Как подготовиться к атакам, ведущимся подручными средствами (LOTL)

Серьезные атакующие, выбравшие целью именно вашу компанию, наверняка захотят проникнуть в инфраструктуру глубоко и закрепиться в ней надолго. Иногда для этого используется качественное вредоносное ПО, но многие злоумышленники предпочитают обходиться без него. Они атакуют компанию, используя уязвимости, украденные учетные данные и легитимные программы, которые уже есть в системе. Эта техника называется living off the land (LOTL, буквально «кормиться с земли» или, что точнее по смыслу, «работать подручными средствами»), и, с точки зрения злоумышленника, у нее масса достоинств:

• вредоносная активность сливается с повседневной работой в сети и обычными административными активностями;
• инструменты, которые уже установлены на компьютерах, с меньшей вероятностью вызовут срабатывание базовых средств защиты информации (EPP);
• атакующим не надо тратиться на разработку своих вредоносных инструментов;
• у такой активности нет простых в применении индикаторов компрометации (IOC), поэтому зловредные действия сложно отследить, а кроме того, сложно сопоставить атаки в разных организациях;
• во многих компаниях мониторинг сети и информация о повседневной сетевой активности собирается и хранится недостаточно детально, поэтому ни в реальном времени, ни тем более в прошедшем не удается эффективно и подробно проследить за развитием атаки. В результате предотвращение атаки и устранение ее последствий оказываются очень трудны.

Технику LOTL применяют как шпионские группировки (раз, два), так и финансово мотивированные злоумышленники и банды ransomware.

В каких средах работают атаки LOTL

Атаки LOTL могут успешно проводиться в любых средах: облачных, локальных, гибридных, на платформах Windows, Linux и macOS. На последних, кстати, атаку часто называют living off the orchard, то есть «кормиться с сада», вероятно подразумевая яблоневый сад. В каждой из этих сред у злоумышленников находятся подходящие инструменты и техники.

• Windows. Инструменты, полезные злоумышленникам, обычно называются LOLBINS (LOL binaries) или LOLBAS (LOL binaries and scripts). Мы анализировали самые популярные LOLBINS, а более полный список всех замеченных в атаках windows-инструментов можно изучить в репозитории на GitHub. Для повышения привилегий и отключения защитных средств атакующие могут эксплуатировать легитимные драйверы, их список доступен на www.loldrivers.io.
• Unix/Linux. Обширный список инструментов, эксплуатируемых злоумышленниками, доступен в репозитории gtfobins на GitHub.
• macOS. «Садовые» инструменты, применяемые в атаках, собраны на сайте www.loobins.io.

Еще раз подчеркнем, что все файлы, перечисленные по ссылкам выше, являются легитимными инструментами. Они также не являются уязвимыми сами по себе, просто их может применить злоумышленник, проникший в систему и получивший достаточные привилегии.

Что мешает вам обнаружить атаки LOTL?

Даже если в организации достаточно зрелая служба информационной безопасности, имеются специалисты и продвинутые инструменты, на практике защитникам мешают эффективно обнаруживать атаки LOTL такие типичные проблемы:

• неадаптированные настройки. Даже при наличии продвинутых инструментов защиты, их требуется адаптировать к реалиям организации, особенностям сегментации сети, взаимодействия пользователей и серверов, типичных сценариев работы в IT-системах. На основании доступной информации об угрозах (Threat intelligence) и известных особенностей компании нужно писать и адаптировать правила корреляции. Иногда защитники слишком полагаются на детектирование IOC, но не уделяют должного внимания потенциально опасным поведенческим сигналам. Иногда службы ИБ или IT используют широкие исключения и обширные разрешенные списки (allowlist), в которые включены многие LOLBAS просто потому, что это легитимные приложения. Все перечисленное значительно снижает эффективность защиты;
• недостаточное протоколирование. Стандартный уровень логов во многих системах не позволяет обнаруживать вредоносные действия, сохранять необходимые для анализа параметры событий, надежно отличать легитимные административные манипуляции от вредоносных;
• недостаточная автоматизация. Обнаружить вредоносные действия в ворохе логов можно только после предварительной фильтрации и удаления «фонового шума». Наиболее эффективным будет сбор телеметрии с EDR, он собирает релевантную телеметрию, повышает гибкость в детектировании техник атакующих и снижает количество ложных срабатываний. В отсутствие фильтрации и автоматического анализа логи бесполезны, их просто слишком много;
• изоляция от IT. Описанные выше проблемы будут стоять особенно остро, если службы IT и ИБ мало взаимодействуют, команда ИБ недостаточно знакома с регламентами работ IT, настройками их инструментов и так далее. Другая сторона проблемы — если команды мало общаются, расследование подозрительной активности может затянуться, иногда на недели и месяцы. Злоумышленники тем временем будут развивать свою атаку.

