Mitä ovat Living-off-The-Land -hyökkäykset ja kuinka voit estää ne?
Living off-the-land (LOTL) hakkerointitekniikat eivät ole aivan uusia, mutta a viimeaikainen neuvonta Yhdysvalloista ja sen Five Eyes -liittolaisista on korostettu vakavaa uhkaa, jonka ne aiheuttavat hallituksille ja organisaatioille maailmanlaajuisesti.
LOTL-tekniikoiden ensisijainen tavoite on auttaa hakkereita vaarantamaan IT-järjestelmiä ja harjoittamaan haitallista kybertoimintaa organisaatioita vastaan ilman, että turvallisuuden valvontatyökalut jäävät kiinni. Mitä parhaita käytäntöjä organisaatiot voivat ottaa käyttöön LOTL-hyökkäysten tunnistamiseksi ja lieventämiseksi?
Mitä neuvonta sanoo
Äskettäisen Five Eyes -neuvonnan antoivat Yhdysvaltain valtion virastot, mukaan lukien Cybersecurity and Infrastructure Security Agency (CISA), NSA ja FBI, yhdessä kansainvälisten kumppaneiden, kuten Yhdistyneen kuningaskunnan kansallisen kyberturvallisuuskeskuksen (NCSC) ja Canadian Center for Cyberin kanssa. Turvallisuus (CCS). Se varoittaa, että LOTL-strategiat auttoivat Kiinan valtion tukemia hakkereita käynnistämään tuhoisia kyberhyökkäyksiä Yhdysvaltain kriittisen infrastruktuurin (CNI) tarjoajia vastaan.
Kiinalainen hakkerointiryhmä Volt Typhoon käytti LOTL:ää pysyäkseen piilossa kriittisten IT-verkkojen sisällä CNI-sektoreilla, kuten viestinnässä, energiassa, liikenteessä sekä vesi- ja jätevedessä. Sen motivaatio näyttää olevan ennakkoasetelma mahdollisen konfliktin varalta Yhdysvaltojen ja sen liittolaisten kanssa.
"Ryhmä luottaa myös kelvollisiin tileihin ja hyödyntää vahvaa toiminnallista turvallisuutta, mikä yhdessä mahdollistaa pitkän aikavälin löytämättömän pysyvyyden", siinä lukee. "Itse asiassa yhdysvaltalaiset tekijät ovat viime aikoina havainneet viitteitä siitä, että Volt Typhoon -näyttelijät ovat säilyttäneet pääsyn ja jalansijan joissakin uhrien IT-ympäristöissä vähintään viiden vuoden ajan."
Syvä sukellus LOTLiin
Suorittaessaan LOTL-hyökkäyksiä verkkorikolliset käyttävät yleensä aitoja työkaluja, jotka on jo asennettu vaarantuneisiin tietokoneisiin. Tämän ansiosta he voivat harjoittaa haitallista toimintaa organisaatioita vastaan ilman, että heidän tietoturvatiiminsä saa tietää ja puuttua asiaan.
Sysdigin uhkatutkimuksen johtajan Michael Clarkin mukaan tietoverkkorikolliset pitävät tätä lähestymistapaa usein yksinkertaisempana ja salakavampana kuin uusien työkalujen tai sovellusten lataaminen rikkoutuneeseen järjestelmään.
"Hyökkääjien käyttämiä työkaluja pidetään myös luotettavina monissa tapauksissa, koska ne voivat toteuttaa koodiallekirjoituksen", hän kertoo ISMS.onlinelle. "Jos työkalua käytetään yleisesti uhrin ympäristössä, sen käyttö voi sulautua kaikkiin laillisiin käyttötarkoituksiin."
Kennet Harpsoe, Logpointin vanhempi kyberanalyytikko, selittää ISMS.online-sivustolle, että LOTL-hyökkäyksiä käynnistävät kyberrikolliset ovat motivoituneita halusta edistää ilkeitä tavoitteitaan käyttämällä laillisia, sisäänrakennettuja ja allekirjoitettuja binääritiedostoja, jotka ovat jo olemassa kohteen tietokonejärjestelmissä. Hän varoittaa, että he voivat tehdä tämän missä tahansa kybertappamisketjun vaiheessa, mukaan lukien löytö, pysyvyys, sivuttaisliike tai komento ja valvonta.
On olemassa useita tekijöitä, jotka tekevät LOTL-hyökkäyksistä erittäin vaarallisia organisaatioille. Ensinnäkin, koska ne käyttävät organisaatioiden käyttämiä laillisia sovelluksia ja työkaluja, Harpsoe varoittaa, että perinteiset virustentorjunta- ja tunkeutumisen havaitsemisjärjestelmät eivät välttämättä tunnista niitä.
"Tämä tekee niistä arvokkaan ja salakavalan työkalun pahantahtoisille toimijoille välttyäkseen havaitsemiselta", hän selittää.
