Минимизация ‎векторов‏ ‎атаки

Производителям ‎ПО ‎настоятельно ‎рекомендуется ‎минимизировать‏ ‎возможности ‎атаки‏ ‎путём‏ ‎выполнения ‎различных ‎действий:‏ ‎отключение ‎ненужных‏ ‎протоколов ‎по ‎умолчанию, ‎ограничение‏ ‎количества‏ ‎процессов ‎и‏ ‎программ, ‎запущенных‏ ‎с ‎повышенными ‎привилегиями, ‎и ‎принятие‏ ‎упреждающих‏ ‎мер ‎по‏ ‎ограничению ‎возможностей‏ ‎участников ‎использовать ‎нативные ‎функциональные ‎возможности‏ ‎для‏ ‎вторжений.

Внедрение‏ ‎системы ‎безопасности‏ ‎в ‎SDLC

Безопасность‏ ‎должна ‎быть‏ ‎встроена‏ ‎в ‎архитектуру‏ ‎продукта ‎на ‎протяжении ‎всего ‎жизненного‏ ‎цикла ‎разработки‏ ‎программного‏ ‎обеспечения ‎(SDLC). ‎Такая‏ ‎упреждающая ‎интеграция‏ ‎гарантирует, ‎что ‎соображения ‎безопасности‏ ‎станут‏ ‎не ‎второстепенной‏ ‎задачей, ‎а‏ ‎фундаментальным ‎компонентом ‎продукта ‎от ‎начала‏ ‎разработки‏ ‎до ‎развертывания.

Обязательная‏ ‎многофакторная ‎аутентификация‏ ‎(MFA)

Производителям ‎следует ‎установить ‎MFA, ‎в‏ ‎идеале‏ ‎защищенный‏ ‎от ‎фишинга,‏ ‎для ‎привилегированных‏ ‎пользователей ‎и‏ ‎сделать‏ ‎его ‎функцией‏ ‎по ‎умолчанию, ‎а ‎не ‎необязательной.‏ ‎Этот ‎шаг‏ ‎значительно‏ ‎повышает ‎безопасность ‎учётных‏ ‎записей ‎пользователей,‏ ‎особенно ‎тех, ‎которые ‎имеют‏ ‎повышенный‏ ‎доступ.

Уменьшение ‎hardening-действий

Объём‏ ‎действий, ‎прилагаемых‏ ‎к ‎объектам ‎защиты, ‎следует ‎отслеживать‏ ‎и‏ ‎уменьшать. ‎По‏ ‎мере ‎выпуска‏ ‎новых ‎версий ‎программного ‎обеспечения ‎целью‏ ‎должно‏ ‎быть‏ ‎уменьшение ‎размера‏ ‎этих ‎руководств‏ ‎с ‎течением‏ ‎времени‏ ‎путем ‎интеграции‏ ‎их ‎компонентов ‎в ‎качестве ‎конфигурации‏ ‎продукта ‎по‏ ‎умолчанию.

Учёт‏ ‎пользовательского ‎опыта

Необходимо ‎учитывать‏ ‎влияние ‎настроек‏ ‎безопасности ‎на ‎работу ‎пользователя.‏ ‎В‏ ‎идеале ‎наиболее‏ ‎безопасная ‎настройка‏ ‎должна ‎быть ‎интегрирована ‎в ‎продукт‏ ‎по‏ ‎умолчанию, ‎а‏ ‎при ‎необходимости‏ ‎настройки ‎опция ‎должна ‎быть ‎защищена‏ ‎от‏ ‎распространённых‏ ‎угроз. ‎Такой‏ ‎подход ‎снижает‏ ‎когнитивную ‎нагрузку‏ ‎на‏ ‎конечных ‎пользователей‏ ‎и ‎обеспечивает ‎широкую ‎защиту.

Удаление ‎паролей‏ ‎по ‎умолчанию

Пароли‏ ‎по‏ ‎умолчанию ‎следует ‎полностью‏ ‎исключить, ‎или‏ ‎сформировать, ‎или ‎установить ‎при‏ ‎первой‏ ‎установке, ‎а‏ ‎затем ‎периодически‏ ‎менять. ‎Такая ‎практика ‎предотвращает ‎использование‏ ‎паролей‏ ‎по ‎умолчанию‏ ‎в ‎качестве‏ ‎удобной ‎точки ‎входа ‎для ‎злоумышленников.

Ограничение‏ ‎динамического‏ ‎выполнения‏ ‎кода

Динамическое ‎выполнение‏ ‎кода, ‎хотя‏ ‎и ‎обеспечивает‏ ‎универсальность,‏ ‎представляет ‎собой‏ ‎уязвимое ‎место ‎для ‎атаки. ‎Производителям‏ ‎следует ‎ограничить‏ ‎или‏ ‎удалить ‎возможность ‎динамического‏ ‎выполнения ‎кода‏ ‎из-за ‎высокого ‎риска ‎и‏ ‎сложности‏ ‎обнаружения ‎связанных‏ ‎с ‎ним‏ ‎индикаторов ‎компрометации ‎(IoC).

Удаление ‎фиксированных ‎учётных‏ ‎данных

Приложения‏ ‎и ‎скрипты,‏ ‎содержащие ‎информацию‏ ‎об ‎учётных ‎данных ‎в ‎виде‏ ‎открытого‏ ‎текста‏ ‎(hardcode), ‎представляют‏ ‎значительный ‎риск‏ ‎для ‎безопасности.‏ ‎Удаление‏ ‎таких ‎учётных‏ ‎данных ‎важно ‎для ‎предотвращения ‎использования‏ ‎их ‎злоумышленниками‏ ‎для‏ ‎доступа ‎к ‎ресурсам‏ ‎и ‎расширения‏ ‎своего ‎присутствия ‎в ‎сети.

В ‎случае‏ ‎обнаружения ‎факта ‎компрометации ‎необходимо ‎применение‏ ‎защитных ‎контрмер.

Действия‏ ‎немедленного‏ ‎реагирования

📌Сброс ‎учётных ‎данных‏ ‎для ‎привилегированных‏ ‎и ‎непривилегированных ‎учётных ‎записей‏ ‎в‏ ‎пределах ‎границ‏ ‎доверия ‎каждой‏ ‎скомпрометированной ‎учётной ‎записи.

📌Принудительный ‎сброс ‎пароля,‏ ‎отзыв‏ ‎и ‎выдача‏ ‎новых ‎сертификатов‏ ‎для ‎всех ‎учётных ‎записей ‎и‏ ‎устройств.

Действия,‏ ‎относящиеся‏ ‎к ‎среде‏ ‎Windows:

📌При ‎подозрении‏ ‎на ‎доступ‏ ‎к‏ ‎Контроллеру ‎домена‏ ‎(DC) ‎или ‎Active ‎Directory ‎(AD)‏ ‎сброс ‎паролей‏ ‎всех‏ ‎локальных ‎учётных ‎записей,‏ ‎включая ‎Guest,‏ ‎HelpAssistant, ‎DefaultAccount, ‎System, ‎Administrator‏ ‎и‏ ‎krbtgt. ‎Учётную‏ ‎запись ‎krbtgt,‏ ‎которая ‎обрабатывает ‎запросы ‎на ‎регистрацию‏ ‎Kerberos,‏ ‎следует ‎дважды‏ ‎сбросить ‎для‏ ‎обеспечения ‎безопасности ‎из-за ‎истории ‎с‏ ‎двумя‏ ‎паролями.

📌Если‏ ‎есть ‎подозрение,‏ ‎что ‎файл‏ ‎ntds.dit ‎подвергался‏ ‎эксфильтрации,‏ ‎требуется ‎сброс‏ ‎пароля ‎всех ‎пользователей ‎домена.

📌Просмотр ‎и‏ ‎коррекция ‎политики‏ ‎доступа‏ ‎для ‎временного ‎отзыва‏ ‎или ‎уменьшения‏ ‎права ‎доступа ‎для ‎затронутых‏ ‎учётных‏ ‎записей ‎и‏ ‎устройств.

📌Сброс ‎учётных‏ ‎данных ‎учётной ‎записи ‎без ‎повышенных‏ ‎прав‏ ‎доступа: ‎если‏ ‎доступ ‎атакующего‏ ‎ограничен ‎правами, ‎сброс ‎соответствующих ‎учётным‏ ‎данным‏ ‎ключа‏ ‎доступа ‎и‏ ‎отслеживание ‎дальнейших‏ ‎признаков ‎несанкционированного‏ ‎доступа,‏ ‎особенно ‎к‏ ‎учётным ‎записям ‎администраторов.

Аудит ‎конфигурации ‎сети‏ ‎и ‎устройств

Аудит‏ ‎сетевых‏ ‎устройств ‎и ‎пограничных‏ ‎устройств: ‎проверка‏ ‎наличия ‎признаков ‎несанкционированных ‎или‏ ‎вредоносных‏ ‎изменений ‎конфигурации.‏ ‎Если ‎изменения‏ ‎обнаружены:

📌 Требуется ‎изменения ‎всех ‎учётных ‎данных,‏ ‎используемых‏ ‎для ‎управления‏ ‎сетевыми ‎устройствами,‏ ‎включая ‎ключи ‎и ‎строки, ‎обеспечивающие‏ ‎функции‏ ‎сетевого‏ ‎устройства.

📌 Обновление ‎всех‏ ‎прошивок ‎и‏ ‎программного ‎обеспечения‏ ‎до‏ ‎последних ‎версий.

Использование‏ ‎инструмента ‎удалённого ‎доступа

📌 Минимизация ‎удалённого ‎доступа‏ ‎и ‎контроль:‏ ‎следование‏ ‎рекомендациям ‎по ‎обеспечению‏ ‎безопасности ‎средств‏ ‎и ‎протоколов ‎удалённого ‎доступа,‏ ‎включая‏ ‎рекомендации ‎по‏ ‎безопасности ‎программного‏ ‎обеспечения ‎удалённого ‎доступа ‎и ‎безопасному‏ ‎использованию‏ ‎PowerShell.

В ‎рамках‏ ‎рекомендаций ‎предлагаются ‎регулярные ‎проверки ‎инвентаризации‏ ‎системы ‎для‏ ‎выявления‏ ‎поведения ‎злоумышленников, ‎которое‏ ‎может ‎быть‏ ‎пропущено ‎журналами ‎событий ‎из-за‏ ‎некорректных‏ ‎конфигураций. ‎Организациям‏ ‎рекомендуется ‎включить‏ ‎регистрацию ‎всех ‎событий, ‎связанных ‎с‏ ‎безопасностью,‏ ‎включая ‎действия‏ ‎командной ‎строки,‏ ‎системные ‎вызовы ‎и ‎журналы ‎аудита‏ ‎на‏ ‎всех‏ ‎платформах, ‎чтобы‏ ‎улучшить ‎обнаружение‏ ‎вредоносной ‎активности‏ ‎LOTL.

Сетевые‏ ‎журналы ‎

Обнаружение‏ ‎LOTL-методов ‎с ‎помощью ‎сетевых ‎журналов‏ ‎представляет ‎собой‏ ‎проблемы‏ ‎из-за ‎преходящего ‎характера‏ ‎сетевых ‎артефактов‏ ‎и ‎сложности ‎распознавания ‎вредоносной‏ ‎активности‏ ‎от ‎легитимного‏ ‎поведения. ‎В‏ ‎отличие ‎от ‎артефактов ‎хоста, ‎которые‏ ‎часто‏ ‎можно ‎обнаружить,‏ ‎если ‎только‏ ‎атакующий ‎намеренно ‎не ‎удалит ‎их,‏ ‎сетевые‏ ‎артефакты‏ ‎являются ‎производными‏ ‎от ‎сетевого‏ ‎трафика, ‎временными‏ ‎и‏ ‎требуют ‎надлежащей‏ ‎настройки ‎систем ‎управления ‎событиями ‎для‏ ‎их ‎отслеживания.‏ ‎Без‏ ‎соответствующих ‎датчиков ‎для‏ ‎регистрации ‎сетевого‏ ‎трафика ‎невозможно ‎наблюдать ‎за‏ ‎активностью‏ ‎LOTL.

Показатели ‎активности‏ ‎LOTL

Обнаружение ‎активности‏ ‎LOTL ‎включает ‎в ‎себя ‎поиск‏ ‎набора‏ ‎возможных ‎индикаторов‏ ‎для ‎формирования‏ ‎связанных ‎поведенческих ‎сетевых ‎признаков ‎в‏ ‎трафике.

📌 Просмотр‏ ‎журналов‏ ‎брандмауэра: Заблокированные ‎попытки‏ ‎доступа ‎в‏ ‎журналах ‎брандмауэра‏ ‎могут‏ ‎сигнализировать ‎о‏ ‎компрометации, ‎особенно ‎в ‎должным ‎образом‏ ‎сегментированной ‎сети.‏ ‎Попытки‏ ‎обнаружения ‎сети ‎и‏ ‎сопоставления ‎внутри‏ ‎неё ‎также ‎могут ‎указывать‏ ‎на‏ ‎активность ‎LOTL.‏ ‎Важно ‎различать‏ ‎обычное ‎поведение ‎инструмента ‎управления ‎сетью‏ ‎и‏ ‎аномальное.

