Jak analýza 700 000 bezpečnostních incidentů přispěla k našemu porozumění taktikám Living Off the Land

Tento článek sdílí první zjištění z interního výzkumu Bitdefender Labs, zaměřeného na techniky Living off the Land (LOTL). Náš tým v Bitdefender Labs, který tvoří stovky bezpečnostních výzkumníků úzce spolupracujících s akademickou sférou, provedl tuto analýzu jako základní výzkum během vývoje naší technologie GravityZone Proactive Hardening and Attack Surface Reduction (PHASR). Výsledky odhalují, že útočníci v naprosté většině závažných bezpečnostních incidentů trvale a rozšířeně využívají důvěryhodné systémové nástroje. Ačkoli tento výzkum byl primárně určen pro naše interní vývojové účely, domníváme se, že tyto první poznatky z Bitdefender Labs jsou cenné pro širší pochopení problému, a proto je zveřejňujeme ještě před vydáním podrobnější zprávy.

Analýza dat a prvotní zjištění

Abychom přesně zjistili, jak běžné jsou binární soubory LOTL (Living Off The Land), analyzovali jsme 700 000 bezpečnostních incidentů z naší platformy Bitdefender GravityZone spolu s telemetrickými údaji (legitimním využití) za posledních 90 dní. Bezpečnostní incidenty nebyly pouhými upozorněními, ale korelovanými událostmi, a analyzovali jsme celý řetězec příkazů, abychom zjistili, jak často útočníci využívají binární soubory LOTL. Výsledek? 84 % závažných útoků (incidentů s vysokou závažností) zahrnovalo použití binárních souborů LOTL. Pro ověření jsme také prozkoumali data z naší služby MDR (Managed Detection and Response) a zjistili jsme stejný trend: 85 % incidentů zahrnovalo techniky LOTL.

Nejvíce zneužívaný nástroj? Netsh.exe

Zatímco nástroje LOTL (Living Off The Land) jsou důkladně probírané téma (včetně našeho technického vysvětlení), většina předchozích analýz vycházela ze zkušeností, nikoli z tvrdých dat. Naše analýza byla založena na četnosti využití nástrojů, nikoli na tom, jakou škodu mohou způsobit. Chtěli jsme odhalit binární soubory, které jsou často zneužívány, ale jen zřídka slouží legitimním účelům.

Jedna věc byla ihned patrná – nástroje oblíbené mezi útočníky jsou zároveň velmi populární mezi administrátory. Obvyklí „podezřelí“ jako powershell.exe, wscript.exe a cscript.exe se objevili všichni. Překvapivějším zjištěním však bylo, že netsh.exe byl nejčastěji zneužívaným nástrojem, vyskytujícím se v jedné třetině větších útoků. Zatímco kontrola konfigurace firewallu je pro útočníky logickým prvním krokem, tento výsledek jasně ukazuje, jak analýza dat dokáže odhalit trendy, které by lidské operátory mohli instinktivně přehlédnout. Zde je pět nejčastěji zneužívaných nástrojů:

1. Netsh.exe - Správci používají tento nástroj příkazového řádku ke správě konfigurace sítě, včetně firewallů, rozhraní a routingu.
   

2. PowerShell.exe - PowerShell, často označovaný jako „švýcarský armádní nůž“ pro správu systému Windows, je univerzální příkazový řádek a skriptovací jazyk.
   

3. Reg.exe - Tento nástroj příkazového řádku umožňuje správcům dotazovat se, měnit, přidávat nebo odebírat položky v registru. Útočníci jej často využívají k zajištění perzistence v systému.
   

4. Csc.exe - Microsoft C# Compiler je nástroj příkazového řádku pro kompilaci zdrojového kódu jazyka C# do spustitelných sestav (.exe souborů) nebo dynamických linkovaných knihoven (.dll souborů).
   

5. Rundll32.exe – Tato systémová utilitka načítá a spouští funkce exportované z DLL souborů. Často je zneužívána pro tzv. DLL sideloading útoky.

Jak již bylo zmíněno, obliba nástrojů mezi útočníky často odráží jejich popularitu u legitimních administrátorů. Tento obecný trend platil z větší části, ale objevily se některé výjimky. Konkrétně útočníci zneužívají nástroje jako mshta.exe, pwsh.exe a bitsadmin.exe, které administrátoři používají jen zřídka.

Zatímco většina LOLBinů je dobře známá zkušeným systémovým administrátorům, existuje další kategorie zneužívaných nástrojů, které nejsou tak dobře pochopeny. Tyto nástroje, jako jsou csc.exe, msbuild.exe (Microsoft Build Engine) nebo ngen.exe (.NET Native Image Generator), jsou primárně využívány vývojáři a mohou unikat pozornosti bezpečnostního monitorování zaměřeného pouze na tradiční systémové binární soubory. Často jsou využívány pro útoky typu DLL sideloading.

