Atacatorii cibernetici își îmbunătățesc constant tactica pentru a evita detectarea și a-și atinge obiectivele malefice, făcând important ca organizațiile să dezvolte strategii mai bune de detectare și răspuns. Tehnica Living Off The Land (LOTL) este un exemplu de vector de atac furtiv pe care atacatorii cibernetici îl folosesc pentru a evita detectarea.
Este o tehnică de infiltrare care le permite adversarilor să atace sistemele vizate fără a ridica suspiciuni pentru perioade prelungite.
Atacurile LOTL sunt adesea numite atacuri fără fișiere deoarece actorii amenințării folosesc instrumente existente pe echipamentul victimei, spre deosebire de atacurile tradiționale de malware care necesită programe personalizate. În schimb, aceștia folosesc instrumente precum binare, scripturi, biblioteci sau drivere deja prezente în echipamentul terminalului.
Aceste atacuri devin tot mai provocatoare datorită absenței semnăturilor unice și recunoscute și a capacității lor de a se camufla ca utilitare de sistem tipice.
Actorii amenințării folosesc tehnicile LOTL din următoarele motive:
Înțelegerea raționamentului din spatele tehnicilor LOTL este importantă pentru implementarea unor strategii adecvate de apărare cibernetică împotriva acestor forme tot mai prevalente de amenințare cibernetică.
Iată cum operează în mod tipic atacurile LOTL:
Organizațiile necesită capacități cuprinzătoare de monitorizare a securității cibernetice pentru a detecta comportamentul anormal și utilizarea suspectă a utilitarelor de sistem în mediul lor IT.
Puteți îmbunătăți apărarea și răspunsul cibernetic prin utilizarea soluțiilor de securitate precum Extended Detection and Response (XDR) și Security Information and Event Management (SIEM).
Wazuh este o platformă de securitate gratuită și open source care oferă capacități unificate XDR și SIEM pentru sarcini de lucru în mediile cloud și on-premises.
Wazuh efectuează analiza datelor de jurnal, monitorizarea integrității fișierelor, detectarea amenințărilor, alertarea în timp real și răspunsul automat la incidente pentru a detecta și răspunde la atacurile LOTL.
Strategiile eficiente de detectare pentru identificarea încercărilor atacatorilor de a obține acces inițial includ monitorizarea continuă a exploatării vulnerabilităților și a încercărilor de conectare forțată. Astfel de strategii generează alerte în timp real pentru activități neobișnuite, detectează modificări ale conturilor de utilizator și analizează conexiunile de rețea pentru modele suspecte.
Wazuh folosește capacitatea sa de colectare a datelor de jurnal pentru a colecta jurnale de la terminalele monitorizate, aplicațiile și dispozitivele de rețea, care sunt apoi analizate în timp real. Serverul Wazuh folosește decodoare și reguli personalizabile pentru a extrage și a mapea informațiile relevante din jurnalele colectate către câmpuri corespunzătoare. De asemenea, procesează aceste informații și le înregistrează ca alerte în directorul /var/ossec/logs/alerts/.
Postarea de blog despre detectarea explorării vulnerabilității XZ Utils cu Wazuh arată cum utilizatorii pot identifica exploatarea potențială a vulnerabilității CVE-2024-3094 în terminalele lor monitorizate. Puteți configura agenții Wazuh pentru a identifica și a transmite jurnale despre procesele descendente sshd suspecte către serverul Wazuh pentru procesare.
Organizațiile pot detecta și aborda activități suspecte în mediul lor IT prin utilizarea soluțiilor de securitate precum Wazuh, care includ capacități de colectare și analiză a datelor de jurnal în timp real.
Monitorizarea utilizării neautorizate a uneltelor legitime precum PowerShell, Crontab, Schtasks și SSH permite organizațiilor să detecteze abateri de la activitățile normale ale sistemului și să răspundă la acțiuni malefice. Detectarea timpurie a acestor activități malefice împiedică atacatorii să abuzeze de aceste unelte pentru a efectua mișcări laterale sau a desfășura alte acțiuni ilegitime.
Wazuh are seturi de reguli gata făcute pentru a detecta și a alerta administratorii cu privire la instanțele de malware care abuzează de utilitarele native de sistem pentru a-și atinge obiectivele malefice. Mai mult, puteți adăuga reguli și decodoare personalizate care detectează alte activități specifice.
De exemplu, puteți utiliza Wazuh pentru a monitoriza utilitarele Windows des abuzate precum nltest, bcedit, vssadmin, attrib sau schtasks. Agenții Wazuh colectează și trimit jurnale din canalul de evenimente Windows către serverul Wazuh pentru analiză.
Aceste jurnale sunt filtrate pentru evenimente de creare a proceselor pentru a detecta când se execută utilitare native.
Un atac LOTL asociat cu tehnica MITRE ATT&CK T1053.005 implică abuzul utilitarului Task Scheduler (schtasks) prin executarea unor comenzi specifice pentru a planifica sarcini malefice:
Prin crearea regulilor personalizate de mai sus, Wazuh detectează aceste activități în timp real și declanșează alerte corespunzător.
Atacatorii manipulează și modifică adesea setările de configurare ale sistemului pentru a menține persistența sau a-și ascunde prezența. Pentru a se apăra împotriva acestei etape a atacului LOTL, organizațiile ar trebui să efectueze în mod regulat scanări ale terminalelor pentru a identifica neconformități care nu respectă cele mai bune practici și standarde de securitate.