Как обнаружить атаку Living off the Land

Рекомендаций по практической кибербезопасности много, и ни одна из них не является исчерпывающей. Самое свежее и подробное из общедоступных руководств опубликовали недавно киберагентства США, Великобритании и Австралии. Но даже в нем авторы подчеркивают, что дают только ориентир и советы по лучшим практикам.

Наиболее практичные, действенные и исполнимые советы по детектированию таковы:

1. Введите детальное протоколирование событий. Собирайте логи в централизованном хранилище, которое допускает лишь однократную запись и исключает модификации. Это нужно, чтобы атакующие не могли удалить или изменить логи. Централизация логов критична, потому что она позволяет проводить поведенческий анализ, ретроспективный поиск и целенаправленную охоту на угрозы. Также благодаря централизации часто удается сохранять логи за более длительный отрезок времени.
   Чтобы быть полезными, логи должны иметь два важных свойства — полноту и детальность (comprehensive and verbose). В них обязаны регистрироваться события безопасности, включая все команды в консолях управления (шеллах), системные вызовы, активность Powershell и трассировки событий WMI и так далее. Стоит еще раз подчеркнуть, что стандартные конфигурации протоколирования редко охватывают все нужные события. Более того, в некоторых облачных средах нужный уровень протоколирования доступен только в рамках дорогих пакетов обслуживания. В прошлом году на этом обожглись некоторые клиенты Microsoft 365, после чего Microsoft пересмотрели свою политику.
    
   Для правильной реализации требования о протоколировании будут незаменимы инструменты SIEM (централизация, агрегация и анализ событий) и EDR (сбор необходимой телеметрии с хостов).
2. Определите и зафиксируйте типовую, повседневную активность сетевых устройств, серверов, приложений, пользователей, администраторов. Чтобы собрать информацию о нормальном поведении в конкретной сети (baseline), полезно использовать SIEM — в нем сразу видны нормальные последовательности событий, взаимосвязи сервисов и так далее. Особое внимание нужно уделить анализу «административного» поведения, использованию конкретных инструментов привилегированными аккаунтами, включая системные. Число административных инструментов нужно свести к минимуму, настроить детальное протоколирование их работы и заблокировать или обвесить предупреждениями использование других подобных инструментов. Для аккаунтов администраторов важно проанализировать, в какое время они работают, какие команды запускают и в какой последовательности, с какими устройствами взаимодействуют и так далее.
3. Используйте автоматические системы (например, модели машинного обучения), чтобы непрерывно анализировать логи, сравнивать с типовой активностью и предупреждать ИБ об аномалиях. В идеале для этого можно внедрить систему поведенческой аналитики, UEBA.
4. Постоянно обновляйте настройки, чтобы снижать «фоновый шум», корректировать малоэффективные виды предупреждений или понижать их приоритет.
    
   Можно корректировать правила мониторинга и триггеры предупреждений, чтобы точнее различать обычные административные действия и потенциально опасное поведение. Избегайте избыточно широких правил, которые будут создавать нагрузку на системы и аналитиков, таких как «CommandLine=*». В сотрудничестве с командой IT нужно снизить разнообразие используемых утилит администрирования, их доступность на нерелевантных системах, сократить число доступных протоколов и типов аккаунтов для входа в корпоративные системы.

Как защититься от атак LOTL

Сама природа этих атак такова, что полностью предотвратить их почти невозможно. Но правильная настройка сети, конечных точек, приложений и учетных записей может резко сузить пространство для маневра атакующих, ускорить их обнаружение и минимизировать ущерб, который они принесут при попытке проникновения.