Toiseksi LOTL-strategiat antavat hakkereille mahdollisuuden suorittaa haitallisia digitaalisia toimintoja uhrejaan vastaan jättämättä jälkiä. Tämä menetelmä on "uskomattoman monipuolinen", mikä antaa heille useita tapoja käynnistää hyökkäyksiä. Näitä ovat koodin suorittaminen ja mahdollisuus ladata, ladata tai kopioida tiedostoja.
LOTL-hyökkäysten paljastaminen
Vaikka organisaatioiden voi olla vaikea havaita LOTL-hyökkäyksiä, ne voivat ottaa käyttöön erilaisia parhaita käytäntöjä kyberpuolustuksen tukemiseksi.
Jake Moore, ESETin maailmanlaajuinen kyberturvallisuusneuvoja, suosittelee, että yritykset turvaavat järjestelmänsä ottamalla käyttöön tiukat järjestelmänvalvontatoimenpiteet, suorittamalla säännöllisesti ohjelmistopäivityksiä ja -korjauksia sekä seuraamalla verkon toimintaa reaaliajassa.
Hän kertoo ISMS.online-sivustolle, että käyttäytymiseen perustuvat turvatarkastukset voivat myös olla hyödyllinen lieventämistekniikka LOTL-hyökkäyksiä vastaan, koska ne tuovat esiin epäsäännölliset digitaaliset toimet, jotka voivat viitata siihen, että verkkorikollinen käyttää väärin laillista työkalua, kuten tietokoneen rekisteriä.
Hän kannustaa myös työnantajia kouluttamaan henkilöstöä verkkoturvauhkien havaitsemiseen ja lieventämiseen, sillä LOTL-hyökkäykset alkavat usein manipulointitaktiikoilla, kuten tietojenkalasteluviesteillä.
Sean Wright, Featuresspacen sovellussuojauksesta vastaava johtaja, myöntää, että LOTL-hyökkäysten lieventäminen ei ole helppoa, mutta sanoo, että korjaustiedostot ja haavoittuvuuksien hallintaohjelmat, valvontaratkaisut ja poikkeavuushälytykset voivat tarjota ylimääräisen kybersuojakerroksen.
Logpointin Harpsoe korostaa suojatun, erillisen verkon rakentamisen etuja osana passiivista turvallisuusstrategiaa. Yksinkertaiset vaiheet, kuten käyttämättömien tilien, palveluiden tai porttien poistaminen, kaksivaiheisen todennuksen käyttöönotto, järjestelmänvalvojan oikeuksien rajoittaminen ja verkon erottelu voivat myös auttaa organisaatioita minimoimaan IT-verkkojensa ja -järjestelmiensä hyökkäyspinnan, hän lisää.
Semperisin turvallisuustutkimuksen johtaja Yossi Rachman sanoo, että ensimmäinen askel LOTL-hyökkäysten torjunnassa on prosessin luominen epäilyttävään toimintaan viittaavien järjestelmän epäsäännöllisyyksien tunnistamiseksi.
”Kiinnitä erityistä huomiota päätepisteprosesseihin ja ajureihin. Seuraa myös jatkuvasti prosessin suorittamista, erityisesti yleisissä LOLBin-järjestelmissä (Living off the Land Binaries), kuten PowerShell, WMIC ja certutil", hän kertoo ISMS.online-sivustolle. "Tarkista julkisesti saatavilla olevat ja jatkuvasti ylläpidetyt LOLlabs projekti luettelon usein (väärin)käytetyistä binaareista."
Hän lisää, että komentorivitoiminnan seuranta sekä identiteetin tunnistus- ja vastausjärjestelmien, verkon seurantatyökalujen ja käyttäytymisanalytiikan käyttö voivat myös auttaa yrityksiä tunnistamaan epäilyttävän toiminnan, joka viittaa LOTL-hyökkäykseen.
Kelly Indah, Increditoolsin teknologia-asiantuntija ja tietoturva-analyytikko, korostaa tiedon jakamisen merkitystä tämän maailmanlaajuisen ongelman ratkaisemisessa.
"Kansainvälinen yhteistyö valtion vastustajien kehittyvien pelikirjojen dokumentoinnissa on korvaamatonta puolustusten nostamiseksi kaikkialla, missä tällaiset ryhmät voivat seuraavaksi kääntää katseensa", hän kertoo ISMS.online-sivustolle. "Yhdessä voimme vahvistaa kilpeämme kaikkein vaikeimpiakin uhkia vastaan."
LOTL-hakkerointitekniikat muodostavat merkittävän uhan organisaatioille ympäri maailmaa riippumatta siitä, käyttävätkö niitä kansallisvaltiot tai taloudellisesti motivoidut hakkerointiryhmät. Vaikka nämä hyökkäykset ovat suunniteltu harhaanjohtavia, yritykset voivat torjua niitä parantamalla kyberhygieniaa ja noudattamalla alan parhaita käytäntöjä.