📌 Исследование ‎аномальных‏ ‎признаков ‎в‏ ‎трафике: ‎изучение ‎определённых ‎типов ‎трафика,‏ ‎такие‏ ‎как‏ ‎запросы ‎LDAP‏ ‎от ‎хостов‏ ‎Linux, ‎не‏ ‎присоединённых‏ ‎к ‎домену,‏ ‎запросы ‎SMB ‎из ‎разных ‎сегментов‏ ‎сети ‎или‏ ‎запросы‏ ‎доступа ‎к ‎базе‏ ‎данных ‎с‏ ‎рабочих ‎станций ‎пользователей, ‎которые‏ ‎должны‏ ‎выполняться ‎только‏ ‎внешними ‎серверами,‏ ‎с ‎конечной ‎целью ‎отличить ‎легитимное‏ ‎приложения‏ ‎от ‎вредоносных‏ ‎запросов.

📌 Изучение ‎журналов‏ ‎сетевых ‎служб ‎на ‎хост-машинах: ‎журналы‏ ‎таких‏ ‎служб,‏ ‎как ‎Sysmon‏ ‎и ‎IIS,‏ ‎на ‎хост-машинах‏ ‎могут‏ ‎предоставить ‎информацию‏ ‎о ‎взаимодействиях ‎веб-сервера, ‎транзакциях ‎FTP‏ ‎и ‎других‏ ‎сетевых‏ ‎действиях. ‎Эти ‎журналы‏ ‎содержат ‎ценный‏ ‎контекст ‎и ‎детали, ‎которые‏ ‎могут‏ ‎быть ‎недоступны‏ ‎традиционным ‎сетевым‏ ‎устройствам.

📌 Объединение ‎журналов ‎сетевого ‎трафика ‎с‏ ‎журналами‏ ‎на ‎базе‏ ‎хоста: ‎этот‏ ‎подход ‎позволяет ‎включать ‎дополнительную ‎информацию,‏ ‎такую‏ ‎как‏ ‎учётная ‎запись‏ ‎пользователя ‎и‏ ‎сведения ‎о‏ ‎процессе.‏ ‎Расхождения ‎между‏ ‎артефактами ‎назначения ‎и ‎внутри ‎сети‏ ‎могут ‎указывать‏ ‎на‏ ‎вредоносный ‎трафик.

Журналы ‎событий‏ ‎приложений, ‎безопасности‏ ‎и ‎системных ‎событий

Системы ‎регистрации‏ ‎событий‏ ‎по ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать ‎все ‎необходимые ‎события,‏ ‎потенциально‏ ‎оставляя ‎пробелы‏ ‎в ‎видимости‏ ‎вредоносных ‎действий. ‎Определение ‎приоритета ‎журналов‏ ‎и‏ ‎источников‏ ‎данных, ‎которые‏ ‎с ‎большей‏ ‎вероятностью ‎выявят‏ ‎вредоносную‏ ‎активность ‎LOTL,‏ ‎имеет ‎решающее ‎значение ‎для ‎эффективного‏ ‎обнаружения ‎и‏ ‎реагирования.

Журналы‏ ‎аутентификации

Журналы ‎аутентификации ‎играют‏ ‎важную ‎роль‏ ‎в ‎выявлении ‎попыток ‎несанкционированного‏ ‎доступа‏ ‎и ‎отслеживании‏ ‎действий ‎пользователей‏ ‎по ‎сети. ‎Регистрация ‎всех ‎операций,‏ ‎включая‏ ‎вызовы ‎API‏ ‎и ‎входы‏ ‎конечных ‎пользователей, ‎с ‎помощью ‎таких‏ ‎сервисов,‏ ‎как‏ ‎Amazon ‎Web‏ ‎Services ‎CloudTrail,‏ ‎Azure ‎Activity‏ ‎Log‏ ‎и ‎Google‏ ‎Cloud ‎Audit ‎Logs. ‎Эти ‎журналы‏ ‎могут ‎предоставить‏ ‎ценную‏ ‎информацию ‎о ‎потенциальных‏ ‎действиях ‎LOTL,‏ ‎выявляя ‎необычные ‎схемы ‎доступа‏ ‎или‏ ‎попытки ‎использования‏ ‎механизмов ‎аутентификации.

Надёжная‏ ‎стратегия ‎разграничения ‎привилегий ‎необходима ‎для‏ ‎идентификации‏ ‎методов ‎LOTL‏ ‎по ‎журналам‏ ‎аутентификации. ‎Такие ‎практики, ‎как ‎ограничение‏ ‎доступа‏ ‎учётных‏ ‎записей ‎администраторов‏ ‎домена ‎только‏ ‎к ‎контроллерам‏ ‎домена‏ ‎и ‎использование‏ ‎рабочих ‎станций ‎привилегированного ‎доступа ‎(PAWs)‏ ‎и ‎наличие‏ ‎MFA‏ ‎могут ‎свести ‎к‏ ‎минимуму ‎доступ‏ ‎к ‎учётным ‎данным ‎и‏ ‎усилить‏ ‎сегментацию ‎сети.

Регистрация‏ ‎событий ‎на‏ ‎хосте

Sysmon ‎и ‎другие ‎инструменты ‎регистрации‏ ‎хостовых‏ ‎событий ‎обеспечивают‏ ‎детальную ‎визуализацию‏ ‎системных ‎действий ‎о ‎создании ‎процессов,‏ ‎сетевых‏ ‎подключениях‏ ‎и ‎изменениях‏ ‎файловой ‎системы,‏ ‎эти ‎инструменты‏ ‎с‏ ‎целью ‎обнаружения‏ ‎и ‎расследования ‎подозрительных ‎активностей ‎и‏ ‎поведенческих ‎признаков.

Установление‏ ‎исходных‏ ‎условий ‎и ‎обеспечение‏ ‎защиты ‎журнала

Основополагающим‏ ‎шагом ‎в ‎обнаружении ‎аномального‏ ‎или‏ ‎потенциально ‎вредоносного‏ ‎поведения ‎является‏ ‎установление ‎условий ‎запуска ‎инструментов ‎и‏ ‎событий.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎понимание ‎механизмов ‎безопасности ‎операционных ‎систем‏ ‎для‏ ‎выявления‏ ‎отклонений, ‎которые‏ ‎могут ‎указывать‏ ‎на ‎угрозу‏ ‎безопасности.‏ ‎Также ‎важно‏ ‎полагаться ‎на ‎защищённые ‎журналы, ‎которые‏ ‎менее ‎подвержены‏ ‎подделке‏ ‎злоумышленниками. ‎Например, ‎в‏ ‎то ‎время‏ ‎как ‎файлы ‎Linux ‎.bash_history‏ ‎могут‏ ‎быть ‎изменены‏ ‎непривилегированными ‎пользователями,‏ ‎журналы ‎аудита ‎системного ‎уровня ‎более‏ ‎безопасны‏ ‎и ‎обеспечивают‏ ‎надёжную ‎запись‏ ‎действий.

Использование ‎Sysmon ‎в ‎средах ‎Windows

Sysmon,‏ ‎инструмент‏ ‎мониторинга‏ ‎системы ‎Windows,‏ ‎предоставляет ‎детальную‏ ‎информацию ‎о‏ ‎таких‏ ‎действиях, ‎как‏ ‎создание ‎процессов, ‎сетевые ‎подключения ‎и‏ ‎модификации ‎реестра.‏ ‎Подробное‏ ‎протоколирование ‎имеет ‎неоценимое‏ ‎значение ‎для‏ ‎служб ‎безопасности ‎при ‎поиске‏ ‎и‏ ‎выявлении ‎случаев‏ ‎неправильного ‎использования‏ ‎легитимных ‎инструментов. ‎Ключевые ‎стратегии ‎включают:

Использование‏ ‎свойства‏ ‎OriginalFileName ‎для‏ ‎идентификации ‎переименованных‏ ‎файлов, ‎которые ‎могут ‎указывать ‎на‏ ‎вредоносную‏ ‎активность‏ ‎(для ‎большинства‏ ‎утилит ‎Microsoft‏ ‎исходные ‎имена‏ ‎файлов‏ ‎хранятся ‎в‏ ‎заголовке ‎PE).

Внедрение ‎методов ‎обнаружения ‎для‏ ‎выявления ‎использования‏ ‎утилит‏ ‎командной ‎строки ‎и‏ ‎скриптов, ‎особенно‏ ‎использующих ‎альтернативные ‎потоки ‎данных‏ ‎(ADS)‏ ‎— ‎мониторинг‏ ‎определённых ‎аргументов‏ ‎командной ‎строки ‎или ‎синтаксиса, ‎используемых‏ ‎для‏ ‎взаимодействия ‎с‏ ‎ADS.

Стратегии ‎обнаружения

Усовершенствование‏ ‎конфигураций ‎Sysmon ‎для ‎анализа ‎с‏ ‎упором‏ ‎на‏ ‎шаблоны, ‎указывающие‏ ‎на ‎обфускацию,‏ ‎может ‎помочь‏ ‎выявить‏ ‎попытки ‎обойти‏ ‎средства ‎мониторинга ‎безопасности, ‎например ‎использование‏ ‎управляющих ‎символов,‏ ‎объединение‏ ‎команд ‎и ‎использование‏ ‎кодировки ‎Base64.

Мониторинг‏ ‎подозрительных ‎цепочек ‎процессов

Мониторинг ‎подозрительных‏ ‎цепочек‏ ‎процессов, ‎например‏ ‎связанных ‎с‏ ‎Microsoft ‎Office ‎и ‎процессами ‎создания‏ ‎скриптов,‏ ‎является ‎ключевым‏ ‎показателем ‎активности‏ ‎LOTL, ‎т. ‎к. ‎приложения ‎Office‏ ‎редко‏ ‎запускают‏ ‎процессы ‎(cmd.exe,‏ ‎PowerShell, ‎wscript.exe‏ ‎или ‎cscript.exe).

Интеграция‏ ‎журналов‏ ‎с ‎SIEM-системами

Интеграция‏ ‎журналов ‎Sysmon ‎с ‎SIEM-системами ‎с‏ ‎целью ‎применения‏ ‎правил‏ ‎корреляции ‎может ‎значительно‏ ‎улучшить ‎обнаружение‏ ‎атак ‎путём ‎автоматизации ‎процесса‏ ‎обнаружения‏ ‎и ‎применения‏ ‎аналитики ‎для‏ ‎выявления ‎сложных ‎поведенческих ‎моделей ‎вредоносной‏ ‎активности.

Рекомендации‏ ‎по ‎работе‏ ‎с ‎Linux‏ ‎и ‎macOS

На ‎компьютерах ‎с ‎Linux‏ ‎использование‏ ‎Auditd‏ ‎или ‎Sysmon‏ ‎и ‎интеграция‏ ‎этих ‎журналов‏ ‎с‏ ‎платформой ‎SIEM‏ ‎могут ‎значительно ‎улучшить ‎обнаружение ‎аномальных‏ ‎действий. ‎Для‏ ‎macOS‏ ‎использование ‎таких ‎инструментов,‏ ‎как ‎Santa,‏ ‎система ‎авторизации ‎с ‎открытым‏ ‎исходным‏ ‎кодом, ‎может‏ ‎помочь ‎отслеживать‏ ‎выполнение ‎процессов ‎и ‎обнаруживать ‎аномальное‏ ‎поведение‏ ‎производительных ‎приложений

Просмотр‏ ‎Конфигураций

Регулярный ‎анализ‏ ‎и ‎обновление ‎системных ‎конфигураций ‎необходимы‏ ‎для‏ ‎обеспечения‏ ‎того, ‎чтобы‏ ‎меры ‎безопасности‏ ‎оставались ‎эффективными‏ ‎против‏ ‎возникающих ‎угроз.‏ ‎Это ‎включает ‎проверку ‎того, ‎что‏ ‎параметры ‎систем‏ ‎регистрации‏ ‎событий ‎надлежащим ‎образом‏ ‎настроены ‎для‏ ‎сбора ‎соответствующих ‎данных ‎и‏ ‎что‏ ‎средства ‎контроля‏ ‎безопасности ‎соответствуют‏ ‎современным ‎передовым ‎практикам. ‎Организациям ‎также‏ ‎следует‏ ‎оценить ‎использование‏ ‎списков ‎разрешений‏ ‎и ‎других ‎механизмов ‎контроля ‎доступа‏ ‎для‏ ‎предотвращения‏ ‎злоупотребление ‎легитимными‏ ‎инструментами ‎злоумышленниками.

Регулярные‏ ‎проверки ‎конфигураций‏ ‎хостов‏ ‎на ‎соответствие‏ ‎установленным ‎базовым ‎показателям ‎необходимы ‎для‏ ‎выявления ‎признаков‏ ‎компрометации,‏ ‎и ‎включают ‎изменения‏ ‎в ‎установленном‏ ‎программном ‎обеспечении, ‎конфигурации ‎брандмауэра‏ ‎и‏ ‎обновления ‎основных‏ ‎файлов, ‎таких‏ ‎как ‎файл ‎Hosts, ‎который ‎используется‏ ‎для‏ ‎разрешения ‎DNS.‏ ‎Проверки ‎могут‏ ‎выявить ‎несоответствия, ‎которые ‎сигнализируют ‎о‏ ‎несанкционированных‏ ‎модификациях‏ ‎или ‎присутствии‏ ‎вредоносного ‎программного‏ ‎обеспечения.