1. Изучите и воплотите рекомендации своих вендоров оборудования и приложений по усилению безопасности (hardening). Перечисленное в этом абзаце следует считать программой-минимум:
   • для Windows-систем — оперативно применяйте обновления Microsoft;
   • для Linux-систем — проверьте разрешения для ключевых приложений и демонов, следуя одному из индустриальных руководств, например Red Hat Enterprise Linux Benchmarks;
   • устройства на базе macOS хочется особо выделить, потому что для них отсутствуют общепринятые рекомендации по харденингу, зато существует заблуждение, что они «безопасны из коробки». В смешанных сетях Windows-устройства зачастую превалируют, и службы IT и ИБ сосредотачиваются на Windows и не ищут угрозы и подозрительные события на устройствах Apple. Кроме рекомендации регулярно обновлять macOS до последней версии и обязательно применять EDR/EPP, добавим совет изучить macOS Security Compliance Project, который позволяет сгенерировать рекомендации ИБ для конкретных macOS-устройств;
   • для организаций, активно использующих облачные сервисы Microsoft 365 и Google Workspace, важно воплотить минимальные ИБ-рекомендации от Microsoft и Google;
   • специального внимания и глубокого анализа возможных мер харденинга стоят критические IT-активы компании, например ADFS и ADCS для IT-систем на базе Microsoft;
   • широко применяйте универсальные меры харденинга, такие как минимизация числа запущенных служб, принцип наименьших привилегий, шифрование и аутентификация всех сетевых коммуникаций.
2. Сделайте стандартом подход allowlisting (он же default deny). Если его внедрение для всех приложений и всех компьютеров затруднено, можно попробовать поэтапный подход. Популярные LOLBAS, которые не используются вашей командой в работе и не нужны системным процессам, можно заблокировать. Те инструменты, что реально нужны, должны быть доступны только администраторам, только на релевантных системах и только на время выполнения административных функций. Все сеансы использования таких инструментов должны тщательно протоколироваться и анализироваться на аномалии.
    
   Проведите детальную инвентаризацию конфигураций, политик и установленного ПО на каждом хосте. Если на хосте не требуется то или иное приложение, его желательно удалить, чтобы ограничить атакующих в инструментарии и снять часть головной боли с обновлениями и уязвимостями. Для этой задачи идеально подходят решения класса EDR.
3. Усильте сегментацию сетей IT и OT и мониторинг на уровне внутренней сети. Кроме изоляции сети OT, в отдельную подсеть можно вынести административные машины с высокими привилегиями, важные серверы и так далее.
    
   При внедрении таких ограничений во многих организациях в разрешенные списки (allowlist) вносят избыточно широкие диапазоны IP, например все адреса определенного облачного провайдера. Даже если в этом облаке расположены легитимные серверы, с которыми должен взаимодействовать сервер организации, «соседние» IP вполне могут взять в аренду злоумышленники. Поэтому необходимо более точно определять критично необходимые диапазоны IP и разрешать их по минимуму.
    
   Средства сетевого анализа нужно использовать в том числе для мониторинга трафика между сегментами, фокусируясь на необычных сеансах связи и коммуникациях с более важными сегментами сети. Для этого анализа потребуется глубокий анализ трафика (DPI).
    
   Чтобы значительно упростить работу по мониторингу и резко усложнить проведение атаки, рекомендовано внедрить в организации «административные компьютеры» (privileged access workstations). Высокорисковые административные действия должны быть разрешены только с них. В качестве программы-минимум в Windows-средах только с PAW разрешаются манипуляции с серверами Active Directory.
4. Внедрите аутентификацию и авторизацию для всех взаимодействий человек-машина или машина-машина, вне зависимости от их сетевого расположения.
5. Внедрите комплексный подход к защите инфраструктуры, основанный на применении инструментов отслеживания и реагирования (SIEM + EDR), постоянном повышении информированности и экспертизы своей команды (Threat Intelligence + Cybersecurity Training) и непрерывного улучшения общего подхода к ИБ в компании.