leef van die land blog

Wat is die lewe-van-die-land-aanvalle en hoe kan jy dit keer?

Living-off-the-land (LOTL) inbraaktegnieke is nie juis nuut nie, maar a onlangse advies van die VSA en sy Five Eyes-bondgenote het die ernstige bedreiging wat hulle vir regerings en organisasies wêreldwyd inhou, beklemtoon.

Die primêre doel van LOTL-tegnieke is om kuberkrakers te help om IT-stelsels te kompromitteer en kwaadwillige kuberaktiwiteite teen organisasies uit te voer sonder om deur sekuriteitsmoniteringsinstrumente gevang te word. So, met dit in gedagte, watter beste praktyke kan organisasies aanneem om LOTL-aanvalle te identifiseer en te versag?

Wat die Adviesraad sê

Die onlangse Five Eyes-advies is uitgereik deur Amerikaanse regeringsagentskappe, insluitend die Cybersecurity and Infrastructure Security Agency (CISA), die NSA en die FBI, in samewerking met internasionale vennote soos die UK National Cyber ​​Security Centre (NCSC) en Canadian Centre for Cyber Sekuriteit (CCS). Dit waarsku dat LOTL-strategieë Chinese staatsgeborgde kuberkrakers gehelp het om vernietigende kuberaanvalle op Amerikaanse verskaffers van kritieke infrastruktuur (CNI) te loods.

Chinese inbraakgroep, Volt Typhoon, het LOTL gebruik om weggesteek te bly binne kritieke IT-netwerke in CNI-sektore soos kommunikasie, energie, vervoer en water en afvalwater. Die motivering daarvan blyk vooraf te posisioneer in die geval van 'n potensiële konflik met die VSA en sy bondgenote.

"Die groep maak ook staat op geldige rekeninge en gebruik sterk operasionele sekuriteit, wat gekombineer is vir langtermyn onontdekte volharding," lui dit. "Trouens, die Amerikaanse outeursagentskappe het onlangs aanduidings waargeneem dat Volt Typhoon-akteurs vir minstens vyf jaar toegang en vastrapplek binne sommige IT-omgewings vir slagoffers behou."

'n Diepduik in LOTL

Wanneer LOTL-aanvalle uitgevoer word, gebruik kubermisdadigers tipies ware gereedskap wat reeds op gekompromitteerde rekenaars geïnstalleer is. Dit stel hulle in staat om kwaadwillige aktiwiteite teen organisasies uit te voer sonder dat hul sekuriteitspanne uitvind en ingryp.

Volgens Michael Clark, direkteur van bedreigingsnavorsing by Sysdig, vind kubermisdadigers hierdie benadering dikwels eenvoudiger en sluimer as om nuwe nutsmiddels of toepassings op 'n stelsel te laai.

"Die gereedskap wat deur aanvallers gebruik word, word ook in baie gevalle as betroubaar beskou, aangesien hulle kodeondertekening kan implementeer," sê hy aan ISMS.online. "As die instrument algemeen in die slagoffer se omgewing gebruik word, kan die gebruik daarvan inskakel by al die wettige gebruike."

Kennet Harpsoe, senior kuberontleder by Logpoint, verduidelik aan ISMS.online dat kubermisdadigers wat LOTL-aanvalle loods, gemotiveer word deur die begeerte om hul onheilspellende doelwitte te bevorder deur gebruik te maak van wettige, ingeboude en ondertekende binaries wat reeds op die teiken se rekenaarstelsels teenwoordig is. Hy waarsku dat hulle dit kan doen gedurende enige stadium van die kuberdoodketting, insluitend ontdekking, volharding, laterale beweging of bevel en beheer.

Daar is 'n aantal faktore wat LOTL-aanvalle hoogs gevaarlik maak vir organisasies. Eerstens, omdat hulle wettige toepassings en gereedskap gebruik wat deur organisasies gebruik word, waarsku Harpsoe dat konvensionele antivirus- en indringingopsporingstelsels hulle dalk nie identifiseer nie.

"Dit maak hulle 'n waardevolle en sluipende hulpmiddel vir kwaadwillige akteurs om opsporing te ontduik," verduidelik hy.