📌 Обход ‎стандартных‏ ‎журналов‏ ‎событий: ‎известно,‏ ‎что ‎атакующие ‎обходят ‎стандартные ‎журналы‏ ‎событий, ‎напрямую‏ ‎внося‏ ‎изменения ‎в ‎реестр‏ ‎для ‎регистрации‏ ‎служб ‎и ‎запланированных ‎задач.‏ ‎Такой‏ ‎подход ‎не‏ ‎регистрируется ‎в‏ ‎стандартных ‎системных ‎событиях, ‎что ‎делает‏ ‎его‏ ‎способом ‎сокрытия‏ ‎активностей.

📌 Системные ‎инвентаризационные‏ ‎аудиты: ‎проведение ‎регулярных ‎системных ‎инвентаризационных‏ ‎аудитов‏ ‎является‏ ‎упреждающей ‎мерой‏ ‎для ‎выявления‏ ‎поведения ‎злоумышленников,‏ ‎которое‏ ‎могло ‎быть‏ ‎пропущено ‎журналами ‎событий ‎по ‎различным‏ ‎причинам, ‎а‏ ‎также‏ ‎гарантирует, ‎что ‎любые‏ ‎изменения ‎в‏ ‎системе ‎санкционированы ‎и ‎учтены.

Поведенческий‏ ‎анализ

Сравнение‏ ‎активности ‎с‏ ‎обычным ‎поведением‏ ‎пользователя ‎позволяет ‎говорить ‎об ‎обнаружении‏ ‎аномалий.‏ ‎Необычное ‎поведение,‏ ‎на ‎которое‏ ‎следует ‎обратить ‎внимание, ‎например ‎включает‏ ‎нетиповое‏ ‎время‏ ‎входа ‎в‏ ‎систему, ‎доступ‏ ‎вне ‎ожидаемого‏ ‎рабочего‏ ‎графика ‎или‏ ‎праздничных ‎перерывов, ‎быструю ‎последовательность ‎или‏ ‎большое ‎количество‏ ‎попыток‏ ‎доступа, ‎необычные ‎пути‏ ‎доступа, ‎одновременные‏ ‎входы ‎в ‎систему ‎из‏ ‎нескольких‏ ‎мест.

NTDSUtil.exe ‎и‏ ‎PSExec.exe

Особое ‎внимание‏ ‎уделяется ‎выявлению ‎неправомерного ‎использования ‎NTDSUtil.exe‏ ‎и‏ ‎PSExec.exe ‎инструментов,‏ ‎которые, ‎хотя‏ ‎и ‎являются ‎легитимными, ‎часто ‎используются‏ ‎злоумышленниками‏ ‎в‏ ‎злонамеренных ‎целях,‏ ‎например ‎попытки‏ ‎сбросить ‎учётные‏ ‎данные‏ ‎или ‎распространяться‏ ‎по ‎сети ‎в ‎направлении. ‎Сосредоточив‏ ‎внимание ‎на‏ ‎поведенческом‏ ‎контексте ‎использования ‎этих‏ ‎инструментов, ‎организации‏ ‎могут ‎более ‎эффективно ‎проводить‏ ‎различие‏ ‎между ‎легитимными‏ ‎и ‎вредоносными‏ ‎действиями.

Процесс ‎эксплуатации

Обычная ‎тактика ‎заключается ‎в‏ ‎создании‏ ‎теневой ‎копии‏ ‎системного ‎диска‏ ‎на ‎томе, ‎обычно ‎с ‎помощью‏ ‎vssadmin.exe‏ ‎с‏ ‎помощью ‎таких‏ ‎команд, ‎как‏ ‎Create ‎Shadow‏ ‎/for=C:.‏ ‎Это ‎действие‏ ‎создает ‎моментальный ‎снимок ‎текущего ‎состояния‏ ‎системы, ‎включая‏ ‎базу‏ ‎данных ‎Active ‎Directory.‏ ‎После ‎этого‏ ‎ntdsutil.exe ‎используется ‎для ‎взаимодействия‏ ‎с‏ ‎этой ‎копией‏ ‎с ‎помощью‏ ‎определённой ‎последовательности ‎команд ‎(ntdsutil ‎snapshot‏ ‎«activate‏ ‎instance ‎ntds»‏ ‎create ‎quit‏ ‎quit). ‎Затем ‎злоумышленники ‎получают ‎доступ‏ ‎к‏ ‎теневой‏ ‎копии, ‎чтобы‏ ‎извлечь ‎файл‏ ‎ntds.dit ‎из‏ ‎указанного‏ ‎каталога. ‎Эта‏ ‎последовательность ‎предназначена ‎для ‎извлечения ‎конфиденциальных‏ ‎учётных ‎данных,‏ ‎таких‏ ‎как ‎хэшированные ‎пароли,‏ ‎из ‎Active‏ ‎Directory, ‎что ‎позволяет ‎полностью‏ ‎скомпрометировать‏ ‎домен.

Обнаружение ‎и‏ ‎реагирование

Для ‎обнаружения‏ ‎такого ‎использования ‎и ‎реагирования ‎на‏ ‎него‏ ‎крайне ‎важно‏ ‎понимать ‎контекст‏ ‎ntdsutil.exe ‎действий ‎и ‎проводить ‎различие‏ ‎между‏ ‎легитимным‏ ‎административным ‎использованием‏ ‎и ‎потенциальным‏ ‎злонамеренным ‎использованием.‏ ‎Основные‏ ‎источники ‎журналов‏ ‎и ‎стратегии ‎мониторинга ‎включают:

📌 Журналы ‎командной‏ ‎строки ‎и‏ ‎создания‏ ‎процессов: журналы ‎безопасности ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы ‎Sysmon ‎(идентификатор‏ ‎события‏ ‎1) ‎предоставляют‏ ‎информацию ‎о‏ ‎выполнении ‎ntdsutil.exe ‎команд. ‎Необычное ‎или‏ ‎нечастое‏ ‎использование ‎ntdsutil.exe‏ ‎для ‎создания‏ ‎моментальных ‎снимков ‎может ‎указывать ‎на‏ ‎подозрительную‏ ‎активность.

📌 Журналы‏ ‎создания ‎файлов‏ ‎и ‎доступа‏ ‎к ‎ним:‏ ‎мониторинг‏ ‎событий ‎создания‏ ‎файлов ‎(идентификатор ‎события ‎Sysmon’а ‎11)‏ ‎и ‎попыток‏ ‎доступа‏ ‎к ‎конфиденциальным ‎файлам,‏ ‎таким ‎как‏ ‎NTDS.dit ‎(идентификатор ‎события ‎4663),‏ ‎могут‏ ‎предоставить ‎дополнительный‏ ‎контекст ‎для‏ ‎процесса ‎создания ‎моментальных ‎снимков ‎и‏ ‎доступа.

📌 Журналы‏ ‎использования ‎привилегий:‏ ‎идентификатор ‎события‏ ‎4673 ‎в ‎журналах, ‎указывающий ‎на‏ ‎использование‏ ‎привилегированных‏ ‎служб, ‎может‏ ‎говорить ‎о‏ ‎потенциальном ‎злоупотреблении,‏ ‎когда‏ ‎оно ‎связано‏ ‎с ‎выполнением ‎ntdsutil.exe ‎команд.

📌 Журналы ‎сетевой‏ ‎активности ‎и‏ ‎аутентификации:‏ ‎журналы ‎могут ‎содержать‏ ‎информацию ‎о‏ ‎одновременных ‎удалённых ‎подключениях ‎или‏ ‎передачах‏ ‎данных, ‎потенциально‏ ‎указывая ‎на‏ ‎попытки ‎эксфильтрации ‎данных. ‎Журналы ‎аутентификации‏ ‎также‏ ‎важны ‎для‏ ‎идентификации ‎исполнителя‏ ‎команды ‎ntdsutil.exe ‎и ‎оценки ‎того,‏ ‎соответствует‏ ‎ли‏ ‎использование ‎типичному‏ ‎поведению ‎администратора.

Комплексный‏ ‎анализ ‎PSExec.exe‏ ‎

PSExec.exe,‏ ‎компонент ‎пакета‏ ‎Microsoft ‎PsTools, ‎представляет ‎собой ‎мощную‏ ‎утилиту ‎для‏ ‎системных‏ ‎администраторов, ‎предлагающую ‎возможность‏ ‎удалённого ‎выполнения‏ ‎команд ‎в ‎сетевых ‎системах,‏ ‎часто‏ ‎с ‎повышенными‏ ‎привилегиями. ‎Однако‏ ‎его ‎универсальность ‎также ‎делает ‎его‏ ‎излюбленным‏ ‎инструментом ‎у‏ ‎APT-групп.

Роль ‎PSExec.exe‏ ‎в ‎киберугрозах

PSExec.exe ‎обычно ‎используется ‎для‏ ‎удалённого‏ ‎администрирования‏ ‎и ‎выполнения‏ ‎процессов ‎в‏ ‎разных ‎системах.‏ ‎Его‏ ‎способность ‎работать‏ ‎с ‎системными ‎привилегиями ‎делает ‎его‏ ‎особенно ‎привлекательным‏ ‎для‏ ‎вредоносного ‎использования, ‎например‏ ‎для ‎выполнения‏ ‎одноразовых ‎команд, ‎направленных ‎на‏ ‎изменение‏ ‎системных ‎конфигураций,‏ ‎таких ‎как‏ ‎удаление ‎конфигураций ‎прокси-порта ‎на ‎удалённом‏ ‎хосте‏ ‎с ‎помощью‏ ‎команд ‎типа:

«C:\pstools\psexec.exe»‏ ‎{REDACTED} ‎-s ‎cmd ‎/c ‎«cmd.exe‏ ‎/c‏ ‎netsh‏ ‎interface ‎portproxy‏ ‎delete ‎v4tov4‏ ‎listenaddress=0.0.0.0 ‎listenport=9999»

Стратегии‏ ‎обнаружения

Для‏ ‎эффективного ‎противодействия‏ ‎злонамеренному ‎использованию ‎PSExec.exe ‎сетевые ‎защитники‏ ‎должны ‎использовать‏ ‎различные‏ ‎журналы, ‎которые ‎дают‏ ‎представление ‎о‏ ‎выполнении ‎команд ‎и ‎более‏ ‎широком‏ ‎контексте ‎операции:

📌 Журналы‏ ‎командной ‎строки‏ ‎и ‎создания ‎процессов: ‎Журналы ‎безопасности‏ ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы‏ ‎Sysmon ‎(идентификатор ‎события ‎1) ‎полезны‏ ‎для‏ ‎отслеживания‏ ‎выполнения ‎PSExec.exe‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎команд.‏ ‎В ‎этих‏ ‎журналах ‎подробно ‎описывается ‎использованная ‎командная‏ ‎строка, ‎определяющая‏ ‎природу‏ ‎и ‎«намерения» ‎процесса.

📌 Журналы‏ ‎использования ‎привилегий‏ ‎и ‎явных ‎учётных ‎данных:‏ ‎журналы‏ ‎безопасности ‎Идентификатор‏ ‎события ‎4672)‏ ‎документируют ‎случаи, ‎когда ‎новым ‎входам‏ ‎в‏ ‎систему ‎назначаются‏ ‎особые ‎привилегии,‏ ‎что ‎крайне ‎важно, ‎когда ‎PsExec‏ ‎выполняется‏ ‎с‏ ‎переключателем ‎-s‏ ‎для ‎системных‏ ‎привилегий. ‎Идентификатор‏ ‎события‏ ‎4648 ‎фиксирует‏ ‎явное ‎использование ‎учётных ‎данных, ‎указывая,‏ ‎когда ‎PsExec‏ ‎запускается‏ ‎с ‎определёнными ‎учётными‏ ‎данными ‎пользователя.

📌 Sysmon‏ ‎регистрирует ‎сетевые ‎подключения ‎и‏ ‎изменения‏ ‎реестра: ‎идентификатор‏ ‎события ‎3‏ ‎Sysmon ‎регистрирует ‎сетевые ‎подключения, ‎что‏ ‎является‏ ‎центральным ‎элементом‏ ‎функции ‎удалённого‏ ‎выполнения ‎PsExec. ‎Идентификаторы ‎событий ‎12,‏ ‎13‏ ‎и‏ ‎14 ‎отслеживают‏ ‎изменения ‎реестра,‏ ‎включая ‎удаления‏ ‎(Идентификатор‏ ‎события ‎14)‏ ‎разделов ‎реестра, ‎связанных ‎с ‎выполненной‏ ‎командой ‎Netsh,‏ ‎предоставляя‏ ‎доказательства ‎изменений ‎конфигурации‏ ‎системы.

📌 Журналы ‎аудита‏ ‎реестра ‎Windows: ‎в ‎журналы‏ ‎записываются‏ ‎изменения ‎разделов‏ ‎реестра, ‎содержащие‏ ‎информацию, ‎такую ‎как ‎временная ‎метка‏ ‎изменений,‏ ‎учётная ‎запись,‏ ‎под ‎которой‏ ‎были ‎внесены ‎изменения ‎(часто ‎системная‏ ‎учётная‏ ‎запись‏ ‎из-за ‎переключателя‏ ‎PsExec ‎-s),‏ ‎и ‎конкретные‏ ‎изменённые‏ ‎или ‎удалённые‏ ‎значения ‎реестра.

