حمله LOTL یا Living Off the Land

حملات Living Off the Land (LOTL)
آنچه در این مقاله میخوانید:

حمله LOTL یا “Living Off the Land” که به فارسی “زندگی در خارج از زمین” به آن می گویند را بیشتر بشناسید تا فریب نخورید!

خوانندگان مقالات ما می‌دانند که باندهای Ransomware-as-a-Service (RaaS) با حملات مخرب خود به سازمان‌ها، تیتر خبرهای جهانی شده‌اند. با این حال، گاهی اوقات فقط دانستن مشکل کافی نیست.

برای اینکه واقعاً از خود در برابر باندهای RaaS محافظت کنیم، باید به اصطلاح پیاز را پوست کند و نگاه دقیق‌تری به نحوه رفتار آنها داشته باشیم. به عنوان مثال، اگر بدانیم که چگونه باندهای RaaS یک بار در یک شبکه از شناسایی فرار می کنند، ممکن است بتوانیم آنها را قبل از اینکه بتوانند آسیبی وارد کنند، بیرون کنیم.

یکی از نگران‌کننده‌ترین رفتارهایی که از باندهای RaaS مشاهده کرده‌ایم، استفاده آن‌ها از حملات Living off the Land (LOTL) است، که در آن هکر ها از ابزارهای قانونی برای فرار از شناسایی، سرقت داده‌ها و موارد دیگر استفاده می‌کنند.

بیایید به خطرات حمله LOTL در عملیات RaaS بپردازیم و راهنمایی هایی را برای تیم های فناوری اطلاعات که منابع کافی ندارند در مورد چگونگی شناسایی و مسدود کردن چنین تهدیداتی ارائه کنیم.

 

 

 

 

ماهیت فریبنده حمله LOTL

در دنیای ایده‌آل، تیم‌های فناوری اطلاعات که سازمان‌های آن‌ها مورد حمله قرار می‌گیرند، شواهد واضح و مستقیمی از فعالیت‌های مخرب دارند.

به عنوان مثال، اگر اتصالات شبکه غیرمعمولی به آدرس‌های IP راه دور مرتبط با عوامل مخرب شناخته شده ایجاد شود، در این صورت شکی وجود ندارد که شما مورد حمله قرار گرفته‌اید. این امکان را به IT می‌دهد که زودتر این رفتار را متوقف کند.

اما اکنون تصور کنید که با جدیت یک شبکه را برای هرگونه نشانه‌ای از فعالیت مشکوک زیر نظر دارید. همانطور که شما یک جریان به ظاهر بی پایان از گزارش ها را اسکن می کنید، و به دنبال هر گونه ناهنجاری که می تواند نشان دهنده مشکل باشد، متوجه فعالیت هایی از PowerShell، یک ابزار برنامه نویسی همه کاره و قانونی می شوید.

به عبارت دیگر، اسکریپت‌هایی با استفاده از دستوراتی وجود دارند که مهاجم می‌تواند از آنها برای سرقت داده‌ها از شبکه شرکت استفاده کند، اما همچنین شبیه وظایف اداری قانونی است که توسط متخصصان فناوری اطلاعات برای کارهای مختلف مدیریت سیستم استفاده می‌شود. با در نظر گرفتن ساعات کاری منظم، متوجه می‌شوید که این بخشی از یک عملیات معمول تعمیر و نگهداری فناوری اطلاعات است و ادامه می‌دهید.

مهاجم محیط شرکت را مطالعه کرده بود و درک عمیقی از ابزارها و فرآیندهایی که معمولاً توسط کارمندان استفاده می‌شود داشت، و بنابراین آنها با ترکیب کردن با استفاده معمولی از PowerShell از ایجاد سوء ظن جلوگیری کردند. با انجام حمله در ساعات کاری عادی، مهاجمان همچنین از هرگونه بازرسی معمولی که از جابجایی در یک شبکه در اواخر شب ناشی می‌شد اجتناب کردند.

دقیقاً به همین دلیل است که حمله LOTL بسیار خطرناک است: حملات LOTL با تقلید از رفتار عادی، تشخیص هر گونه نشانه‌ای از فعالیت های مخرب را برای تیم های فناوری اطلاعات و راه حل های امنیتی بسیار دشوار می کند. با این حال، تحلیلگران باتجربه ممکن است بتوانند ناهنجاری‌ها یا الگوهای ظریفی را که نشان‌دهنده حمله LOTL است، انتخاب کنند و از تخصص و درک عمیق خود از رفتارهای سیستم استفاده کنند.

از سوی دیگر، تیم‌های جدید یا کم منابع ممکن است به دلیل کمبود تجربه یا ابزار ناکافی برای شناسایی چنین حملاتی مشکل داشته باشند و آنها را در برابر این تهدیدات مخفی آسیب‌پذیر کند.

 

 

5 ابزار LOTL که توسط باج افزارها استفاده می شود

در حالی که هکر ها از تعداد به ظاهر بی‌شماری ابزار قانونی برای حمله LOTL استفاده می‌کنند، در زیر پنج مورد از رایج‌ترین مواردی که فعال‌ترین باج‌ افزار های باج‌افزاری را برای حملات خود استفاده می‌کنند، آورده‌ایم.