Această măsură de securitate este esențială pentru detectarea promptă a modificărilor neautorizate și a răspunsului la atacurile LOTL înainte ca acestea să cauzeze pagube semnificative.
Wazuh evaluează setările de configurare ale sistemului folosindu-și capacitatea de Evaluare a Configurării de Securitate (SCA) pentru a identifica neconformități și vulnerabilități la terminalele monitorizate.
Utilizatorii pot monitoriza de asemenea fișierele și directoarele critice de configurare pentru modificări neautorizate și neintenționate folosind capacitatea de Monitorizare a Integrității Fișierelor (FIM) a Wazuh.
De exemplu, puteți utiliza capacitatea SCA Wazuh pentru a efectua audituri de sistem pentru a detecta keyloggers pe terminalele Linux care folosesc tehnici LOTL. Acest lucru se realizează prin configurarea unei politici SCA personalizate pe serverul Wazuh pentru a iniția scanări regulate pe toate terminalele Linux monitorizate.
Politica SCA verifică setările de configurare pentru a identifica cazurile în care adversarii ar fi putut manipula programe legitime pentru a înregistra activitățile tastaturii victimelor în sesiuni de terminal (TTY).
Imaginea de mai jos demonstrează cum Wazuh detectează cazurile în care adversarii abuzează de procese de încredere precum PAM pe un terminal Linux pentru a captura apăsările de taste și acreditările de la victimă. Evidențiind raționamentul din spatele atacului și cum utilizatorii pot remedia problema atunci când este detectată.
Organizațiile își pot îmbunătăți apărarea împotriva atacurilor LOTL monitorizând modelele anormale de utilizare a resurselor pe terminalele lor. Consumul neobișnuit de resurse, precum utilizarea excesivă a CPU-ului, utilizarea memoriei sau activitatea de rețea, indică adesea activități malefice asociate cu tehnicile LOTL.
Urmărind execuțiile liniei de comandă și metricile de performanță, organizațiile pot detecta acești indicatori subtili ai compromiterii.
Wazuh oferă o capacitate de monitorizare a comenzilor care urmărește comenzile executate pe terminalele monitorizate. Cu această capacitate, utilizatorii pot configura Wazuh pentru a captura și a înregistra detalii despre ieșirea anumitor comenzi executate, oferind vizibilitate asupra utilizării neobișnuite a resurselor de către procesele de sistem.
Agenții Wazuh execută aceste comenzi periodic pe terminalele configurate în funcție de frecvența setată, monitorizându-și execuția și trimitând ieșirea către serverul Wazuh pentru analiză.
Postarea de blog despre monitorizarea utilizării resurselor macOS demonstrează cum agentul Wazuh folosește capacitatea de monitorizare a comenzilor pentru a colecta informații despre sistem. Aceste informații includ utilizarea CPU-ului terminalului, încărcarea CPU-ului, utilizarea memoriei, utilizarea discului și alte metrici de performanță.
Aceste date oferă informații despre utilizarea resurselor de sistem, permițând utilizatorilor să detecteze atacurile ongoing LOTL.
Scanările regulate de vulnerabilitate permit organizațiilor să identifice și să remedieze slăbiciunile de securitate. Acest lucru este important deoarece atacatorii exploatează adesea vulnerabilități cunoscute pentru a stabili o prezență pe termen lung și a evita detectarea.
Wazuh folosește capacitatea sa de detectare a vulnerabilităților pentru a oferi o vizibilitate cuprinzătoare asupra vulnerabilităților cunoscute pe care adversarii le-ar putea exploata pentru a-și stabili persistența. Acest lucru se face prin compararea versiunilor software instalate cu vulnerabilitățile cunoscute provenite din diverse baze de date.
Aceste baze de date includ National Vulnerability Database (NVD), Canonical, Red Hat, Debian, Arch Linux și altele.
Atacurile Living Off The Land (LOTL) sunt atacuri cibernetice furtive în care actorii amenințării se folosesc de instrumente de sistem încorporate în loc de malware externe pentru a-și atinge obiectivele.
Organizațiile trebuie să adopte o abordare multistrat cu capacități diverse de detectare pentru a crește probabilitatea de a detecta și a răspunde la astfel de atacuri.
Wazuh oferă diverse mecanisme de detectare pentru a crește șansele de detectare a atacurilor LOTL și de a reduce impactul potențial. De asemenea, vă permite să integrați soluții de la terți pentru a se potrivi cazului dvs. de utilizare și pentru a satisface particularitățile mediului dvs.
Aflați mai multe despre Wazuh consultând documentația noastră și alăturându-vă comunității noastre de profesioniști.
Sponsorizat și scris de Wazuh.
Salvați 394 de dolari la pregătirea examenului CISSP de securitate și management al riscurilor
Abia lansat: Sesiuni de urmărire și catalog pentru evenimentul mWISE Mandiant 2024
De ce toate conturile (chiar și conturile de testare) au nevoie de parole puternice
Începeți vara cu 154 de dolari reducere la acest pachet de cursuri de securitate cibernetică
Shopify neagă că a fost hackuit, leagă datele furate de o aplicație terță
Leave a Reply