📌 Журналы ‎сети ‎и ‎брандмауэра:‏ ‎анализ ‎сетевого‏ ‎трафика,‏ ‎особенно ‎трафика ‎SMB,‏ ‎характерного ‎для‏ ‎использования ‎PsExec, ‎и ‎журналов‏ ‎брандмауэра‏ ‎в ‎целевой‏ ‎системе ‎может‏ ‎выявить ‎подключения ‎к ‎общим ‎ресурсам‏ ‎администрирования‏ ‎и ‎изменения‏ ‎конфигурации ‎сети‏ ‎системы. ‎Журналы ‎коррелируют ‎со ‎временем‏ ‎выполнения‏ ‎команды,‏ ‎предоставляя ‎дополнительный‏ ‎контекст ‎для‏ ‎действия.

Hardening-стратегии ‎направлены‏ ‎на ‎сокращение ‎количества ‎возможных ‎атак‏ ‎и ‎повышение‏ ‎уровня‏ ‎безопасности ‎критически ‎важной‏ ‎инфраструктуры.

Рекомендации

📌 Рекомендации ‎по‏ ‎усилению ‎защиты ‎от ‎вендоров‏ ‎и‏ ‎отраслей: ‎организациям‏ ‎следует ‎усиливать‏ ‎конфигурации ‎программного ‎обеспечения ‎и ‎систем‏ ‎на‏ ‎основе ‎рекомендаций‏ ‎по ‎защите‏ ‎от ‎поставщиков ‎или ‎от ‎отрасли,‏ ‎сектора‏ ‎или‏ ‎правительства, ‎например,‏ ‎от ‎NIST,‏ ‎чтобы ‎уменьшить‏ ‎количество‏ ‎векторов ‎атаки.

Для‏ ‎конкретной ‎платформы:

📌 Windows: ‎применение ‎обновления ‎и‏ ‎исправления ‎для‏ ‎системы‏ ‎безопасности ‎от ‎Microsoft,‏ ‎руководства ‎по‏ ‎базовым ‎показателям ‎безопасности ‎Windows‏ ‎или‏ ‎тестам ‎CIS,‏ ‎ужесточение ‎часто‏ ‎используемых ‎служб, ‎такие ‎как ‎SMB‏ ‎и‏ ‎RDP, ‎и‏ ‎отключение ‎ненужных‏ ‎служб ‎и ‎функций.

📌 Linux: ‎контроль ‎за‏ ‎разрешениями‏ ‎для‏ ‎работы ‎с‏ ‎бинарными ‎файлами‏ ‎и ‎использование‏ ‎стандартов‏ ‎Red ‎Hat‏ ‎Enterprise ‎Linux.

📌 macOS: ‎регулярные ‎обновления ‎и‏ ‎применение ‎исправлений‏ ‎системы,‏ ‎а ‎также ‎встроенных‏ ‎функций ‎безопасности,‏ ‎такие ‎как ‎Gatekeeper, ‎XProtect‏ ‎и‏ ‎FileVault, ‎и‏ ‎рекомендаций ‎macOS‏ ‎Security ‎Compliance ‎Project.

Повышение ‎надёжности ‎облачной‏ ‎инфраструктуры:

📌 Microsoft‏ ‎Cloud: ‎применение‏ ‎руководств ‎CISA‏ ‎по ‎настройкам ‎безопасности ‎Microsoft ‎365‏ ‎в‏ ‎различных‏ ‎облачных ‎службах‏ ‎Microsoft.

📌 Google ‎Cloud:‏ ‎применение ‎руководств‏ ‎по‏ ‎настройке ‎безопасности‏ ‎Google ‎Workspace ‎Security ‎от ‎CISA‏ ‎для ‎настройки‏ ‎облачных‏ ‎сервисов ‎Google.

📌 Универсальные ‎меры‏ ‎защиты: ‎сведение‏ ‎к ‎минимуму ‎количество ‎запущенных‏ ‎служб,‏ ‎применение ‎принципа‏ ‎наименьших ‎привилегий‏ ‎и ‎защитите ‎сетевые ‎коммуникации.

📌 Защита ‎критически‏ ‎важных‏ ‎активов: ‎применение‏ ‎мер ‎по‏ ‎усилению ‎защиты ‎критически ‎важных ‎активов,‏ ‎таких‏ ‎как‏ ‎ADFS ‎и‏ ‎ADCS, ‎и‏ ‎ограничение ‎приложений‏ ‎и‏ ‎служб, ‎которые‏ ‎могут ‎использоваться ‎или ‎к ‎которым‏ ‎они ‎могут‏ ‎получить‏ ‎доступ.

📌 Средства ‎администрирования: применение ‎предотвращающих‏ ‎повторное ‎использование‏ ‎скомпрометированных ‎учётных ‎данных ‎средств.

Список‏ ‎разрешённых‏ ‎приложений

📌 Ограничение ‎выполнения:‏ ‎внедрение ‎списка‏ ‎разрешений ‎приложений ‎как ‎для ‎пользователей,‏ ‎так‏ ‎и ‎администраторов‏ ‎с ‎целью‏ ‎улучшения ‎мониторинга ‎и ‎уменьшения ‎объёма‏ ‎оповещений.

Список‏ ‎разрешений‏ ‎для ‎конкретной‏ ‎платформы:

📌 macOS: использование ‎параметров‏ ‎Gatekeeper ‎для‏ ‎предотвращения‏ ‎выполнения ‎неподписанных‏ ‎или ‎неавторизованных ‎приложений.

📌 Windows: использование ‎AppLocker ‎и‏ ‎Windows ‎Defender‏ ‎Application‏ ‎Control ‎для ‎управления‏ ‎исполняемыми ‎файлами,‏ ‎скриптами, ‎MSI-файлами, ‎библиотеками ‎DLL‏ ‎и‏ ‎другими ‎упакованными‏ ‎приложениями.

Сегментация ‎сети‏ ‎и ‎мониторинг

📌 Ограничение ‎распространения: реализация ‎сегментации ‎сети‏ ‎для‏ ‎ограничения ‎доступа‏ ‎пользователей ‎минимально‏ ‎необходимыми ‎приложениям ‎и ‎службам, ‎в‏ ‎т.‏ ‎ч.‏ ‎снижения ‎влияния‏ ‎скомпрометированных ‎учётных‏ ‎данных.

📌 Анализ ‎сетевого‏ ‎трафика:‏ ‎применение ‎инструментов‏ ‎для ‎мониторинга ‎трафика ‎между ‎сегментами‏ ‎и ‎размещение‏ ‎сетевые‏ ‎датчики ‎в ‎критических‏ ‎точках ‎для‏ ‎всестороннего ‎анализа ‎трафика.

📌 Анализ ‎метаданных‏ ‎сетевого‏ ‎трафика: ‎применение‏ ‎анализаторов ‎трафика,‏ ‎например ‎Zeek, ‎и ‎интеграция ‎с‏ ‎NID-решениями,‏ ‎например ‎Snort‏ ‎или ‎Suricata.

Элементы‏ ‎управления ‎аутентификацией

📌 Защита ‎от ‎фишинга: использование ‎MFA‏ ‎во‏ ‎всех‏ ‎системах, ‎особенно‏ ‎для ‎привилегированных‏ ‎учётных ‎записей.

📌 Управление‏ ‎привилегированным‏ ‎доступом ‎(PAM):‏ ‎развёртывание ‎надёжных ‎PAM-решений ‎с ‎доступом‏ ‎и ‎элементами‏ ‎управления‏ ‎на ‎основе ‎временного‏ ‎фактора, ‎дополненных‏ ‎ролевым ‎управлением ‎доступа ‎(RBAC).

📌 Облачное‏ ‎управление‏ ‎идентификацией ‎и‏ ‎доступом ‎к‏ ‎учётным ‎данным ‎(ICAM): ‎применение ‎строгих‏ ‎политик‏ ‎ICAM, ‎аудит‏ ‎конфигураций ‎и‏ ‎смена ‎ключей ‎доступа.

📌 Проверка ‎файла ‎Sudoers‏ ‎File‏ ‎Review:‏ ‎для ‎macOS‏ ‎и ‎Unix‏ ‎регулярная ‎проверка‏ ‎файла‏ ‎sudoers ‎на‏ ‎наличие ‎некорректных ‎настроек ‎в ‎рамках‏ ‎принципа ‎наименьших‏ ‎привилегий.

Архитектура‏ ‎нулевого ‎доверия

В ‎качестве‏ ‎долгосрочной ‎стратегии‏ ‎внедряется ‎архитектура ‎с ‎нулевым‏ ‎доверием,‏ ‎чтобы ‎гарантировать,‏ ‎что ‎бинарные‏ ‎файлы ‎и ‎учётные ‎записи ‎не‏ ‎являются‏ ‎доверенными ‎и‏ ‎привилегированными ‎по‏ ‎умолчанию.

Дополнительные ‎рекомендации

📌 Комплексная ‎проверка ‎при ‎выборе‏ ‎поставщика:‏ ‎выбор‏ ‎поставщиков ‎с‏ ‎надёжными ‎принципами‏ ‎проектирования ‎и‏ ‎привлечение‏ ‎их ‎к‏ ‎ответственности ‎за ‎конфигурации ‎их ‎программного‏ ‎обеспечения ‎по‏ ‎умолчанию.

📌 Аудит‏ ‎ПО ‎удалённого ‎доступа:‏ ‎аудирование ‎ПО‏ ‎удалённого ‎доступа ‎и ‎применение‏ ‎лучших‏ ‎практик ‎для‏ ‎обеспечения ‎безопасности‏ ‎удалённого ‎доступа.

📌 Ограничение ‎исходящего ‎подключения ‎к‏ ‎Интернету:‏ ‎ограничение ‎доступа‏ ‎к ‎Интернету‏ ‎для ‎внутренних ‎серверов ‎и ‎контроля‏ ‎исходящих‏ ‎подключений‏ ‎для ‎основных‏ ‎служб.

Детализированные ‎журналы‏ ‎событий

📌 Внедрение ‎комплексной ‎системы ‎регистрации ‎событий:‏ ‎решающее ‎значение‏ ‎имеет‏ ‎создание ‎механизмов ‎регистрации‏ ‎всех ‎ИБ-событий‏ ‎на ‎разных ‎платформах ‎и‏ ‎обеспечение‏ ‎агрегирования ‎журналов‏ ‎в ‎централизованном‏ ‎хранилище ‎для ‎предотвращения.

📌 Ведение ‎журнала ‎в‏ ‎облачной‏ ‎среде: ‎для‏ ‎облачных ‎сред‏ ‎важно ‎регистрировать ‎различные ‎события ‎ввиду‏ ‎их‏ ‎большего‏ ‎количества ‎и‏ ‎настроить ‎политики‏ ‎управления ‎журналами‏ ‎событий‏ ‎для ‎всех‏ ‎облачных ‎служб, ‎особенно ‎редко ‎используемых‏ ‎с ‎целью‏ ‎обнаружения‏ ‎действий ‎злоумышленников.

📌 Детализация ‎событий‏ ‎безопасности: ‎включение‏ ‎детализации ‎событий, ‎таких ‎как‏ ‎командные‏ ‎строки, ‎действия‏ ‎PowerShell ‎и‏ ‎отслеживание ‎событий ‎WMI, ‎обеспечивает ‎более‏ ‎глубокое‏ ‎представление ‎об‏ ‎использовании ‎инструмента‏ ‎в ‎среде, ‎помогая ‎обнаруживать ‎вредоносные‏ ‎действия‏ ‎LOTL.

Установление‏ ‎поведенческих ‎ориентиров

📌 Отслеживание‏ ‎отклонений ‎в‏ ‎параметрах: ‎отслеживание‏ ‎параметров‏ ‎установленных ‎инструментов,‏ ‎программного ‎обеспечения, ‎поведения ‎учётной ‎записи‏ ‎и ‎сетевого‏ ‎трафика‏ ‎позволяет ‎защитникам ‎выявлять‏ ‎отклонения, ‎которые‏ ‎могут ‎указывать ‎на ‎вредоносную‏ ‎активность.

📌 Мониторинг‏ ‎сети ‎и‏ ‎поиск ‎угроз: улучшение‏ ‎мониторинга ‎сети, ‎расширение ‎хранилища ‎журналов‏ ‎и‏ ‎углубление ‎тактики‏ ‎поиска ‎угроз‏ ‎жизненно ‎важны ‎для ‎выявления ‎длительного‏ ‎присутствия‏ ‎атакующих.

Автоматизация‏ ‎и ‎эффективность

📌 Использование‏ ‎автоматизации: использование ‎автоматизации‏ ‎для ‎постоянного‏ ‎изучения‏ ‎журналов ‎и‏ ‎сравнения ‎текущих ‎действий ‎с ‎установленными‏ ‎параметрами ‎поведения‏ ‎повышает‏ ‎эффективность ‎поиска, ‎особенно‏ ‎с ‎акцентом‏ ‎на ‎привилегированные ‎учётные ‎записи‏ ‎и‏ ‎критически ‎важные‏ ‎активы.

Снижения ‎«шума»‏ ‎от ‎системы ‎оповещения

📌 Совершенствование ‎инструментов ‎мониторинга:‏ ‎важно‏ ‎совершенствовать ‎инструменты‏ ‎мониторинга ‎и‏ ‎механизмы ‎оповещения, ‎чтобы ‎проводить ‎различие‏ ‎между‏ ‎типичными‏ ‎административными ‎действиями‏ ‎и ‎поведением,‏ ‎связанным ‎с‏ ‎угрозой,‏ ‎сосредоточив ‎внимание‏ ‎на ‎предупреждениях, ‎которые ‎с ‎наибольшей‏ ‎вероятностью ‎указывают‏ ‎на‏ ‎подозрительные ‎действия.

