Ako analýza 700 000 bezpečnostných incidentov prispela k nášmu porozumeniu taktikám Living Off the Land

Tento článok zdieľa prvé zistenia z interného výskumu Bitdefender Labs, zameraného na techniky Living off the Land (LOTL). Náš tím v Bitdefender Labs, ktorý tvoria stovky bezpečnostných výskumníkov úzko spolupracujúcich s akademickou sférou, vykonal túto analýzu ako základný výskum počas vývoja našej technológie GravityZone Proactive Hardening and Attack Surface Reduction (PHASR). Výsledky odhaľujú, že útočníci v prevažnej väčšine závažných bezpečnostných incidentov trvalo a rozšírene využívajú dôveryhodné systémové nástroje. Hoci tento výskum bol primárne určený na naše interné vývojové účely, domnievame sa, že tieto prvé poznatky z Bitdefender Labs sú cenné pre širšie pochopenie problému, a preto ich zverejňujeme ešte pred vydaním podrobnejšej správy.

Analýza dát a prvotné zistenie

Aby sme presne zistili, aké bežné sú binárne súbory LOTL (Living Off The Land), analyzovali sme 700 000 bezpečnostných incidentov z našej platformy Bitdefender GravityZone spolu s telemetrickými údajmi (legitímnym využitím) za posledných 90 dní. Bezpečnostné incidenty neboli iba upozorneniami, ale korelovanými udalosťami, a analyzovali sme celý reťazec príkazov, aby sme zistili, ako často útočníci využívajú binárne súbory LOTL. Výsledok? 84 % závažných útokov (incidentov s vysokou závažnosťou) zahŕňalo použitie binárnych súborov LOTL. Na overenie sme tiež preskúmali dáta z našej služby MDR (Managed Detection and Response) a zistili sme rovnaký trend: 85 % incidentov zahŕňalo techniky LOTL.

Najviac zneužívaný nástroj? Netsh.exe

Zatiaľ čo nástroje LOTL (Living Off The Land) sú dôkladne preberané témy (vrátane nášho technického vysvetlenia), väčšina predchádzajúcich analýz vychádzala zo skúseností, nie z tvrdých dát. Naša analýza bola založená na početnosti využitia nástrojov, nie na tom, akú škodu môžu spôsobiť. Chceli sme odhaliť binárne súbory, ktoré sú často zneužívané, ale len zriedka slúžia na legitímne účely.

Jedna vec bola ihneď viditeľná – nástroje obľúbené medzi útočníkmi sú zároveň veľmi populárne medzi administrátormi. Obvyklí „podozriví“ ako powershell.exe, wscript.exe a cscript.exe sa objavili všetci. Prekvapivejším zistením však bolo, že netsh.exe bol najčastejšie zneužívaným nástrojom, vyskytujúcim sa v jednej tretine väčších útokov. Zatiaľ čo kontrola konfigurácie firewallu je pre útočníkov logickým prvým krokom, tento výsledok jasne ukazuje, ako analýza dát dokáže odhaliť trendy, ktoré by ľudské operátory mohli inštinktívne prehliadnuť. Tu je päť najčastejšie zneužívaných nástrojov:

1. Netsh.exe - Správcovia používajú tento nástroj príkazového riadka na správu konfigurácie siete, vrátane firewallov, rozhrania a routingu.
   

2. PowerShell.exe - PowerShell, často označovaný ako „švajčiarsky armádny nôž“ pre správu systému Windows, je univerzálny príkazový riadok a skriptovací jazyk.
   

3. Reg.exe - Tento nástroj príkazového riadka umožňuje správcom pýtať sa, meniť, pridávať alebo odoberať položky v registri. Útočníci ho často využívajú na zabezpečenie perzistencie v systéme.
   

4. Csc.exe - Microsoft C# Compiler je nástroj príkazového riadka pre kompiláciu zdrojového kódu jazyka C# do spustiteľných zostáv (.exe súborov) alebo dynamických linkovaných knižníc (.dll súborov).
   

5. Rundll32.exe – Táto systémová utilitka načíta a spúšťa funkcie exportované z DLL súborov. Často je zneužívaná pre tzv. DLL sideloading útoky.

Ako už bolo spomenuté, obľuba nástrojov medzi útočníkmi často odráža ich popularitu u legitímnych administrátorov. Tento všeobecný trend platil z väčšej časti, ale objavili sa niektoré výnimky. Konkrétne útočníci zneužívajú nástroje ako mshta.exe, pwsh.exe a bitsadmin.exe, ktoré administrátori používajú len zriedka.

Zatiaľ čo väčšina LOLbinov je dobre známa skúseným systémovým administrátorom, existuje ďalšia kategória zneužívaných nástrojov, ktoré nie sú tak dobre pochopené. Tieto nástroje, ako sú csc.exe, msbuild.exe (Microsoft Build Engine) alebo ngen.exe (.NET Native Image Generator), sú primárne využívané vývojármi a môžu unikať pozornosti bezpečnostného monitorovania zameraného iba na tradičné systémové binárne súbory. Často sú využívané na útoky typu DLL sideloading.