Příklad zneužití MSBuild.exe z našeho výzkumu Unfading Sea Haze

Pokušení jednoduchých řešení

Náš výzkum odhalil další nečekané zjištění: Široké využití PowerShell.exe v podnikových prostředích. Ačkoli téměř 96 % organizací v našem datasetu PowerShell legitimně používá, původně jsme předpokládali, že jeho spouštění bude omezeno především na administrátory. K našemu překvapení jsme zaznamenali aktivitu PowerShellu na ohromujících 73 % všech koncových zařízení. Další šetření ukázalo, že PowerShell je často volán nejen administrátory (a jejich otravnými přihlašovací/odhlašovacími skripty), ale také aplikacemi třetích stran, které spouštějí kód PowerShellu bez viditelného rozhraní.

Podobný trend jsme pozorovali u nástroje wmic.exe. Tento nástroj, populární kolem roku 2000, byl pro administrativní účely většinou nahrazen PowerShellem – a Microsoft plánuje jeho vyřazení. Překvapilo nás však, že jsme zaznamenali jeho pravidelné používání na mnoha pracovních stanicích. Analýza dat ukázala, že wmic.exe stále běžně využívá řada aplikací třetích stran ke sběru systémových informací.

Geografická analýza také odhalila zajímavé rozdíly v používání nástrojů. Například PowerShell.exe vykazoval výrazně nižší přítomnost v regionu APAC (Asie a Tichomoří), a to pouze u 53,3 % organizací v našem datasetu. To je v ostrém kontrastu s regionem EMEA, kde naše analýza ukázala mnohem vyšší míru adopce – 97,3 %. Naopak zatímco v APAC bylo používání PowerShellu nižší, nástroj reg.exe byl v tomto regionu přítomen častěji než v jiných geografických oblastech.

To zdůrazňuje důležitost detailního porozumění, protože i nástroje, které se zdají zastaralé nebo málo využívané, mohou být klíčové pro konkrétní funkce, a jejich deaktivace může způsobit nepředvídané problémy.

Nemůžete s nimi žít, ale nemůžete žít ani bez nich.

Realita LOTL (Living-off-the-Land), se kterou „nemůžeme žít, ale ani bez ní nemůžeme existovat“, přímo inspirovala vývoj naší technologie Bitdefender GravityZone Proactive Hardening and Attack Surface Reduction (PHASR). Protože jsme si vědomi inherentních rizik a potenciálních dopadů prostého blokování těchto nezbytných nástrojů, PHASR přistupuje k problému sofistikovaněji a inteligentněji: individualizovaným zpevněním koncových bodů pomocí řízení založeného na akcích.

PHASR nejde pouze cestou blokování celých nástrojů, ale také monitoruje a zastavuje konkrétní akce, které v nich útočníci využívají. Analyzováním chování procesů, jako jsou powershell.exe, wmic.exe nebo certutil.exe, PHASR rozlišuje škodlivé úmysly od legitimního použití. Například PowerShellu umožňuje spouštět běžné skripty, ale proaktivně blokuje pokusy o spuštění šifrovaných příkazů nebo manipulaci s kritickými systémovými konfiguracemi.

Vezměme si znovu WMIC.exe. Místo blokování celého nástroje, které by mohlo narušit legitimní operace, PHASR rozlišuje mezi jeho legitimním využitím pro získávání systémových informací a zneužitím pro laterální pohyb v síti nebo manipulaci s procesy. Toto blokování na úrovni akcí, kombinované s vrstvenou analýzou chování uživatelů a útočníků, umožňuje šitou ochranu na míru bez narušení provozu.

Účinnost PHASR stojí na jeho architektuře, která zahrnuje stovky podrobných pravidel vycházejících ze známých taktik útočníků a naší rozsáhlé threat intelligence. Engine průběžně učí, jaké chování je pro daný koncový bod typické, a vytváří jeho baseline. Toto naučené chování je pak neustále porovnáváno se známými škodlivými vzorci a nově se objevujícími hrozbami. Díky inteligentní analýze PHASR nejen detekuje a reportuje podezřelou aktivitu, ale také proaktivně blokuje přístup ke konkrétním nástrojům – nebo dokonce částem jejich funkcionality – pokud jejich použití odchyluje od stanovené baseline a odpovídá indikátorům škodlivé činnosti. Toto proaktivní blokování probíhá plynule, bez nutnosti neustálých manuálních úprav politik, a zajišťuje robustní ochranu i proti dosud neznámým LOTL útokům.

Závěr

Prohlášení „gg,“ vůdce ransomware skupiny BlackBasta, děsivě zdůrazňuje klíčovou výzvu, kterou odhalila naše analýza 700 000 bezpečnostních incidentů. „Pokud používáme standardní utility, nebudeme odhaleni… Nikdy nenecháváme nástroje v zařízeních.“ Ohromujících 84 % výskytu technik Living off the Land (LOTL) ve velkých útocích tuto taktiku útočníků přímo potvrzuje.

Útočníci jsou nesporně úspěšní v obcházení tradičních obranných mechanismů tím, že obratně zneužívají systémové nástroje, které sami denně používáme a důvěřujeme jim – a pachatelé operují s přesvědčením, že je nelze odhalit. Tato drsná realita vyžaduje zásadní posun směrem k řešením, jako je Bitdefender PHASR, které překračují pouhé hrubé blokování a umí rozpoznat a neutralizovat zlovolné úmysly skryté v těchto nástrojích.

AUTOR