Использование ‎UEBA

📌 Аналитика‏ ‎поведения ‎пользователей‏ ‎и ‎организаций ‎(UEBA): ‎использование‏ ‎UEBA‏ ‎для ‎анализа‏ ‎и ‎сопоставления‏ ‎действий ‎в ‎нескольких ‎источниках ‎данных‏ ‎помогает‏ ‎выявлять ‎потенциальные‏ ‎инциденты ‎безопасности,‏ ‎которые ‎могут ‎быть ‎пропущены ‎традиционными‏ ‎инструментами,‏ ‎и‏ ‎профилировать ‎поведение‏ ‎пользователей ‎для‏ ‎обнаружения ‎внутренних‏ ‎угроз‏ ‎или ‎скомпрометированных‏ ‎учётных ‎записей.

Особенности ‎облачных ‎технологий

📌 Проектирование ‎облачной‏ ‎среды: проектирование ‎облачной‏ ‎среды‏ ‎для ‎обеспечения ‎надлежащего‏ ‎разделения ‎основных‏ ‎и ‎дополнительных ‎журналов ‎позволяет‏ ‎лучше‏ ‎отслеживать ‎потенциальные‏ ‎действия ‎LOTL.

Одной ‎из‏ ‎основных ‎выявленных ‎проблем ‎является ‎отсутствие‏ ‎базовых ‎параметров‏ ‎безопасности‏ ‎в ‎организациях, ‎что‏ ‎приводит ‎к‏ ‎выполнению ‎LOLBin ‎без ‎обнаружения‏ ‎аномальной‏ ‎активности. ‎Кроме‏ ‎того, ‎организациям‏ ‎часто ‎не ‎удаётся ‎корректно ‎настроить‏ ‎инструменты‏ ‎обнаружения, ‎что‏ ‎приводит ‎к‏ ‎огромному ‎количеству ‎оповещений, ‎которыми ‎трудно‏ ‎управлять‏ ‎и‏ ‎на ‎которые‏ ‎трудно ‎реагировать.‏ ‎Это ‎усугубляется‏ ‎автоматизированными‏ ‎системами, ‎выполняющими‏ ‎действия ‎с ‎высокими ‎привилегиями, ‎которые‏ ‎могут ‎завалить‏ ‎аналитиков‏ ‎событиями ‎журнала, ‎если‏ ‎их ‎не‏ ‎классифицировать ‎должным ‎образом.

Проблемы ‎с‏ ‎распознаванием‏ ‎вредоносной ‎активности

📌 Даже‏ ‎организациям ‎со‏ ‎зрелыми ‎передовыми ‎практиками ‎бывает ‎трудно‏ ‎отличить‏ ‎вредоносную ‎активность‏ ‎LOTL ‎от‏ ‎легитимного ‎поведения:

📌 LOLBins ‎обычно ‎используются ‎ИТ-администраторами‏ ‎и‏ ‎поэтому‏ ‎являются ‎доверительными,‏ ‎что ‎может‏ ‎приводить ‎к‏ ‎заблуждению‏ ‎безопасности ‎для‏ ‎всех ‎пользователей.

📌 Существует ‎ошибочное ‎представление ‎о‏ ‎том, ‎что‏ ‎легитимные‏ ‎инструменты ‎ИТ-администрирования ‎безопасны‏ ‎априори, ‎что‏ ‎приводит ‎к ‎политикам ‎«разрешения»,‏ ‎которые‏ ‎расширяют ‎возможности‏ ‎атаки.

📌 Исключения ‎для‏ ‎таких ‎инструментов, ‎как ‎PsExec, ‎из-за‏ ‎их‏ ‎регулярного ‎использования‏ ‎администраторами ‎могут‏ ‎быть ‎использованы ‎злоумышленниками ‎для ‎скрытого‏ ‎распространения.

Разрозненные‏ ‎операции‏ ‎и ‎ненастроенные‏ ‎системы ‎EDR

📌 Информация‏ ‎складывается ‎из‏ ‎опыта‏ ‎redteam ‎и‏ ‎групп ‎реагирования ‎на ‎инциденты ‎в‏ ‎отношении ‎специалистов‏ ‎по‏ ‎сетевой ‎безопасности:

📌 Обособленная ‎работа‏ ‎от ‎других‏ ‎ИТ-команд ‎препятствует ‎формированию ‎поведенческих‏ ‎пользовательских‏ ‎признаков, ‎устранению‏ ‎уязвимостей ‎и‏ ‎расследования ‎аномального ‎поведения.

📌 Использование ‎ненастроенных ‎систем‏ ‎обнаружения‏ ‎и ‎EDR‏ ‎и ‎индикаторов‏ ‎компрометации ‎(IOCs), ‎которые ‎могут ‎приводить‏ ‎к‏ ‎отсутствию‏ ‎оповещений ‎о‏ ‎действиях ‎злоумышленников‏ ‎для ‎предотвращения‏ ‎обнаружения.

Конфигурации‏ ‎системы ‎регистрации‏ ‎событий ‎и ‎политики ‎внесения ‎в‏ ‎разрешённые ‎списки

📌 Недостатки‏ ‎в‏ ‎конфигурациях ‎систем ‎регистрации‏ ‎событий ‎и‏ ‎политиках ‎управления ‎списками ‎разрешений‏ ‎ещё‏ ‎больше ‎усложняют‏ ‎обнаружение ‎действий‏ ‎LOTL:

📌 Конфигурации ‎систем ‎регистрации ‎событий ‎по‏ ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать‏ ‎все ‎соответствующие ‎действия, ‎и ‎журналы‏ ‎из‏ ‎многих‏ ‎приложений ‎требуют‏ ‎дополнительной ‎обработки.

📌 Политика‏ ‎списков ‎разрешений‏ ‎для‏ ‎диапазонов ‎IP-адресов,‏ ‎принадлежащих ‎хостинг-провайдерам ‎и ‎облачным ‎провайдерам,‏ ‎может ‎непреднамеренно‏ ‎обеспечить‏ ‎«прикрытие ‎для ‎злоумышленников».

Защита‏ ‎устройств ‎macOS

Несмотря‏ ‎на ‎то, ‎что ‎устройства‏ ‎macOS‏ ‎изначально ‎считаются‏ ‎безопасности, ‎они‏ ‎также ‎требуют ‎настройки:

📌 В ‎macOS ‎отсутствуют‏ ‎стандартизированные‏ ‎рекомендации ‎по‏ ‎повышению ‎надёжности‏ ‎системы, ‎что ‎приводит ‎к ‎развёртываниям‏ ‎с‏ ‎настройками‏ ‎по ‎умолчанию,‏ ‎которые ‎могут‏ ‎быть ‎небезопасными.

📌 Презумпция‏ ‎безопасности‏ ‎macOS ‎может‏ ‎привести ‎к ‎отмене ‎приоритетов ‎стандартных‏ ‎мер ‎безопасности‏ ‎и‏ ‎внесение ‎приложений ‎в‏ ‎списки ‎разрешённых.

📌 В‏ ‎средах ‎со ‎смешанными ‎операционными‏ ‎системами‏ ‎низкая ‎представленность‏ ‎устройств ‎macOS‏ ‎может ‎привести ‎к ‎недостаточному ‎вниманию‏ ‎к‏ ‎их ‎безопасности,‏ ‎что ‎делает‏ ‎их ‎более ‎уязвимыми ‎для ‎вторжений.

Методы ‎LOTL‏ ‎представляют ‎собой ‎стратегию ‎киберугроз, ‎при‏ ‎которой ‎злоумышленники‏ ‎используют‏ ‎нативные ‎инструменты ‎и‏ ‎процессы, ‎уже‏ ‎присутствующие ‎в ‎среде ‎атакуемой‏ ‎цели.‏ ‎Такой ‎подход‏ ‎позволяет ‎органично‏ ‎сочетаться ‎с ‎обычной ‎деятельностью ‎системы,‏ ‎значительно‏ ‎снижая ‎вероятность‏ ‎обнаружения. ‎Эффективность‏ ‎LOTL ‎заключается ‎в ‎её ‎способности‏ ‎использовать‏ ‎инструменты,‏ ‎которые ‎не‏ ‎только ‎уже‏ ‎развёрнуты, ‎но‏ ‎и‏ ‎пользуются ‎доверием‏ ‎в ‎среде, ‎тем ‎самым ‎обходя‏ ‎традиционные ‎меры‏ ‎безопасности,‏ ‎которые ‎могут ‎блокировать‏ ‎или ‎помечать‏ ‎незнакомое ‎или ‎вредоносное ‎программное‏ ‎обеспечение.

Методы‏ ‎LOTL ‎не‏ ‎ограничены ‎каким-либо‏ ‎одним ‎типом ‎среды; ‎они ‎эффективно‏ ‎используются‏ ‎в ‎локальных,‏ ‎облачных, ‎гибридных‏ ‎средах ‎Windows, ‎Linux ‎и ‎macOS.‏ ‎Такая‏ ‎универсальность‏ ‎отчасти ‎объясняется‏ ‎тем, ‎что‏ ‎злоумышленники ‎предпочитают‏ ‎избегать‏ ‎затрат ‎и‏ ‎усилий, ‎связанных ‎с ‎разработкой ‎и‏ ‎развёртыванием ‎пользовательских‏ ‎инструментов.‏ ‎Вместо ‎этого ‎упор‏ ‎делается ‎на‏ ‎повсеместное ‎применение ‎и ‎доверие‏ ‎к‏ ‎типовым, ‎популярным‏ ‎и ‎нативным‏ ‎инструментам.

Среды ‎Windows

В ‎корпоративных ‎Windows-средах, ‎методы‏ ‎LOTL‏ ‎особенно ‎распространены‏ ‎из-за ‎широкого‏ ‎использования ‎нативных ‎инструментов, ‎служб ‎и‏ ‎функций‏ ‎операционной‏ ‎системы ‎и‏ ‎доверия ‎к‏ ‎ним.

macOS ‎и‏ ‎гибридные‏ ‎среды

В ‎этом‏ ‎случае ‎злоумышленники ‎используют ‎нативные ‎скрипт-среды,‏ ‎встроенные ‎инструменты,‏ ‎системные‏ ‎конфигурации ‎и ‎бинарные‏ ‎файлы. ‎Стратегия‏ ‎аналогична ‎стратегии ‎в ‎средах‏ ‎Windows,‏ ‎но ‎адаптирована‏ ‎к ‎уникальным‏ ‎аспектам ‎macOS. ‎В ‎гибридных ‎средах,‏ ‎сочетающих‏ ‎физические ‎и‏ ‎облачные ‎системы,‏ ‎злоумышленники ‎все ‎чаще ‎применяют ‎сложные‏ ‎методы‏ ‎LOTL‏ ‎для ‎использования‏ ‎преимуществ ‎систем‏ ‎обоих ‎типов.

Известные‏ ‎Эксплойты

Репозиторий‏ ‎проекта ‎LOLBAS‏ ‎на ‎GitHub ‎предлагает ‎информацию ‎о‏ ‎том, ‎как‏ ‎жить‏ ‎за ‎счёт ‎обычных‏ ‎бинарных ‎файлов,‏ ‎скриптов ‎и ‎библиотек.

Такие ‎веб-сайты,‏ ‎как‏ ‎http://gtfobins.github.io, http://loobins.io и ‎http://loldrivers.io, предоставляют‏ ‎списки ‎бинарных‏ ‎файлов ‎Unix, ‎macOS ‎и ‎Windows‏ ‎соответственно,‏ ‎которые ‎используются‏ ‎в ‎методах‏ ‎LOTL.

ПО ‎удалённого ‎доступа ‎сторонних ‎производителей

Помимо‏ ‎нативных‏ ‎инструментов,‏ ‎атакующие ‎также‏ ‎используют ‎ПО‏ ‎удалённого ‎доступа‏ ‎сторонних‏ ‎производителей ‎в‏ ‎следующих ‎категориях: ‎удалённый ‎мониторинг ‎и‏ ‎управление, ‎управление‏ ‎конфигурацией‏ ‎конечных ‎устройств, ‎EDR,‏ ‎управление ‎исправлениями,‏ ‎системы ‎управления ‎мобильными ‎устройствами‏ ‎и‏ ‎инструменты ‎управления‏ ‎базами ‎данных.‏ ‎Эти ‎инструменты, ‎предназначенные ‎для ‎администрирования‏ ‎и‏ ‎защиты ‎доменов,‏ ‎обладают ‎встроенной‏ ‎функциональностью, ‎которая ‎может ‎выполнять ‎команды‏ ‎на‏ ‎всех‏ ‎клиентских ‎узлах‏ ‎в ‎сети,‏ ‎включая ‎такие‏ ‎важные,‏ ‎как ‎контроллеры‏ ‎домена. ‎Также ‎стоит ‎обратить ‎внимание‏ ‎на ‎наборы‏ ‎привилегий,‏ ‎которые ‎требуются ‎этим‏ ‎инструментам ‎для‏ ‎системного ‎администрирования.