Príklad zneužitia MSBuild.exe z nášho výzkumu Unfading Sea Haze

Pokušenie jednoduchých riešení

Náš výskum odhalil ďalšie nečakané zistenia: Široké využitie PowerShell.exe v podnikových prostrediach. Hoci takmer 96 % organizácií v našom datasete PowerShell legitímne používa, pôvodne sme predpokladali, že jeho spúšťanie bude obmedzené predovšetkým na administrátorov. Na naše prekvapenie sme zaznamenali aktivitu PowerShellu na ohromujúcich 73% všetkých koncových zariadení. Ďalšie vyšetrovanie ukázalo, že PowerShell je často volaný nielen administrátormi (a ich otravnými prihlasovacími/odhlasovacími skriptmi), ale aj aplikáciami tretích strán, ktoré spúšťajú kód PowerShellu bez viditeľného rozhrania.

Podobný trend sme pozorovali pri nástroji wmic.exe. Tento nástroj, populárny okolo roku 2000, bol na administratívne účely väčšinou nahradený PowerShellom – a Microsoft plánuje jeho vyradenie. Prekvapilo nás však, že sme zaznamenali jeho pravidelné používanie na mnohých pracovných staniciach. Analýza dát ukázala, že wmic.exe stále bežne využíva rad aplikácií tretích strán na zber systémových informácií.

Geografická analýza tiež odhalila zaujímavé rozdiely v používaní nástrojov. PowerShell.exe vykazoval výrazne nižšiu prítomnosť v regióne APAC (Ázie a Tichomoria), a to iba u 53,3 % organizácií v našom datasete. To je v ostrom kontraste s regiónom EMEA, kde naša analýza ukázala oveľa vyššiu mieru adopcie – 97,3 %. Naopak, zatiaľ čo v APAC bolo používanie PowerShellu nižšie, nástroj reg.exe bol v tomto regióne prítomný častejšie ako v iných geografických oblastiach.

To zdôrazňuje dôležitosť detailného porozumenia, pretože aj nástroje, ktoré sa zdajú zastarané alebo málo využívané, môžu byť kľúčové pre konkrétne funkcie, a ich deaktivácia môže spôsobiť nepredvídané problémy.

Nemôžete s nimi žiť, ale nemôžete žiť ani bez nich

Realita LOTL (Living-off-the-Land), s ktorou „nemôžeme žiť, ale ani bez nej nemôžeme existovať“, priamo inšpirovala vývoj našej technológie Bitdefender GravityZone Proactive Hardening and Attack Surface Reduction (PHASR). Pretože sme si vedomí inherentných rizík a potenciálnych dopadov prostého blokovania týchto nevyhnutných nástrojov, PHASR pristupuje k problému sofistikovanejšie a inteligentnejšie: individualizovaným spevnením koncových bodov pomocou riadenia založeného na akciách.

PHASR nejde iba cestou blokovania celých nástrojov, ale tiež monitoruje a zastavuje konkrétne akcie, ktoré v nich útočníci využívajú. Analyzovaním správania procesov, ako sú powershell.exe, wmic.exe nebo certutil.exe, PHASR rozlišuje škodlivé úmysly od legitímneho použitia. Napríklad PowerShellu umožňuje spúšťať bežné skripty, ale proaktívne blokuje pokusy o spustenie šifrovaných príkazov alebo manipuláciu s kritickými systémovými konfiguráciami.

Zoberme si znova WMIC.exe. Namiesto blokovania celého nástroja, ktoré by mohlo narušiť legitímne operácie, PHASR rozlišuje medzi jeho legitímnym využitím pre získavanie systémových informácií a zneužitím pre laterálny pohyb v sieti alebo manipuláciu s procesmi. Toto blokovanie na úrovni akcií, kombinované s vrstvenou analýzou správania užívateľov a útočníkov, umožňuje šitú ochranu na mieru bez narušenia prevádzky.

Účinnosť PHASR stojí na jeho architektúre, ktorá zahŕňa stovky podrobných pravidiel vychádzajúcich zo známych taktík útočníkov a našej rozsiahlej threat intelligencie. Engine priebežne učí, aké správanie je pre daný koncový bod typické, a vytvára jeho baseline. Toto naučené správanie je potom neustále porovnávané so známymi škodlivými vzorcami a novo sa objavujúcimi hrozbami. Vďaka inteligentnej analýze PHASR nielen detekuje a reportuje podozrivú aktivitu, ale aj proaktívne blokuje prístup ku konkrétnym nástrojom – alebo dokonca častiam ich funkcionality – pokiaľ ich použitie odchyľuje od stanovenej baseline a zodpovedá indikátorom škodlivej činnosti. Toto proaktívne blokovanie prebieha plynulo, bez nutnosti neustálych manuálnych úprav politík, a zaisťuje robustnú ochranu aj proti doteraz neznámym LOTL útokom.

Záver

Vyhlásenie „gg,“ vodca ransomware skupiny BlackBasta, desivo zdôrazňuje kľúčovú výzvu, ktorú odhalila naša analýza 700 000 bezpečnostných incidentov. „Ak používame štandardné utility, nebudeme odhalení… Nikdy nenechávame nástroje v zariadeniach.“ Ohromujúcich 84% výskytu techník Living off the Land (LOTL) vo veľkých útokoch túto taktiku útočníkov priamo potvrdzuje.

Útočníci sú nesporne úspešní v obchádzaní tradičných obranných mechanizmov tým, že obratne zneužívajú systémové nástroje, ktoré sami denne používame a dôverujeme im – a páchatelia operujú s presvedčením, že ich nemožno odhaliť. Táto drsná realita vyžaduje zásadný posun smerom k riešeniam, ako je Bitdefender PHASR, ktoré prekračujú iba hrubé blokovanie a vedia rozpoznať a neutralizovať zlovoľné úmysly skryté v týchto nástrojoch.

AUTOR