В областта на киберсигурността все по-трудно се откриват атаки от типа „Living-off-the-land“ (LotL). Тези атаки използват легитимни системни инструменти като PowerShell, WMI или макроси на Office, вместо да разчитат на външен зловреден софтуер, което позволява на нападателите да се движат незабележимо в мрежата. Традиционните мерки за сигурност трудно идентифицират тези атаки, тъй като те използват надеждни, цифрово подписани инструменти.

LotL атаките са привлекателни за киберпрестъпниците, тъй като избягват откриване и намаляват риска да бъдат проследени. Този незабележим подход увеличава шансовете за успешен пробив, тъй като нападателите остават скрити за по-дълъг период от време.

Общи техники при LotL атаките

• PowerShell: Използва се за изтегляне и стартиране на зловредни скриптове, установяване на отдалечени връзки или промяна на системните настройки без ясни следи.
• WMI: Използва се за отдалечено изпълнение на команди, събиране на системни данни или поддържане на устойчивост на системата.
• Инструменти за отдалечено администриране: Инструменти като PsExec могат да бъдат използвани за дистанционно изпълнение на злонамерени команди.
• Макроси на Office: Злонамерени макроси, вградени в документи на Office, изпълняват код при отваряне, като се възползват от доверието на потребителя.

Защита срещу LotL атаки с WatchGuard Advanced EPDR:

• Контрол на приложението: Ограничаване на инструменти като PowerShell и WMI до определени потребители и процеси.
• Мониторинг и автоматизиран анализ на поведението: Използвайте анализ на поведението в облака, за да откривате необичайни системни дейности, вместо да разчитате единствено на сигнатури или технология за крайни точки.

За успешното прилагане на тези стратегии, освен Услугата за приложения с нулево доверие, която блокира ненадеждни приложения, позволявайки изпълнението им само след проверка на тяхната надеждност, и Услугата за лов на заплахи, WatchGuard Advanced EPDR предлага функционалности, които позволяват на анализаторите на сигурността бързо да откриват и реагират на присъствието на нападател, използвайки техники на LotL.

Анализаторите могат да предотвратят тези атаки, като забранят приложения като PowerShell и WMI или автоматично откриват типични поведения, използвани при атаки с безфайлов зловреден софтуер, и ги съпоставят с рамката MITRE ATT&CK.

Сега новата версия на Advanced EPDR позволява на анализаторите да изследват тези поведения чрез достъп до обогатена телеметрия с информация за заплахите от една точка на конзолата. Освен това WatchGuard Advanced EPDR предоставя ценна информация за разследване на инциденти, включващи злонамерени приложения. Той идентифицира техниките MITRE ATT&CK, възможностите за злонамерени дейности, които програмата може да прояви, и външните функции, които използва. Те могат да включват извикване на операции на операционната система или други библиотеки чрез нативна интеграция на CAPA – инструмент с отворен код за автоматичен анализ на поведението на приложенията.

• Разширяване на разследването и бърза реакция чрез дистанционно управление: Новата версия на WatchGuard Advanced EPDR включва възможност за отваряне на отдалечен шел за получаване на файлове, проверка на процеси и дори предприемане на директни действия в крайната точка, независимо дали е Windows, Linux или macOS.
• Не разрешавайте връзки, ако те представляват риск: Ограничаването на комуникацията между различни мрежови сегменти или крайни точки чрез сегментиране на мрежата може да попречи на нападателите да се движат странично, използвайки техники на LotL. Новата версия на WatchGuard Advanced EPDR дава възможност на администраторите да отказват връзки от несъответстващи крайни точки, които представляват риск за защитените крайни точки, като по този начин допълнително повишават сигурността на организациите.
• Образование и осведоменост: Обучението на служителите относно рисковете, свързани с макросите, и безопасното използване на административни инструменти може да помогне за предотвратяване на неволното изпълнение на злонамерени скриптове.

Заключение

Атаките LotL представляват сериозно предизвикателство в съвременната киберсигурност. Като използват легитимни системни инструменти и функционалности, нападателите могат да действат незабележимо, избягвайки много традиционни решения за сигурност. Ефективното откриване и предотвратяване на тези атаки изисква комбинация от надежден технически контрол, постоянен мониторинг и задълбочено обучение на потребителите в областта на сигурността. С новата версия на WatchGuard Advanced EPDR организациите могат да подобрят способността си да откриват, предотвратяват и реагират на тези усъвършенствани заплахи, осигурявайки по-сигурна и устойчива среда.