Искусство цифрового фуражирования: Глубокое погружение в LOTL

Методы ‎LOTL‏ ‎представляют ‎собой ‎стратегию ‎киберугроз, ‎при‏ ‎которой ‎злоумышленники‏ ‎используют‏ ‎нативные ‎инструменты ‎и‏ ‎процессы, ‎уже‏ ‎присутствующие ‎в ‎среде ‎атакуемой‏ ‎цели.‏ ‎Такой ‎подход‏ ‎позволяет ‎органично‏ ‎сочетаться ‎с ‎обычной ‎деятельностью ‎системы,‏ ‎значительно‏ ‎снижая ‎вероятность‏ ‎обнаружения. ‎Эффективность‏ ‎LOTL ‎заключается ‎в ‎её ‎способности‏ ‎использовать‏ ‎инструменты,‏ ‎которые ‎не‏ ‎только ‎уже‏ ‎развёрнуты, ‎но‏ ‎и‏ ‎пользуются ‎доверием‏ ‎в ‎среде, ‎тем ‎самым ‎обходя‏ ‎традиционные ‎меры‏ ‎безопасности,‏ ‎которые ‎могут ‎блокировать‏ ‎или ‎помечать‏ ‎незнакомое ‎или ‎вредоносное ‎программное‏ ‎обеспечение.

Методы‏ ‎LOTL ‎не‏ ‎ограничены ‎каким-либо‏ ‎одним ‎типом ‎среды; ‎они ‎эффективно‏ ‎используются‏ ‎в ‎локальных,‏ ‎облачных, ‎гибридных‏ ‎средах ‎Windows, ‎Linux ‎и ‎macOS.‏ ‎Такая‏ ‎универсальность‏ ‎отчасти ‎объясняется‏ ‎тем, ‎что‏ ‎злоумышленники ‎предпочитают‏ ‎избегать‏ ‎затрат ‎и‏ ‎усилий, ‎связанных ‎с ‎разработкой ‎и‏ ‎развёртыванием ‎пользовательских‏ ‎инструментов.‏ ‎Вместо ‎этого ‎упор‏ ‎делается ‎на‏ ‎повсеместное ‎применение ‎и ‎доверие‏ ‎к‏ ‎типовым, ‎популярным‏ ‎и ‎нативным‏ ‎инструментам.

Среды ‎Windows

В ‎корпоративных ‎Windows-средах, ‎методы‏ ‎LOTL‏ ‎особенно ‎распространены‏ ‎из-за ‎широкого‏ ‎использования ‎нативных ‎инструментов, ‎служб ‎и‏ ‎функций‏ ‎операционной‏ ‎системы ‎и‏ ‎доверия ‎к‏ ‎ним.

macOS ‎и‏ ‎гибридные‏ ‎среды

В ‎этом‏ ‎случае ‎злоумышленники ‎используют ‎нативные ‎скрипт-среды,‏ ‎встроенные ‎инструменты,‏ ‎системные‏ ‎конфигурации ‎и ‎бинарные‏ ‎файлы. ‎Стратегия‏ ‎аналогична ‎стратегии ‎в ‎средах‏ ‎Windows,‏ ‎но ‎адаптирована‏ ‎к ‎уникальным‏ ‎аспектам ‎macOS. ‎В ‎гибридных ‎средах,‏ ‎сочетающих‏ ‎физические ‎и‏ ‎облачные ‎системы,‏ ‎злоумышленники ‎все ‎чаще ‎применяют ‎сложные‏ ‎методы‏ ‎LOTL‏ ‎для ‎использования‏ ‎преимуществ ‎систем‏ ‎обоих ‎типов.

Известные‏ ‎Эксплойты

Репозиторий‏ ‎проекта ‎LOLBAS‏ ‎на ‎GitHub ‎предлагает ‎информацию ‎о‏ ‎том, ‎как‏ ‎жить‏ ‎за ‎счёт ‎обычных‏ ‎бинарных ‎файлов,‏ ‎скриптов ‎и ‎библиотек.

Такие ‎веб-сайты,‏ ‎как‏ ‎http://gtfobins.github.io, http://loobins.io и ‎http://loldrivers.io, предоставляют‏ ‎списки ‎бинарных‏ ‎файлов ‎Unix, ‎macOS ‎и ‎Windows‏ ‎соответственно,‏ ‎которые ‎используются‏ ‎в ‎методах‏ ‎LOTL.

ПО ‎удалённого ‎доступа ‎сторонних ‎производителей

Помимо‏ ‎нативных‏ ‎инструментов,‏ ‎атакующие ‎также‏ ‎используют ‎ПО‏ ‎удалённого ‎доступа‏ ‎сторонних‏ ‎производителей ‎в‏ ‎следующих ‎категориях: ‎удалённый ‎мониторинг ‎и‏ ‎управление, ‎управление‏ ‎конфигурацией‏ ‎конечных ‎устройств, ‎EDR,‏ ‎управление ‎исправлениями,‏ ‎системы ‎управления ‎мобильными ‎устройствами‏ ‎и‏ ‎инструменты ‎управления‏ ‎базами ‎данных.‏ ‎Эти ‎инструменты, ‎предназначенные ‎для ‎администрирования‏ ‎и‏ ‎защиты ‎доменов,‏ ‎обладают ‎встроенной‏ ‎функциональностью, ‎которая ‎может ‎выполнять ‎команды‏ ‎на‏ ‎всех‏ ‎клиентских ‎узлах‏ ‎в ‎сети,‏ ‎включая ‎такие‏ ‎важные,‏ ‎как ‎контроллеры‏ ‎домена. ‎Также ‎стоит ‎обратить ‎внимание‏ ‎на ‎наборы‏ ‎привилегий,‏ ‎которые ‎требуются ‎этим‏ ‎инструментам ‎для‏ ‎системного ‎администрирования.