В ‎анализируемом‏ ‎документе ‎излагается ‎комплексный ‎подход ‎к‏ ‎усилению ‎защиты‏ ‎кибербезопасности‏ ‎от ‎тактики ‎LOTL.‏ ‎Этот ‎подход‏ ‎включает ‎рекомендации ‎по ‎обнаружению,‏ ‎централизованному‏ ‎протоколированию, ‎поведенческому‏ ‎анализу, ‎обнаружению‏ ‎аномалий ‎и ‎упреждающему ‎поиску.

Несмотря ‎на‏ ‎то,‏ ‎что ‎предлагаемые‏ ‎решения ‎обладают‏ ‎значительными ‎преимуществами, ‎организации ‎также ‎должны‏ ‎учитывать‏ ‎потенциальные‏ ‎недостатки ‎и‏ ‎ограничения. ‎Эффективное‏ ‎внедрение ‎требует‏ ‎тщательного‏ ‎планирования, ‎распределения‏ ‎ресурсов ‎и ‎постоянной ‎корректировки ‎с‏ ‎учётом ‎меняющегося‏ ‎ландшафта‏ ‎угроз.

Преимущества

📌 Расширенные ‎возможности ‎обнаружения:‏ ‎внедрение ‎комплексной‏ ‎и ‎детализированной ‎системы ‎регистрации‏ ‎событий‏ ‎наряду ‎с‏ ‎централизованным ‎управлением‏ ‎событиями ‎значительно ‎повышает ‎способность ‎организации‏ ‎обнаруживать‏ ‎вредоносные ‎действия.‏ ‎Такой ‎подход‏ ‎позволяет ‎анализировать ‎поведение, ‎обнаруживать ‎аномалии‏ ‎и‏ ‎осуществлять‏ ‎упреждающий ‎поиск,‏ ‎обеспечивая ‎надёжную‏ ‎защиту ‎от‏ ‎методов‏ ‎LOTL.

📌 Улучшенная ‎система‏ ‎безопасности: рекомендуются ‎различные ‎меры, ‎предоставляемые ‎поставщиком‏ ‎или ‎отраслевыми‏ ‎стандартами,‏ ‎сведение ‎к ‎минимуму‏ ‎запущенных ‎служб‏ ‎и ‎защита ‎сетевых ‎коммуникаций‏ ‎с‏ ‎целью ‎сокращения‏ ‎векторов ‎атаки.

📌 Повышенная‏ ‎прозрачность: централизованное ‎управление ‎событиями ‎позволяет ‎выявлять‏ ‎закономерности‏ ‎и ‎аномалии‏ ‎с ‎течением‏ ‎времени. ‎Такой ‎подход ‎в ‎отношении‏ ‎сетевых‏ ‎и‏ ‎системных ‎действий‏ ‎способствует ‎упреждающему‏ ‎обнаружению ‎потенциальных‏ ‎угроз.

📌 Эффективное‏ ‎использование ‎ресурсов:‏ ‎автоматизация ‎анализа ‎журналов ‎и ‎поиска‏ ‎информации ‎повышает‏ ‎эффективность‏ ‎этих ‎процессов, ‎позволяя‏ ‎организациям ‎лучше‏ ‎использовать ‎свои ‎ресурсы. ‎Автоматизированные‏ ‎системы‏ ‎могут ‎сравнивать‏ ‎текущие ‎действия‏ ‎с ‎установленными ‎показателями ‎поведения, ‎с‏ ‎учётом‏ ‎особого ‎внимания‏ ‎привилегированным ‎учётным‏ ‎записям ‎и ‎критически ‎важным ‎активам.

📌 Стратегическая‏ ‎сегментация‏ ‎сети:‏ ‎улучшение ‎сегментации‏ ‎сети ‎и‏ ‎мониторинга ‎ограничивает‏ ‎возможности‏ ‎распространения ‎угрозы,‏ ‎уменьшая ‎«радиус ‎поражения» ‎доступных ‎систем‏ ‎в ‎случае‏ ‎компрометации.‏ ‎Такой ‎стратегический ‎подход‏ ‎помогает ‎сдерживать‏ ‎угрозы ‎и ‎сводит ‎к‏ ‎минимуму‏ ‎потенциальный ‎ущерб.

Недостатки/Ограничения

📌 Ресурсоёмкость:‏ ‎реализация ‎рекомендуемых‏ ‎мер ‎по ‎обнаружению ‎и ‎усилению‏ ‎защиты‏ ‎может ‎требовать‏ ‎значительных ‎инвестиций‏ ‎в ‎технологии ‎и ‎обучение ‎персонала.‏ ‎Небольшим‏ ‎организациям‏ ‎будет ‎сложно‏ ‎выделить ‎необходимые‏ ‎ресурсы.

📌 Сложность ‎реализации:‏ ‎создание‏ ‎и ‎поддержание‏ ‎инфраструктуры ‎для ‎детальной ‎регистрации ‎событий‏ ‎и ‎анализа‏ ‎является‏ ‎сложной ‎задачей. ‎Организации‏ ‎могут ‎столкнуться‏ ‎с ‎трудностями ‎при ‎эффективной‏ ‎настройке‏ ‎этих ‎систем‏ ‎и ‎управлении‏ ‎ими, ‎особенно ‎в ‎разнообразных ‎и‏ ‎динамичных‏ ‎ИТ-средах.

📌 Снижение ‎эффективности‏ ‎от ‎систем‏ ‎оповещения: хотя ‎целью ‎предлагаемых ‎решений ‎является‏ ‎снижение‏ ‎избытка‏ ‎оповещений, ‎их‏ ‎огромный ‎объем,‏ ‎генерируемых ‎комплексными‏ ‎системами‏ ‎регистрации ‎и‏ ‎обнаружения ‎аномалий, ‎может ‎привести ‎к‏ ‎переутомлению ‎сотрудников‏ ‎службы‏ ‎безопасности ‎и ‎пропуску‏ ‎важных ‎оповещений.

📌 Ложноположительные‏ ‎и ‎отрицательные ‎результаты: системы ‎анализа‏ ‎поведения‏ ‎и ‎обнаружения‏ ‎аномалий ‎могут‏ ‎формировать ‎ложноположительные ‎и ‎отрицательные ‎результаты,‏ ‎что‏ ‎приводит ‎к‏ ‎ненужным ‎расследованиям‏ ‎инцидентов ‎или ‎пропущенным ‎угрозам. ‎Точная‏ ‎настройка‏ ‎этих‏ ‎систем ‎для‏ ‎сведения ‎к‏ ‎минимуму ‎неточностей‏ ‎требует‏ ‎постоянных ‎усилий‏ ‎и ‎опыта.

📌 Зависимость ‎от ‎поддержки ‎поставщиков:‏ ‎эффективность ‎мер‏ ‎по‏ ‎усилению ‎защиты ‎и‏ ‎безопасных ‎конфигураций‏ ‎часто ‎зависит ‎от ‎поддержки‏ ‎и‏ ‎рекомендаций, ‎предоставляемых‏ ‎поставщиками ‎программного‏ ‎обеспечения. ‎Организации ‎могут ‎столкнуться ‎с‏ ‎ограничениями,‏ ‎если ‎поставщики‏ ‎не ‎уделяют‏ ‎приоритетного ‎внимания ‎безопасности ‎или ‎не‏ ‎предоставляют‏ ‎адекватных‏ ‎рекомендаций ‎по‏ ‎усилению ‎защиты.

Документ, ‎озаглавленный‏ ‎«Joint ‎Guidance: ‎Identifying ‎and ‎Mitigating‏ ‎LOTL ‎Techniques»,‏ ‎содержит‏ ‎рекомендации ‎о ‎том,‏ ‎как ‎организации‏ ‎могут ‎лучше ‎защитить ‎себя‏ ‎от‏ ‎методов ‎известных‏ ‎как ‎Living‏ ‎Off ‎The ‎Land ‎(LOTL). ‎Эти‏ ‎методы‏ ‎предполагают, ‎что‏ ‎атакующие ‎используют‏ ‎легитимные ‎инструменты ‎и ‎программное ‎обеспечение,‏ ‎присутствующие‏ ‎в‏ ‎среде ‎объекта,‏ ‎для ‎осуществления‏ ‎вредоносных ‎действий,‏ ‎что‏ ‎усложняет ‎обнаружение.‏ ‎Этот ‎подход ‎направлен ‎на ‎сокращение‏ ‎таких ‎легитимных‏ ‎инструментов‏ ‎операционной ‎системы ‎и‏ ‎приложений ‎для‏ ‎нецелевого ‎применения.

Руководство ‎основано ‎на‏ ‎практических‏ ‎результатах, ‎оценках‏ ‎red ‎team,‏ ‎отраслевых ‎практиках ‎и ‎практиках ‎по‏ ‎реагированию‏ ‎на ‎инциденты.‏ ‎Также ‎подчёркивается‏ ‎важность ‎создания ‎и ‎поддержания ‎инфраструктуры,‏ ‎которая‏ ‎собирает‏ ‎и ‎систематизирует‏ ‎данные, ‎помогающие‏ ‎правозащитникам ‎выявлять‏ ‎методы‏ ‎LOTL, ‎адаптированные‏ ‎к ‎ландшафту ‎рисков ‎каждой ‎организации‏ ‎и ‎её‏ ‎ресурсным‏ ‎возможностям.

Ключевые ‎моменты

📌 Руководство ‎составлено‏ ‎крупнейшими ‎агентствами‏ ‎кибербезопасности ‎и ‎национальной ‎безопасности‏ ‎США,‏ ‎Австралии, ‎Канады,‏ ‎Соединённого ‎Королевства‏ ‎и ‎Новой ‎Зеландии ‎и ‎посвящено‏ ‎распространённым‏ ‎методам ‎LOTL‏ ‎и ‎пробелам‏ ‎в ‎возможностях ‎киберзащиты.

📌 LOTL ‎применяется ‎для‏ ‎компрометации‏ ‎и‏ ‎поддержания ‎доступа‏ ‎к ‎критически‏ ‎важной ‎инфраструктуре,‏ ‎путём‏ ‎использования ‎легитимных‏ ‎системных ‎инструментов ‎и ‎процессов, ‎чтобы‏ ‎«вписаться ‎в‏ ‎обычную‏ ‎активность» ‎и ‎избежать‏ ‎обнаружения.

📌 Многим ‎организациям‏ ‎трудно ‎обнаружить ‎вредоносную ‎активность‏ ‎LOTL‏ ‎из-за ‎неадекватных‏ ‎методов ‎обеспечения‏ ‎безопасности ‎и ‎управления ‎сетью, ‎отсутствия‏ ‎общепринятых‏ ‎индикаторов ‎компрометации‏ ‎и ‎сложности‏ ‎отличить ‎вредоносную ‎активность ‎от ‎легитимного‏ ‎поведения.

📌 Рекомендации‏ ‎включают‏ ‎использование ‎детализированного‏ ‎журнала ‎событий,‏ ‎установление ‎базовых‏ ‎показателей‏ ‎активности, ‎использование‏ ‎автоматизации ‎для ‎непрерывного ‎анализа, ‎снижение‏ ‎количества ‎оповещений‏ ‎и‏ ‎использование ‎аналитики ‎поведения‏ ‎пользователей ‎и‏ ‎объектов ‎(UEBA).

📌 Усиление ‎безопасности ‎включают‏ ‎применение‏ ‎рекомендаций ‎поставщика‏ ‎по ‎усилению‏ ‎безопасности, ‎внедрение ‎списка ‎разрешённых ‎приложений,‏ ‎улучшение‏ ‎сегментации ‎сети‏ ‎и ‎мониторинга,‏ ‎а ‎также ‎усиление ‎контроля ‎аутентификации‏ ‎и‏ ‎авторизации.

📌 Производителям‏ ‎программного ‎обеспечения‏ ‎рекомендуется ‎применять‏ ‎принципы ‎secure-by-design,‏ ‎чтобы‏ ‎уменьшить ‎количество‏ ‎уязвимостей, ‎которые ‎позволяют ‎использовать ‎методы‏ ‎LOTL, ‎что‏ ‎включает‏ ‎в ‎себя ‎отключение‏ ‎ненужных ‎протоколов,‏ ‎ограничение ‎доступности ‎сети, ‎ограничение‏ ‎повышенных‏ ‎привилегий, ‎включение‏ ‎по ‎умолчанию‏ ‎защищённого ‎от ‎фишинга ‎MFA, ‎обеспечение‏ ‎защищённости‏ ‎журнала ‎событий,‏ ‎устранение ‎паролей‏ ‎по ‎умолчанию ‎и ‎ограничение ‎динамического‏ ‎выполнения‏ ‎кода.

Вторичные‏ ‎моменты

📌 Направленность ‎на‏ ‎смягчение ‎последствий‏ ‎использования ‎LOTL-методов,‏ ‎когда‏ ‎нецелевым ‎образом‏ ‎применяются ‎легитимные ‎инструменты.

📌 Поставщики ‎должны ‎нести‏ ‎ответственность ‎за‏ ‎настройки‏ ‎своего ‎программного ‎обеспечения‏ ‎по ‎умолчанию‏ ‎и ‎соблюдение ‎принципа ‎наименьших‏ ‎привилегий.

📌 Производителям‏ ‎ПО ‎рекомендуется‏ ‎сокращать ‎количество‏ ‎уязвимостей, ‎которыми ‎можно ‎воспользоваться, ‎и‏ ‎брать‏ ‎на ‎себя‏ ‎ответственность ‎за‏ ‎обеспечение ‎безопасности ‎своих ‎клиентов.

📌 Стратегии ‎сетевой‏ ‎защиты‏ ‎включают‏ ‎мониторинг ‎необычных‏ ‎системных ‎взаимодействий,‏ ‎повышения ‎привилегий‏ ‎и‏ ‎отклонений ‎от‏ ‎обычных ‎административных ‎действий.

📌 Организациям ‎следует ‎создать‏ ‎и ‎поддерживать‏ ‎инфраструктуру‏ ‎для ‎сбора ‎и‏ ‎систематизации ‎данных‏ ‎для ‎обнаружения ‎методов ‎LOTL,‏ ‎адаптированную‏ ‎к ‎их‏ ‎конкретному ‎ландшафту‏ ‎рисков ‎и ‎ресурсным ‎возможностям

Recommendations ‎for‏ ‎Software ‎Manufacturers ‎is ‎crucial ‎in‏ ‎reducing ‎the‏ ‎prevalence‏ ‎of ‎exploitable ‎flaws‏ ‎that ‎enable‏ ‎LOTL ‎tactics.

📌Minimizing ‎Attack ‎Surfaces:‏ ‎Software‏ ‎manufacturers ‎are‏ ‎urged ‎to‏ ‎minimize ‎attack ‎surfaces ‎that ‎can‏ ‎be‏ ‎exploited ‎by‏ ‎cyber ‎threat‏ ‎actors ‎using ‎LOTL ‎techniques. ‎This‏ ‎includes‏ ‎disabling‏ ‎unnecessary ‎protocols‏ ‎by ‎default,‏ ‎limiting ‎the‏ ‎number‏ ‎of ‎processes‏ ‎and ‎programs ‎running ‎with ‎escalated‏ ‎privileges, ‎and‏ ‎taking‏ ‎proactive ‎steps ‎to‏ ‎limit ‎the‏ ‎ability ‎for ‎actors ‎to‏ ‎leverage‏ ‎native ‎functionality‏ ‎for ‎intrusions.

📌Embedding‏ ‎Security ‎in ‎the ‎SDLC: ‎Security‏ ‎should‏ ‎be ‎embedded‏ ‎into ‎the‏ ‎product ‎architecture ‎throughout ‎the ‎entire‏ ‎software‏ ‎development‏ ‎lifecycle ‎(SDLC).‏ ‎This ‎proactive‏ ‎integration ‎ensures‏ ‎that‏ ‎security ‎considerations‏ ‎are ‎not ‎an ‎afterthought ‎but‏ ‎a ‎fundamental‏ ‎component‏ ‎of ‎the ‎product‏ ‎from ‎inception‏ ‎to ‎deployment.

📌Mandating ‎Multi-Factor ‎Authentication‏ ‎(MFA):‏ ‎Manufacturers ‎should‏ ‎mandate ‎MFA,‏ ‎ideally ‎phishing-resistant ‎MFA, ‎for ‎privileged‏ ‎users‏ ‎and ‎make‏ ‎it ‎a‏ ‎default ‎feature ‎rather ‎than ‎an‏ ‎optional‏ ‎one.‏ ‎This ‎step‏ ‎significantly ‎enhances‏ ‎the ‎security‏ ‎of‏ ‎user ‎accounts,‏ ‎particularly ‎those ‎with ‎elevated ‎access.

📌Reducing‏ ‎Hardening ‎Guide‏ ‎Size:‏ ‎The ‎size ‎of‏ ‎hardening ‎guides‏ ‎that ‎accompany ‎products ‎should‏ ‎be‏ ‎tracked ‎and‏ ‎reduced. ‎As‏ ‎new ‎versions ‎of ‎the ‎software‏ ‎are‏ ‎released, ‎the‏ ‎aim ‎should‏ ‎be ‎to ‎shrink ‎the ‎size‏ ‎of‏ ‎these‏ ‎guides ‎over‏ ‎time ‎by‏ ‎integrating ‎their‏ ‎components‏ ‎as ‎the‏ ‎default ‎configuration ‎of ‎the ‎product.

📌Considering‏ ‎User ‎Experience:‏ ‎The‏ ‎user ‎experience ‎consequences‏ ‎of ‎security‏ ‎settings ‎must ‎be ‎considered.‏ ‎Ideally,‏ ‎the ‎most‏ ‎secure ‎setting‏ ‎should ‎be ‎integrated ‎into ‎the‏ ‎product‏ ‎by ‎default,‏ ‎and ‎when‏ ‎configuration ‎is ‎necessary, ‎the ‎default‏ ‎option‏ ‎should‏ ‎be ‎secure‏ ‎against ‎common‏ ‎threats. ‎This‏ ‎approach‏ ‎reduces ‎the‏ ‎cognitive ‎burden ‎on ‎end ‎users‏ ‎and ‎ensures‏ ‎broad‏ ‎protection.

📌Removing ‎Default ‎Passwords:‏ ‎Default ‎passwords‏ ‎should ‎be ‎eliminated ‎entirely‏ ‎or,‏ ‎where ‎necessary,‏ ‎be ‎generated‏ ‎or ‎set ‎upon ‎first ‎install‏ ‎and‏ ‎then ‎rotated‏ ‎periodically. ‎This‏ ‎practice ‎prevents ‎the ‎use ‎of‏ ‎default‏ ‎passwords‏ ‎as ‎an‏ ‎easy ‎entry‏ ‎point ‎for‏ ‎malicious‏ ‎actors.

📌Limiting ‎Dynamic‏ ‎Code ‎Execution: ‎Dynamic ‎code ‎execution,‏ ‎while ‎offering‏ ‎versatility,‏ ‎presents ‎a ‎vulnerable‏ ‎attack ‎surface.‏ ‎Manufacturers ‎should ‎limit ‎or‏ ‎remove‏ ‎the ‎capability‏ ‎for ‎dynamic‏ ‎code ‎execution ‎due ‎to ‎the‏ ‎high‏ ‎risk ‎and‏ ‎the ‎challenge‏ ‎of ‎detecting ‎associated ‎indicators ‎of‏ ‎compromise‏ ‎(IOCs).

📌Removing‏ ‎Hard-Coded ‎Credentials:‏ ‎Applications ‎and‏ ‎scripts ‎containing‏ ‎hard-coded‏ ‎plaintext ‎credentials‏ ‎pose ‎a ‎significant ‎security ‎risk.‏ ‎Removing ‎such‏ ‎credentials‏ ‎is ‎essential ‎to‏ ‎prevent ‎malicious‏ ‎actors ‎from ‎using ‎them‏ ‎to‏ ‎access ‎resources‏ ‎and ‎expand‏ ‎their ‎presence ‎within ‎a ‎network.

It ‎advocates‏ ‎for ‎regular ‎system ‎inventory ‎audits‏ ‎to ‎catch‏ ‎adversary‏ ‎behavior ‎that ‎might‏ ‎be ‎missed‏ ‎by ‎event ‎logs ‎due‏ ‎to‏ ‎inadequate ‎logging‏ ‎configurations ‎or‏ ‎activities ‎occurring ‎before ‎logging ‎enhancements‏ ‎are‏ ‎deployed. ‎Organizations‏ ‎are ‎encouraged‏ ‎to ‎enable ‎comprehensive ‎logging ‎for‏ ‎all‏ ‎security-related‏ ‎events, ‎including‏ ‎shell ‎activities,‏ ‎system ‎calls,‏ ‎and‏ ‎audit ‎trails‏ ‎across ‎all ‎platforms, ‎to ‎improve‏ ‎the ‎detection‏ ‎of‏ ‎malicious ‎LOTL ‎activity.

Network‏ ‎Logs ‎

The‏ ‎detection ‎of ‎LOTL ‎techniques‏ ‎through‏ ‎network ‎logs‏ ‎presents ‎unique‏ ‎challenges ‎due ‎to ‎the ‎transient‏ ‎nature‏ ‎of ‎network‏ ‎artifacts ‎and‏ ‎the ‎complexity ‎of ‎distinguishing ‎malicious‏ ‎activity‏ ‎from‏ ‎legitimate ‎behavior.‏ ‎Network ‎defenders‏ ‎must ‎be‏ ‎vigilant‏ ‎and ‎proactive‏ ‎in ‎configuring ‎and ‎setting ‎up‏ ‎logs ‎to‏ ‎capture‏ ‎the ‎necessary ‎data‏ ‎for ‎identifying‏ ‎LOTL ‎activities. ‎Unlike ‎host‏ ‎artifacts,‏ ‎which ‎can‏ ‎often ‎be‏ ‎found ‎unless ‎deliberately ‎deleted ‎by‏ ‎a‏ ‎threat ‎actor,‏ ‎network ‎artifacts‏ ‎are ‎derived ‎from ‎network ‎traffic‏ ‎and‏ ‎are‏ ‎inherently ‎more‏ ‎difficult ‎to‏ ‎detect ‎and‏ ‎capture.‏ ‎Network ‎artifacts‏ ‎are ‎significantly ‎harder ‎to ‎detect‏ ‎than ‎host‏ ‎artifacts‏ ‎because ‎they ‎are‏ ‎largely ‎transient‏ ‎and ‎require ‎proper ‎configuration‏ ‎of‏ ‎logging ‎systems‏ ‎to ‎be‏ ‎captured. ‎Without ‎the ‎right ‎sensors‏ ‎in‏ ‎place ‎to‏ ‎record ‎network‏ ‎traffic, ‎there ‎is ‎no ‎way‏ ‎to‏ ‎observe‏ ‎LOTL ‎activity‏ ‎from ‎a‏ ‎network ‎perspective.‏ ‎

Indicators‏ ‎of ‎LOTL‏ ‎Activity

Detecting ‎LOTL ‎activity ‎involves ‎looking‏ ‎for ‎a‏ ‎collection‏ ‎of ‎possible ‎indicators‏ ‎that, ‎together,‏ ‎paint ‎a ‎picture ‎of‏ ‎the‏ ‎behavior ‎of‏ ‎network ‎traffic.

📌 Reviewing‏ ‎Firewall ‎Logs: Blocked ‎access ‎attempts ‎in‏ ‎firewall‏ ‎logs ‎can‏ ‎signal ‎compromise,‏ ‎especially ‎in ‎a ‎properly ‎segmented‏ ‎network.‏ ‎Network‏ ‎discovery ‎and‏ ‎mapping ‎attempts‏ ‎from ‎within‏ ‎the‏ ‎network ‎can‏ ‎also ‎be ‎indicative ‎of ‎LOTL‏ ‎activity. ‎It‏ ‎is‏ ‎crucial ‎to ‎differentiate‏ ‎between ‎normal‏ ‎network ‎management ‎tool ‎behavior‏ ‎and‏ ‎abnormal ‎traffic‏ ‎patterns.

📌 Investigating ‎Unusual‏ ‎Traffic ‎Patterns: ‎Specific ‎types ‎of‏ ‎traffic‏ ‎should ‎be‏ ‎scrutinized, ‎such‏ ‎as ‎LDAP ‎requests ‎from ‎non-domain‏ ‎joined‏ ‎Linux‏ ‎hosts, ‎SMB‏ ‎requests ‎across‏ ‎different ‎network‏ ‎segments,‏ ‎or ‎database‏ ‎access ‎requests ‎from ‎user ‎workstations‏ ‎that ‎should‏ ‎only‏ ‎be ‎made ‎by‏ ‎frontend ‎servers.‏ ‎Establishing ‎baseline ‎noise ‎levels‏ ‎can‏ ‎help ‎in‏ ‎distinguishing ‎between‏ ‎legitimate ‎applications ‎and ‎malicious ‎requests.

📌 Examining‏ ‎Logs‏ ‎from ‎Network‏ ‎Services ‎on‏ ‎Host ‎Machines: ‎Logs ‎from ‎services‏ ‎like‏ ‎Sysmon‏ ‎and ‎IIS‏ ‎on ‎host‏ ‎machines ‎can‏ ‎provide‏ ‎insights ‎into‏ ‎web ‎server ‎interactions, ‎FTP ‎transactions,‏ ‎and ‎other‏ ‎network‏ ‎activities. ‎These ‎logs‏ ‎can ‎offer‏ ‎valuable ‎context ‎and ‎details‏ ‎that‏ ‎may ‎not‏ ‎be ‎captured‏ ‎by ‎traditional ‎network ‎devices.

📌 Combining ‎Network‏ ‎Traffic‏ ‎Logs ‎with‏ ‎Host-based ‎Logs:‏ ‎This ‎approach ‎allows ‎for ‎the‏ ‎inclusion‏ ‎of‏ ‎additional ‎information‏ ‎such ‎as‏ ‎user ‎account‏ ‎and‏ ‎process ‎details.‏ ‎Discrepancies ‎between ‎the ‎destination ‎and‏ ‎on-network ‎artifacts‏ ‎could‏ ‎indicate ‎malicious ‎traffic.

Application,‏ ‎Security, ‎and‏ ‎System ‎Event ‎Logs

Default ‎logging‏ ‎configurations‏ ‎often ‎fail‏ ‎to ‎capture‏ ‎all ‎necessary ‎events, ‎potentially ‎leaving‏ ‎gaps‏ ‎in ‎the‏ ‎visibility ‎of‏ ‎malicious ‎activities. ‎Prioritizing ‎logs ‎and‏ ‎data‏ ‎sources‏ ‎that ‎are‏ ‎more ‎likely‏ ‎to ‎reveal‏ ‎malicious‏ ‎LOTL ‎activities‏ ‎is ‎crucial ‎for ‎effective ‎detection‏ ‎and ‎response.

