Киберпрестъпниците разработват все по-ефективни методи за компрометиране на Windows компютри, като същевременно избягват откриването от защитни решения.
Според наблюденията на Иван Спиридонов, вместо да разчитат на външни зловредни инструменти, хакерите използват вече инсталирани легитимни Windows програми – тактика, известна като „живеене от средата“ (LOLBins, или Living Off the Land Binaries).
Традиционните атаки често използват външни инструменти като Mimikatz или PowerShell Empire, които се откриват лесно от решения за Endpoint Detection and Response (EDR). Новият подход обаче е по-труден за засичане.
Защо този метод е ефективен
Хакерите злоупотребяват с Microsoft-подписани програми като PowerShell, Windows Management Instrumentation (WMI), Certutil и BitAdmin. Тези инструменти се считат за доверени по подразбиране, тъй като системните администратори ги използват ежедневно за легитимни задачи.
Предимството е очевидно: антивирусите и EDR решенията сигнализират за подозрителни файлове, но инструментите, подписани от Microsoft, се считат за безопасни. Когато бъдат използвани злонамеренo, действията на нападателите се сливат с нормалната административна работа, което ги прави почти невидими без сложен поведенчески анализ.
Пример от реален тест на червен екип показва това ясно: при качване на външен инструмент за извличане на пароли, атаката е засечена и блокирана за 15 минути. Когато обаче са използвани само вградените Windows инструменти, операторът е поддържал достъп три седмици, преминавайки през 15 системи и извличайки данни, без да предизвика нито едно предупреждение.
Често използвани техники „живеене от средата“
Атакуващите използват различни вградени инструменти за специфични цели:
| Инструмент | Злонамерена функция | Причина за избягване на откриване |
|---|---|---|
| PowerShell | Позволява изпълнение на команди на други системи | Легитимен инструмент за автоматизация, злонамерените скриптове изглеждат като нормални операции |
| WMI (Windows Management Instrumentation) | Изтегля зловредни файлове или ексфилтрира данни | Използва се за разузнаване, извличане на идентификационни данни и движение в мрежата |
| Certutil.exe | Създава постоянен достъп чрез изпълнение на код в определено време | Легитимен инструмент за сертификати, разрешен по подразбиране от повечето защити |
| Планирани задачи (Scheduled Tasks) | Осигурява постоянство и модификация на конфигурации | Злонамерените задачи се маскират като системна поддръжка |
| Windows Registry | Изпълнение на команди без файлове | Позволява атака без използване на подозрителни протоколи |
Други техники включват използване на DNS за скрити канали, имейл приложения за извличане на информация, BitAdmin за фонова трансферна дейност.
Защитните екипи са изправени пред дилема: блокирането на тези инструменти за сигурност би нарушило нормалната работа на IT отделите. Например, изключването на PowerShell би сринало автоматизационни скриптове, а премахването на WMI би засегнало управлението на системите.
Как да се защитим
Защитата изисква преминаване от базирана на подписи защита към поведенчески анализ и пълен логинг. Ефективни мерки включват:
-
Логване на PowerShell скриптове и командни линии
-
Мониторинг на WMI активност
-
Използване на Sysmon за детайлно проследяване на системната дейност
-
Строга политика за позволени приложения (application allow listing)
-
Следене на необичайни взаимоотношения между процеси
-
Създаване на базови линии за нормална административна активност и мониторинг на подозрителни мрежови връзки
Тези подходи позволяват откриването на злоупотреби с легитимни инструменти, дори когато отделните команди изглеждат нормални.
Докато методите на киберпрестъпниците продължават да се развиват, организациите трябва да преминат отвъд блокирането на познати инструменти. Фокусът трябва да бъде върху откриване на подозрителни поведенчески модели, независимо от това кой легитимен софтуер се използва за атаката.