Tweedens, LOTL-strategieë laat hackers toe om kwaadwillige digitale aktiwiteite teen hul slagoffers uit te voer sonder om 'n spoor te laat. Hierdie metode is "ongelooflik veelsydig", wat hulle verskeie maniere bied om aanvalle te loods. Dit sluit in kode-uitvoering en die vermoë om lêers af te laai, op te laai of te kopieer.

Ontbloot LOTL-aanvalle

Alhoewel dit vir organisasies moeilik kan wees om LOTL-aanvalle op te spoor, kan hulle verskeie beste praktyke aanneem om kuberverdediging te versterk.

Jake Moore, wêreldwye kuberveiligheidsadviseur by ESET, beveel aan dat besighede hul stelsels beveilig deur streng administrasiekontroles te implementeer, gereeld sagteware-opdaterings en regstellings uit te voer, en netwerkaktiwiteit intyds na te spoor.

Hy sê aan ISMS.online dat gedragsgebaseerde sekuriteitskontroles ook 'n nuttige versagtingstegniek teen LOTL-aanvalle kan wees, deur enige onreëlmatige digitale aktiwiteite uit te lig wat kan voorstel wanneer 'n kubermisdadiger 'n wettige hulpmiddel soos 'n rekenaar se register misbruik.

Hy moedig ook werkgewers aan om personeel op te lei om aanlyn sekuriteitsbedreigings op te spoor en te versag, aangesien LOTL-aanvalle dikwels begin deur sosiale ingenieurstaktieke soos uitvissing-e-posse.

Sean Wright, hoof van toepassingsekuriteit by Featurespace, erken dat die versagting van LOTL-aanvalle nie maklik is nie, maar sê pleister- en kwesbaarheidsbestuursprogramme, moniteringsoplossings en anomaliewaarskuwings kan 'n ekstra laag kuberbeskerming bied.

Logpoint se Harpsoe wys op die voordele van die bou van 'n verdedigbare, gesegregeerde netwerk as deel van 'n passiewe sekuriteitstrategie. Eenvoudige stappe soos die verwydering van ongebruikte rekeninge, dienste of poorte, implementering van twee-faktor-verifikasie, beperking van administrateurregte en netwerksegregasie kan ook organisasies help om die aanvaloppervlak van hul IT-netwerke en -stelsels te verminder, voeg hy by.

Yossi Rachman, direkteur van sekuriteitsnavorsing by Semperis, sê die eerste stap in die aanpak van LOTL-aanvalle is om 'n proses te vestig om stelselonreëlmatighede te identifiseer wat op verdagte aktiwiteite dui.

“Gee spesiale aandag aan eindpuntprosesse en drywers. Monitor ook deurlopend prosesuitvoering, veral vir algemene LOLBin (Living off the Land Binaries) soos PowerShell, WMIC en certutil,” vertel hy aan ISMS.online. “Hersien die publiek beskikbaar en voortdurend onderhou LOLLabs projek vir 'n lys van algemeen (ab)gebruikte binaries."

Hy voeg by dat die monitering van bevellynaktiwiteit, sowel as die gebruik van identiteitsbespeuring en -reaksiestelsels, netwerkmoniteringsinstrumente en gedragsanalise, ook besighede kan help om verdagte gedrag te identifiseer wat daarop dui dat 'n LOTL-aanval plaasvind.

Kelly Indah, 'n tegnologiedeskundige en sekuriteitsontleder by Increditools, beklemtoon die belangrikheid van inligtingsdeling om hierdie wêreldwye kwessie aan te pak.

"Internasionale samewerking in die dokumentasie van staatsteenstanders se ontwikkelende speelboeke is van onskatbare waarde om verdediging te verhoog oral waar sulke groepe volgende hul visier kan rig," sê sy aan ISMS.online. "Saam kan ons ons skild versterk teen selfs die mees sluipende dreigemente."

LOTL-inbraaktegnieke hou 'n beduidende bedreiging in vir organisasies regoor die wêreld, of dit nou deur nasiestate of finansieel gemotiveerde inbraakgroepe gebruik word. Alhoewel hierdie aanvalle deur ontwerp misleidend is, kan besighede dit aanpak deur kuberhigiëne te verbeter en die beste praktyke in die bedryf te volg.

skrywer

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Sien alle plasings deur Nicholas Fearn

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind