Šta su Living off the Land napadi?

Napad bez malvera, bez fajlova, alatima koji već postoje u sistemu.

Šta su Living off the Land napadi?

Izraz “Living off the Land” u engleskom jeziku koristi se za stil života u kom se ljudi odriču modernih tekovina civilizacije i pokušavaju da žive samo od resursa koje mogu da dobiju iz prirodnog okruženja.

U sferi sajber bezbednosti “Living off the Land” (LotL) odnosi se na napade u kojima se koriste samo alati koji već postoje u okruženju potencijalne žrtve.

Na taj način izbegava se detekcija, pa napadači sve češće koriste legitimne admin alate u maliciozne svrhe. Takve alate administratori uobičajeno koriste za monitoring okruženja, izvlačenje kredencijala itd.

Kod LotL napada, hakeri koriste iste alate, koji su uglavnom odobreni (nalaze se na beloj listi) za korišćenje jer spadaju u legitimne admin alate. Sve ono što administratori rade - administracija mreže, naloga, hash provera itd. sa ovim alatima mogu neprimećeno da rade i napadači. Naravno, njihove namere su maliciozne.

Čak i kada neki admin alati nisu instalirani, napadači će ih po potrebi ubaciti jer računaju na to da se oni kao legitimni alati nalaze na „beloj listi“. Često je nemoguće detektovati ovakvu malicioznu aktivnost, osim ako ne postoji neka dodatna bihejvioralna analitika koja je u stanju da pokaže da se ovi alati ne koriste na način na koji bi ih koristio sysadmin.

Living of the Land koncept postoji više od 25 godina, a poslednjih godina je ponovo aktuelizovan. Fileless napadi su praktično podskup LotL napada, a može se reći da pod LotL spadaju i dual-use i memory-only alati.

LotL napadači koriste legitimne off-the-shelf alate („sa police“) i preinstalirane sistemske alate za izvođenje napada. Recimo, postoji više od 100 Windows sistemskih alata koje napadači mogu upotrebiti u maliciozne svrhe. Glavni motiv za korišćenje ovih alata je izbegavanje detekcije - napadači računaju s tim da će moći da sakriju malicioznu aktivnost u moru legitimnih procesa.

Pored izbegavanja detekcije, napadači ostvaruju još jednu korist - smanjuju šanse da se u kasnijoj istrazi otkrije ko je izvršio napad. Napadačke grupe je generalno moguće identifikovati prema (prilagođenom) malveru koji koriste, ali kada neko koristi LotL alate i generički malver, znatno je teže napraviti ovakvu vezu.

Još jedan razlog povećane popularnosti LotL aktivnosti je napor koji je potreban da se pronađu i eksploatišu zero-day ranjivosti. Napadači se okreću ovakvim (oprobanim) metodama s obzirom na to da je sve skuplje pronaći ranjivosti koje se mogu eksploatisati. Često je spear-phishing, u kombinaciji sa još nekom tehnikom socijalnog inženjeringa, dovoljan da napadači ostvare svoje ciljeve.

Legitimni alati koje napadači često koriste su:

  • PowerShell scripts
  • VB scripts
  • WMI
  • Mimikatz
  • PsExec

Svi ovi alati se legitimno koriste tako da je teško detektovati kada se koriste u maliciozne svrhe. Samo uz pomoć LotL alata napadači mogu da dobiju remote pristup uređaju, ukradu podatke i izazovu prekide u poslovnim operacijama kompanija - sve to bez korišćenja bilo kakvog malvera.

Jedan od najpoznatijih sajber napada u kome su obilato korišćeni LotL alati je Petya/NonPetya napad iz 2017, kada je preko kompromitovanog ažuriranja knjigovodstvenog softvera (napad na logističku mrežu) nastupila velika infekcija.