 

 

ابزار دلیل استفاده نحوه استفاده استفاده شده توسط
PowerShell زبان برنامه نویسی همه کاره و چارچوب پوسته برای سیستم های ویندوز اسکریپت های مخرب را اجرا می‌کند، ماندگاری خود را حفظ می‌کند و از شناسایی فرار می‌کند. LockBit, Vice Society, Royal, BianLian, ALPHV, Black Basta
PsExec ابزار خط فرمان سبک برای اجرای فرآیندها در سیستم های راه دور از طریق یک سرویس موقت ویندوز، دستورات یا محموله ها را اجرا می‌کند. LockBit, Royal, ALPHV, Play, BlackByte
WMI ویژگی Admin برای دسترسی و مدیریت اجزای سیستم ویندوز دستورات و بارهای مخرب را از راه دور اجرا می‌کند. LockBit, Vice Society, Black Basta, Dark Power, Cl0p, BianLian
Mimikatz ابزار منبع باز برای امنیت ویندوز و مدیریت اعتبار اعتبارنامه ها را از حافظه استخراج کنید و امتیازات را افزایش می‌دهد. LockBit, Black Basta, Cuba, ALPHV
Cobalt Strike تست قلم تجاری برای ارزیابی امنیت شبکه و شبیه سازی تاکتیک های پیشرفته عامل تهدید فرماندهی و کنترل، حرکت جانبی و خروج داده های حساس LockBit, Black Basta, Royal, ALPHV, Play, Cuba, Vice Society

 

 

هر باندی که در اینجا فهرست شده است، مسئول سهم بزرگ حملات سالانه باج‌افزار هستند. به عنوان مثال، LockBit در صدر گزارش وضعیت بدافزار سال 2023 ما قرار گرفت و مسئول بیش از 3 برابر حملات بیشتر از باج افزار فعال بعدی، ALPHV بود.

تنها در فوریه 2023، گروه LockBit 126 قربانی را در صفحه افشای خود شناسایی کرد. از سوی دیگر، Vice Society مسئول 70 درصد حملات شناخته شده به مؤسسات آموزشی بریتانیا است.

 

 

4 نکته حمله LOTL برای تیم های فناوری اطلاعات

چهار نکته ذکر شده در زیر، ترکیبی از فناوری پیشرفته و تخصص منحصر به فرد، می تواند به تیم های IT کمک زیادی کند تا حمله LOTL را کشف کنند:

 

1. به طور منظم ترافیک شبکه و سیاهه های مربوط را نظارت کنید

به طور منظم ترافیک شبکه خود را برای هر گونه الگوها یا اتصالات غیرعادی به آدرس های IP مخرب شناخته شده یا دامنه های مرتبط با استفاده از ابزارهایی مانند Chisel، Qakbot یا Cobalt Strike تجزیه و تحلیل کنید. ورود به سیستم‌های حیاتی (دیوارهای آتش، سرور ها و دستگاه‌های نقطه پایانی) را فعال کنید و به‌طور منظم گزارش‌ها را برای فعالیت‌های غیرعادی یا نشانه‌هایی از سازش بررسی کنید.

 

2. از آخرین اطلاعات تهدیدات حمله LOTL مطلع باشید

از اطلاعات تهدید اهرمی استفاده کنید تا از تکنیک‌های حمله جدید، شاخص‌های سازش (IOC) و سایر داده‌های مربوط به تهدید مطلع بمانید. از این داده ها برای تنظیم دقیق قابلیت های نظارت، تشخیص و پاسخ امنیتی خود برای شناسایی و کاهش حملات LOTL استفاده کنید.

 

3. تجزیه و تحلیل رفتاری و تشخیص ناهنجاری

ابزارهای نظارتی پیشرفته ای را پیاده سازی کنید که به جای تکیه بر امضاها یا الگوهای شناخته شده، بر تشخیص رفتار غیرعادی کاربر یا سیستم تمرکز دارند. یادگیری ماشین و هوش مصنوعی را می توان برای شناسایی انحرافات از رفتار عادی استفاده کرد که ممکن است نشان دهنده یک حمله مداوم LOTL باشد.

Malwarebytes EDR رفتارهای فرآیندها، رجیستری، سیستم فایل و فعالیت شبکه را در نقطه پایانی با استفاده از یک الگوریتم اکتشافی به دنبال انحرافات مشاهده می کند. در اینجا می‌توانید تمام قوانین شناسایی فعال شده در فعالیت مشکوک و نگاشت آن‌ها به MITER ATT&CK را ببینید.

 

4. محدود کردن سوء استفاده از ابزار مشروع

تمرکز بر مدیریت و کنترل استفاده از ابزارهای قانونی و ویژگی های سیستم که اغلب در حمله LOTL مورد سوء استفاده قرار می گیرند. دسترسی به ابزارهای خاص را فقط برای کاربرانی که به آنها نیاز دارند، نظارت بر استفاده از آنها و اعمال سیاست های امنیتی خاص برای محدود کردن اقدامات مضر بالقوه محدود کنید.

به طور خلاصه، با تجزیه و تحلیل مداوم داده‌های شبکه و سیستم، شناسایی نقاط ضعف بالقوه، و پیش‌بینی تاکتیک‌های مهاجم، تیم‌های فناوری اطلاعات می‌توانند در برابر باندهای RaaS که از تکنیک‌های LOTL استفاده می‌کنند، برتری پیدا کنند.

 

 

نظارت بر امنیت شبانه روزی و شکار تهدید برای سازمان شما

نظارت بر ترافیک شبکه، فعال کردن و بررسی گزارش‌ها، بررسی تشخیص ناهنجاری، و اجرای کنترل برنامه‌ها، مراحل ضروری برای شناسایی و مسدود کردن فعالیت‌های مخرب هستند. با این حال، این تلاش ها اغلب به پوشش شبانه روزی و تخصص عمیق امنیت سایبری نیاز دارند که حفظ آن برای سازمان های کوچک و متوسط دشوار است. اینجاست که به خدمات امنیت سایبری ما احتیاج خواهید داشت.

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر

راههای ارتباط با ما

با شما تماس می گیریم!