  1. Stranka ima samo zaščito končne točke (tudi protivirusno zaščito, požarni zid, itd.), vendar nima vidnosti in zmogljivosti za odkrite grožnje, ki jih ni mogoče preprosto blokirati ali preprečiti.
  2. Stranka ima zaščito končne točke ter vidljivost dnevnikov in dogodkov, ustvarjenih na končni točki, ki jih ni nujno mogoče preprečiti in/ali blokirati (tudi EDR, NGFW, itd.). 
  3. Stranka nima vidljivosti ali zaščite končne točke. 

Tretji primer lahko preskočimo, saj bi v primeru brez omogočene vidljivosti ali zaščite delovala katera koli tehnika. 

V prvem primeru je zelo enostavno ostati prikrit, zlasti z uporabo tehnike »Living off the Land«. Osredotočili se bomo na drugi primer in razložili, zakaj v takšnih primerih napadalna tehnika (večinoma) deluje. 

Varnostno spremljanje je sestavljeno iz zagona varnostnih orodij na računalniku, ki lahko spremljajo različne procese in/ali dogodke, ki se izvajajo na računalniku. Pri beleženju teh dogodkov imajo dobre rešitve možnost korelacije, pri katerih različni procesi in/ali spremembe različnih lastnosti (datotek, registrov, itd.) skupaj tvorijo sumljiv dogodek, o katerem se poroča sprednjemu uporabniškemu vmesniku zunaj uporabljenega orodja. Tu bi varnostni analitiki ali ekipa IT iskali in preiskovali takšna poročila (ali alarme/dogodke/primere, ne glede na terminologijo, ki jo uporablja prodajalec). 

Veliko procesov/sprememb/izvedb, ki so lahko zlonamerni, je tudi povsem zakonitih. Na primer, PowerShell je povsem legitimno orodje, ki ga pogosto uporabljajo razvijalci programske opreme, sistemski administratorji, ekipa IT, itd. Vendar vsi vemo, da ga je mogoče zelo dobro uporabiti z zlonamernimi nameni. Takšnih dogodkov ni mogoče prijaviti kot potencialno zlonamernih, saj bi sprožili veliko lažno pozitivnih primerov (zlasti v podjetju, ki v veliki meri uporablja PowerShell v legitimne namene), kar bi močno otežilo delo osebi, ki takšne incidente preiskuje. Poleg tega obstajajo druga domača orodja, ki jih nasprotniki uporabljajo, da bi ostali neopaženi (v Microsoftovem članku so omenjeni na primer SCM, WMIC, Sticky Keys, itd.). 

Ker varnostni izdelki ne sprožijo alarmov ali preprečijo izvajanja takih izvirnih orodij, da bi omejili lažno pozitivne primere, uporaba teh orodij za zlonamerne namene omogoča takšno prikritost. 

Kje se ta tehnika najpogosteje uporablja? 

Po naših izkušnjah je ostati neopažen cilj praktično vsakega povzročitelja groženj – ne glede na njegov končni cilj. Vendar pa opažamo, da so takšne tehnike sposobne uporabljati le bolj usposobljene in napredne skupine povzročiteljev groženj. Pri tem ne gre preprosto za zagon zlonamerne programske opreme za izsiljevanje, ki opravi vse naloge. Ta tehnika zahteva prilagajanje na poti, kar je izredno težko. Ko uspešno prodrejo skozi prvo obrambno linijo, recimo z izkoriščanjem javno dostopnega spletnega strežnika, morajo opraviti vsaj nekaj osnovnih raziskav, da bi razumeli okolje, v katerem so pristali. In na podlagi pridobljenih obveščevalnih podatkov pripraviti svoje naslednje korake, da ostanejo neopaženi – katera orodja imajo na voljo/nameščena? Katere uporabniške privilegije so pridobili? Katera metoda je najboljša, da ostanejo neopaženi tudi po ponovnem zagonu? Vse to je zelo dinamično delo in pogosto pod časovnim pritiskom, zato to lahko naredijo zgolj izurjeni hekerji. 

Ker so se napadi z izsiljevalsko programsko opremo izkazali za najboljšo tehniko za pridobivanje denarja in ker je glavni motiv večine skupin, ki niso APT, dejansko zaslužiti denar s svojimi napadi, te skupine verjetno ne bodo tako pogosto uporabljale teh tehnik, saj to niti ni potrebno – pri izsiljevalski programski opremi se želite hitro premakniti: Vstopiti, odtujiti, šifrirati in izstopiti. Takšne tehnike bodo najverjetneje uporabljali akterji groženj, ki jih sponzorira država. Eden od motivov držav je, da z vohunjenjem pridobijo obveščevalne podatke o svoji tarči. V ta namen je njihov cilj zelo dolgo ostati v okolju in še naprej pridobivati obveščevalne podatke, zaradi česar morajo uporabljati tehnike, kot je »Living off the Land«. 

Kako zaščititi svojo organizacijo pred takšno tehniko 

Najprej začnimo s preventivnimi ukrepi. Če se tu malce preizkusimo in razmislimo, kako bi lahko preprečili, da bi nasprotniki zlorabili legitimna, domača orodja, bi bila ena izmed rešitev onemogočanje takšnih orodij, ki jih je mogoče zlorabiti zlonamerno. In ta odgovor je, če smo iskreni, povsem pošten. Žal pa ne more veljati za vse organizacije, saj se nekatere pri svojem poslovanju zanašajo na ta orodja. Vendar pa je odgovor nekje vmes in ga imenujemo bela lista aplikacij (application whitelisting). 

Bela lista aplikacij je pristop, ki omejuje uporabo orodij ali aplikacij samo na tiste, ki so že preverjene in odobrene. To lahko storite še podkrepite tako, da posameznim uporabnikom dodelite dostop, saj ga ne potrebujejo vsi uporabniki. Ena od očitnih slabosti je zahteva po upravljanju takšnih seznamov, saj se običajno spreminjajo. Kljub temu je bela lista aplikacij eden najmočnejših protiukrepov proti takšnim grožnjam, pa tudi številnim drugim, zato organizacije spodbujamo, da jo vpeljejo. 

Kljub temu imajo nekateri uporabniki določene aplikacije na belem seznamu, ki jih je vseeno mogoče zlorabiti pri kibernetskem vdoru. Zdaj se morate osredotočiti na zmogljivosti odkrivanja. 

Ključna razlika pri odkrivanju teh groženj je lahko: 

  1. Izdelek za varnost končne točke, ki lahko poroča o nenavadnem vedenju. Zaznavanje anomalij je lahko koristno v primerih, ko se nekatera legitimna orodja zlorabljajo za zlonamerne namene, vendar uporabnik tega orodja nikoli ni uporabil. To bi sprožilo dogodek anomalije, na podlagi katerega se lahko izvede preiskava. To seveda ni zanesljivo in lahko povzroči tudi veliko lažno pozitivnih rezultatov – odvisno od razvitosti organizacij, ki izdelek uporabljajo. 
  2. Analitiki, ki preiskujejo primer, so verjetno najbolj ključne osebe, ki lahko odkrijejo zlorabo zakonitih orodij zaradi vpogleda, ki ga lahko zberejo s korelacijo vseh dogodkov, ki so se sprožili na ciljnem sistemu, in tudi z uporabo zgodovinskih podatkov v kombinaciji z inteligenco strukture podjetja (ali se pričakuje, da bo ta stroj naredil “to”).
  3. Ciljno iskanje groženj je metoda, ki jo je treba uporabiti kot del vsakega varnostnega programa, v tem konkretnem primeru pa se lahko osredotoči na odkrivanje stalnosti, ki se pogosto zlorablja s tehniko »Living off the Land«. 

Kot lahko vidite, se le prva možnost bolj zanaša na orodja – v tem primeru recimo celo na orodja, ki jih poganja umetna inteligenca. Vendar pa so zanesljive zmožnosti odkrivanja najboljše v uporabi zmogljivosti za spremljanje varnosti v kombinaciji z izkušenimi analitiki, ki preiskujejo takšne primere. 

Za zaključek: Z združevanjem preventivnih zmogljivosti, kot so beli seznami aplikacij, in zmogljivosti za odkrivanje imajo organizacije veliko več možnosti za odkrivanje in preprečevanje poskusov vdora, ki temeljijo na tehniki »Living off the Land«.