حمله LOTL چیست ؟

0
236
حمله LOTL چیست ؟

Living off the land (LOTL) یک بدافزار بدون فایل یا تکنیک حمله سایبری LOLbins است که در آن مجرم سایبری از ابزارهای بومی (اپلیکیشن‌های از قبل نصب شده روی ماشین) و قانونی در سیستم قربانی برای حفظ و پیشبرد حمله استفاده می‌کند.

حمله LOTL چگونه کار می‌کند؟

برخلاف حملات بدافزار سنتی، که از فایل‌های مشخص برای اجرای حمله استفاده می‌کنند، حملات LOTL بدون فایل هستند – به این معنی که نیازی به نصب کد یا اسکریپت در سیستم هدف از سوی مهاجم ندارند. در عوض، مهاجم برای حمله از ابزارهایی استفاده می‌کند که از قبل در محیط وجود دارند، مانند PowerShell، Windows Management Instrumentation (WMI) یا ابزار ذخیره رمز عبور Mimikatz.

استفاده از ابزارهای بومی (اپلیکیشن‌های از قبل نصب شده) شناسایی حملات LOTL را بسیار دشوارتر می‌کند، به‌ویژه اگر سازمان از ابزارهای امنیتی سنتی استفاده کند که اسکریپت‌ها یا فایل‌های بدافزار شناخته شده را جستجو می‌کنند. به دلیل وجود این شکاف در مجموعه ابزار امنیتی، هکر اغلب قادر است هفته‌ها، ماه‌ها یا حتی سال‌ها بدون شناسایی در محیط قربانی باقی بماند.

ابزارهای LOTL

اگر مهاجمان مجبور به استفاده از فایل یا کدی برای راه اندازی یک حمله بدافزار نباشند، پس چگونه به محیط دسترسی پیدا می کنند تا بتوانند ابزارهای بومی یا از قبل نصب شده آن را برای رسیدن به اهداف خود تغییر دهند؟ دسترسی را می توان به روش های مختلفی بدست آورد، مانند استفاده از:

  • کیت های بهره برداری یا اکسپلویت
  • ابزارهای بومی هایجک شده
  • بدافزار رجیستری
  • بدافزار حافظه
  • باج افزار بدون فایل
  • اعتبارنامه‌های به سرقت رفته

چرا حملات LOTL محبوب هستند؟

حملات LOTL رایج تر می‌شوند زیرا این حملات نسبت به حملات بدافزار سنتی موثرتر هستند. این به این دلیل است که شناسایی آنها با ابزارهای امنیتی قدیمی بسیار دشوارتر است، که احتمال موفقیت را افزایش می‌دهد و به مهاجم زمان بیشتری برای افزایش دسترسی‌ها، سرقت داده‌ها و تنظیم درب‌ پشتی برای استفاده در آینده را می‌دهد.

دلایل دیگری که چرا حملات LOTL برای مجرمان سایبری جذاب است:

بسیاری از ابزارهای متداول حمله LOTL، مانند WMI و PowerShell، در لیست “مجاز” شبکه قربانی هستند، که پوششی عالی برای دشمنان برای انجام فعالیت‌های مخرب ایجاد میکند.

حملات LOTL از فایل‌ها یا امضاها استفاده نمی‌کنند، به این معنی که حملات نمی‌توانند با یکدیگر مقایسه یا مرتبط شوند. همین موضوع جلوگیری از آن را در آینده دشوارتر می‌کند و به مجرم اجازه می‌دهد تا به میل خود از تاکتیک‌ها استفاده مجدد کند و چرخه حمله تقویت می‌شود.

زمان‌های اقامت طولانی و بدون مزاحمت به مجرم سایبری اجازه می‌دهد حمله‌های پیچیده‌ای را تنظیم و انجام دهد. به این صورت زمانی که قربانی از حمله آگاه می‌شود، اغلب زمان کمی برای پاسخگویی موثر وجود دارد.

پیشگیری و تشخیص LOTL

شناسایی حملات باج‌افزار بدون فایل و LOTL با استفاده از روش‌های مبتنی بر امضا، AV قدیمی، فهرست مجاز، جعبه‌شنود یا حتی تجزیه و تحلیل مبتنی بر یادگیری ماشینی بسیار چالش برانگیز است. بنابراین چگونه سازمان‌ها می‌توانند از خود در برابر این نوع حمله متداول و بالقوه ویرانگر محافظت کنند؟

شاخص های حمله (IOAs)

یکی از مؤثرترین راه‌ها برای کاهش خطر حملات LOTL، تکیه بر شاخص‌های حمله (IOA) به جای شاخص‌های سازش (IOC)  است.

IOAها شامل علائمی مانند اجرای کد، حرکات جانبی و اقداماتی هستند که به نظر می رسد قصد دارند قصد واقعی مهاجم را پنهان کنند. IOA ها در شناسایی حملات بدون فایل موثر هستند زیرا بر نحوه راه اندازی یا اجرای مراحل تمرکز نمی‌کنند. فرقی نمی‌کند که این عمل از یک فایل روی دیسک سخت شروع شده باشد یا از یک تکنیک بدون فایل. تنها چیزی که اهمیت دارد عمل انجام شده، نحوه ارتباط آن با سایر اعمال، موقعیت آن در یک دنباله و اعمال وابسته به آن است. این شاخص‌ها اهداف واقعی را در پشت رفتارها و رویدادها آشکار می‌کنند.

از آنجایی که حملات بدون فایل از زبان‌های برنامه‌نویسی رایج مانند PowerShell سوء استفاده می‌کنند و هرگز روی دیسک نوشته نمی‌شوند، با روش‌های مبتنی بر امضا، لیست مجوزها و sandboxing شناسایی نمی‌شوند. حتی روش های یادگیری ماشینی نیز در تجزیه و تحلیل بدافزارهای بدون فایل شکست می‌خورند. اما IOA به دنبال دنباله‌ای از رویدادها است که حتی بدافزارهای بدون فایل باید برای رسیدن به ماموریت خود اجرا کنند.

و از آنجایی که IOA‌ها قصد، زمینه و توالی‌ها را بررسی می‌کنند، حتی می‌توانند فعالیت‌های مخربی را که با استفاده از یک حساب کاربری مشروع انجام می شوند، شناسایی و مسدود کنند.

شکار تهدید مدیریت شده

جستجوی تهدید برای بدافزارهای بدون فایل کار زمان‌بر و پر زحمتی است که نیاز به جمع‌آوری حجم وسیعی از داده‌ها دارد. عملی‌ترین رویکرد برای اکثر سازمان‌ها این است که شکار تهدید را به یک ارائه دهنده متخصص بسپارند.

سرویس‌های شکار تهدید مدیریت‌شده شبانه‌روز در حال جستجو هستند، به طور فعال دنبال نفوذ‌ها هستند، محیط را رصد و فعالیت‌های ظریفی را شناسایی می‌کنند که توسط فناوری‌های امنیتی استاندارد مورد توجه قرار نمی‌گیرند.

نظارت بر حساب

نظارت بر حساب و کنترل‌ مدیریت می‌تواند با ایجاد دید کامل در محیط‌های کاری، فعالیت‌های غیرمجاز را شناسایی و از آن جلوگیری کند. بنابراین جلوی از دست رفتن داده‌ها به دلیل نقض اعتبارنامه‌ها گرفته می‌شود. در حالی که کنترل دسترسی‌ها به داده‌ها را فراهم میکند،نشان می‌دهد که آیا این دسترسی به‌طور نامناسب اعطا شده است یا خیر.

موجودی اپلیکیشن‌ها

این به طور فعال اپلیکیشن‌ها و سیستم‌ عامل‌های منسوخ و اصلاح نشده را شناسایی می‌کند تا بتوانید به‌طور ایمن همه اپلیکیشن‌ها موجود در محیط خود را مدیریت کنید. بدین صورت امکان سو استفاده از نرم‌افزارهای آپدیت نشده از بین می‌رود و همچنین پیکربندی نرم افزار شما را بهینه می‌کند.نرم‌افزارهای استفاده‌نشده را شناسایی می‌کند تا در صورت لزوم حذف شوند، همین به طور بالقوه باعث صرفه‌ جویی در هزاران دلار در هزینه‌های سازمان می‌شود.

موجودی دارایی

فهرست دارایی‌ها به شما نشان میدهد که چه ماشین‌هایی در شبکه شما در حال اجرا هستند و به شما امکان می‌دهد معماری امنیتی خود را به طور موثر مستقر کنید تا اطمینان حاصل کنید که هیچ سیستم سرکشی در پشت دیوارهای شما کار نمی‌کند. این امکان را به عملیات‌های امنیتی و فناوری اطلاعات می‌دهد تا بین دارایی‌های مدیریت شده، مدیریت نشده و غیرقابل مدیریت در محیط شما تمایز قائل شوند و گام‌های مناسبی را برای بهبود امنیت کلی بردارند.

منبع: https://www.crowdstrike.com/cybersecurity-101/living-off-the-land-attacks-lotl/

مقاله قبلیباج افزار DragonForce – آنچه باید بدانید
مقاله بعدیچگونه از حمله مهندسی اجتماعی جلوگیری کنیم

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.