Authentication‏ ‎Logs

📌Authentication‏ ‎logs ‎play ‎a‏ ‎vital ‎role‏ ‎in ‎identifying ‎unauthorized ‎access‏ ‎attempts‏ ‎and ‎tracking‏ ‎user ‎activities‏ ‎across ‎the ‎network. ‎The ‎guidance‏ ‎recommends‏ ‎ensuring ‎that‏ ‎logging ‎is‏ ‎enabled ‎for ‎all ‎control ‎plane‏ ‎operations,‏ ‎including‏ ‎API ‎calls‏ ‎and ‎end-user‏ ‎logins, ‎through‏ ‎services‏ ‎like ‎Amazon‏ ‎Web ‎Services ‎CloudTrail, ‎Azure ‎Activity‏ ‎Log, ‎and‏ ‎Google‏ ‎Cloud ‎Audit ‎Logs.‏ ‎These ‎logs‏ ‎can ‎provide ‎valuable ‎insights‏ ‎into‏ ‎potential ‎LOTL‏ ‎activities ‎by‏ ‎highlighting ‎unusual ‎access ‎patterns ‎or‏ ‎attempts‏ ‎to ‎exploit‏ ‎authentication ‎mechanisms.

📌A‏ ‎robust ‎strategy ‎for ‎the ‎separation‏ ‎of‏ ‎privileges‏ ‎is ‎essential‏ ‎for ‎identifying‏ ‎LOTL ‎techniques‏ ‎through‏ ‎authentication ‎logs.‏ ‎Practices ‎such ‎as ‎restricting ‎domain‏ ‎administrator ‎accounts‏ ‎to‏ ‎only ‎log ‎into‏ ‎domain ‎controllers‏ ‎and ‎using ‎Privileged ‎Access‏ ‎Workstations‏ ‎(PAWs) ‎in‏ ‎conjunction ‎with‏ ‎bastion ‎hosts ‎can ‎minimize ‎credential‏ ‎exposure‏ ‎and ‎reinforce‏ ‎network ‎segmentation.‏ ‎Multifactor ‎authentication ‎adds ‎an ‎additional‏ ‎layer‏ ‎of‏ ‎security.

Host-based ‎Logs

Sysmon‏ ‎and ‎other‏ ‎host-based ‎logging‏ ‎tools‏ ‎offer ‎granular‏ ‎visibility ‎into ‎system ‎activities ‎that‏ ‎can ‎indicate‏ ‎LOTL‏ ‎exploitation. ‎By ‎capturing‏ ‎detailed ‎information‏ ‎about ‎process ‎creations, ‎network‏ ‎connections,‏ ‎and ‎file‏ ‎system ‎changes,‏ ‎these ‎tools ‎can ‎help ‎organizations‏ ‎detect‏ ‎and ‎investigate‏ ‎suspicious ‎behavior‏ ‎that ‎might ‎otherwise ‎go ‎unnoticed.

Establishing‏ ‎Baselines‏ ‎and‏ ‎Secure ‎Logging

A‏ ‎foundational ‎step‏ ‎in ‎detecting‏ ‎abnormal‏ ‎or ‎potentially‏ ‎malicious ‎behavior ‎is ‎the ‎establishment‏ ‎of ‎baselines‏ ‎for‏ ‎running ‎tools ‎and‏ ‎activities. ‎This‏ ‎involves ‎understanding ‎the ‎normal‏ ‎operational‏ ‎patterns ‎of‏ ‎a ‎system‏ ‎to ‎identify ‎deviations ‎that ‎may‏ ‎indicate‏ ‎a ‎security‏ ‎threat. ‎It's‏ ‎also ‎essential ‎to ‎rely ‎on‏ ‎secure‏ ‎logs‏ ‎that ‎are‏ ‎less ‎susceptible‏ ‎to ‎tampering‏ ‎by‏ ‎adversaries. ‎For‏ ‎instance, ‎while ‎Linux ‎.bash_history ‎files‏ ‎can ‎be‏ ‎modified‏ ‎by ‎nonprivileged ‎users,‏ ‎system-level ‎auditd‏ ‎logs ‎are ‎more ‎secure‏ ‎and‏ ‎provide ‎a‏ ‎reliable ‎record‏ ‎of ‎activities.

Leveraging ‎Sysmon ‎in ‎Windows‏ ‎Environments

📌Sysmon,‏ ‎a ‎Windows‏ ‎system ‎monitoring‏ ‎tool, ‎offers ‎granular ‎insights ‎into‏ ‎activities‏ ‎such‏ ‎as ‎process‏ ‎creations, ‎network‏ ‎connections, ‎and‏ ‎registry‏ ‎modifications. ‎This‏ ‎detailed ‎logging ‎is ‎invaluable ‎for‏ ‎security ‎teams‏ ‎in‏ ‎hunting ‎for ‎and‏ ‎detecting ‎the‏ ‎misuse ‎of ‎legitimate ‎tools‏ ‎and‏ ‎utilities. ‎Key‏ ‎strategies ‎include:

📌Using‏ ‎the ‎OriginalFileName ‎property ‎to ‎identify‏ ‎renamed‏ ‎files, ‎which‏ ‎may ‎indicate‏ ‎malicious ‎activity. ‎For ‎most ‎Microsoft‏ ‎utilities,‏ ‎the‏ ‎original ‎filenames‏ ‎are ‎stored‏ ‎in ‎the‏ ‎PE‏ ‎header, ‎providing‏ ‎a ‎method ‎to ‎detect ‎file‏ ‎tampering.

📌Implementing ‎detection‏ ‎techniques‏ ‎to ‎identify ‎the‏ ‎malicious ‎use‏ ‎of ‎command-line ‎and ‎scripting‏ ‎utilities,‏ ‎especially ‎those‏ ‎exploiting ‎Alternate‏ ‎Data ‎Streams ‎(ADS). ‎Monitoring ‎specific‏ ‎command-line‏ ‎arguments ‎or‏ ‎syntax ‎used‏ ‎to ‎interact ‎with ‎ADS ‎can‏ ‎reveal‏ ‎attempts‏ ‎to ‎execute‏ ‎or ‎interact‏ ‎with ‎hidden‏ ‎payloads.

Targeted‏ ‎Detection ‎Strategies

Enhancing‏ ‎Sysmon ‎configurations ‎to ‎log ‎and‏ ‎scrutinize ‎command-line‏ ‎executions,‏ ‎with ‎a ‎focus‏ ‎on ‎patterns‏ ‎indicative ‎of ‎obfuscation, ‎can‏ ‎help‏ ‎identify ‎attempts‏ ‎by ‎cyber‏ ‎threat ‎actors ‎to ‎bypass ‎security‏ ‎monitoring‏ ‎tools. ‎Examples‏ ‎include ‎the‏ ‎extensive ‎use ‎of ‎escape ‎characters,‏ ‎concatenation‏ ‎of‏ ‎commands, ‎and‏ ‎the ‎employment‏ ‎of ‎Base64‏ ‎encoding.

Monitoring‏ ‎Suspicious ‎Process‏ ‎Chains

Monitoring ‎for ‎suspicious ‎process ‎chains,‏ ‎such ‎as‏ ‎Microsoft‏ ‎Office ‎documents ‎initiating‏ ‎scripting ‎processes,‏ ‎is ‎a ‎key ‎indicator‏ ‎of‏ ‎LOTL ‎activity.‏ ‎It's ‎uncommon‏ ‎for ‎Office ‎applications ‎to ‎launch‏ ‎scripting‏ ‎processes ‎like‏ ‎cmd.exe, ‎PowerShell,‏ ‎wscript.exe, ‎or ‎cscript.exe. ‎Tracking ‎these‏ ‎process‏ ‎creations‏ ‎and ‎the‏ ‎execution ‎of‏ ‎unusual ‎commands‏ ‎from‏ ‎Office ‎applications‏ ‎can ‎signal ‎a ‎red ‎flag‏ ‎and ‎warrants‏ ‎further‏ ‎investigation.

Integrating ‎Logs ‎with‏ ‎SIEM ‎Systems

Integrating‏ ‎Sysmon ‎logs ‎with ‎Security‏ ‎Information‏ ‎and ‎Event‏ ‎Management ‎(SIEM)‏ ‎systems ‎and ‎applying ‎correlation ‎rules‏ ‎can‏ ‎significantly ‎enhance‏ ‎the ‎detection‏ ‎of ‎advanced ‎attack ‎scenarios. ‎This‏ ‎integration‏ ‎allows‏ ‎for ‎the‏ ‎automation ‎of‏ ‎the ‎detection‏ ‎process‏ ‎and ‎the‏ ‎application ‎of ‎analytics ‎to ‎identify‏ ‎complex ‎patterns‏ ‎of‏ ‎malicious ‎activity.

Linux ‎and‏ ‎macOS ‎Considerations

On‏ ‎Linux ‎machines, ‎enabling ‎Auditd‏ ‎or‏ ‎Sysmon ‎for‏ ‎Linux ‎logging‏ ‎and ‎integrating ‎these ‎logs ‎with‏ ‎an‏ ‎SIEM ‎platform‏ ‎can ‎greatly‏ ‎improve ‎the ‎detection ‎of ‎anomalous‏ ‎activities.‏ ‎For‏ ‎macOS, ‎utilizing‏ ‎tools ‎like‏ ‎Santa, ‎an‏ ‎open-source‏ ‎binary ‎authorization‏ ‎system, ‎can ‎help ‎monitor ‎process‏ ‎executions ‎and‏ ‎detect‏ ‎abnormal ‎behavior ‎by‏ ‎productivity ‎applications

Review‏ ‎Configurations

Regularly ‎reviewing ‎and ‎updating‏ ‎system‏ ‎configurations ‎is‏ ‎essential ‎to‏ ‎ensure ‎that ‎security ‎measures ‎remain‏ ‎effective‏ ‎against ‎evolving‏ ‎threats. ‎This‏ ‎includes ‎verifying ‎that ‎logging ‎settings‏ ‎are‏ ‎appropriately‏ ‎configured ‎to‏ ‎capture ‎relevant‏ ‎data ‎and‏ ‎that‏ ‎security ‎controls‏ ‎are ‎aligned ‎with ‎current ‎best‏ ‎practices. ‎Organizations‏ ‎should‏ ‎also ‎assess ‎the‏ ‎use ‎of‏ ‎allowlists ‎and ‎other ‎access‏ ‎control‏ ‎mechanisms ‎to‏ ‎prevent ‎the‏ ‎misuse ‎of ‎legitimate ‎tools ‎by‏ ‎malicious‏ ‎actors.

Regular ‎reviews‏ ‎of ‎host‏ ‎configurations ‎against ‎established ‎baselines ‎are‏ ‎essential‏ ‎for‏ ‎catching ‎indicators‏ ‎of ‎compromise‏ ‎(IOCs) ‎that‏ ‎may‏ ‎not ‎be‏ ‎reverted ‎through ‎regular ‎group ‎policy‏ ‎updates. ‎This‏ ‎includes‏ ‎changes ‎to ‎installed‏ ‎software, ‎firewall‏ ‎configurations, ‎and ‎updates ‎to‏ ‎core‏ ‎files ‎such‏ ‎as ‎the‏ ‎Hosts ‎file, ‎which ‎is ‎used‏ ‎for‏ ‎DNS ‎resolution.‏ ‎Such ‎reviews‏ ‎can ‎reveal ‎discrepancies ‎that ‎signal‏ ‎unauthorized‏ ‎modifications‏ ‎or ‎the‏ ‎presence ‎of‏ ‎malicious ‎software.

📌 Bypassing‏ ‎Standard‏ ‎Event ‎Logs: Cyber‏ ‎threat ‎actors ‎have ‎been ‎known‏ ‎to ‎bypass‏ ‎standard‏ ‎event ‎logs ‎by‏ ‎directly ‎writing‏ ‎to ‎the ‎registry ‎to‏ ‎register‏ ‎services ‎and‏ ‎scheduled ‎tasks.‏ ‎This ‎method ‎does ‎not ‎create‏ ‎standard‏ ‎system ‎events,‏ ‎making ‎it‏ ‎a ‎stealthy ‎way ‎to ‎establish‏ ‎persistence‏ ‎or‏ ‎execute ‎tasks‏ ‎without ‎triggering‏ ‎alerts. ‎

📌 System‏ ‎Inventory‏ ‎Audits: ‎Conducting‏ ‎regular ‎system ‎inventory ‎audits ‎is‏ ‎a ‎proactive‏ ‎measure‏ ‎to ‎catch ‎adversary‏ ‎behavior ‎that‏ ‎may ‎have ‎been ‎missed‏ ‎by‏ ‎event ‎logs,‏ ‎whether ‎due‏ ‎to ‎incorrect ‎event ‎capture ‎or‏ ‎activities‏ ‎that ‎occurred‏ ‎before ‎logging‏ ‎enhancements ‎were ‎deployed. ‎These ‎audits‏ ‎help‏ ‎ensure‏ ‎that ‎any‏ ‎changes ‎to‏ ‎the ‎system‏ ‎are‏ ‎authorized ‎and‏ ‎accounted ‎for.

Behavioral ‎Analysis

Comparing ‎activity ‎against‏ ‎normal ‎user‏ ‎behavior‏ ‎is ‎key ‎to‏ ‎detecting ‎anomalies.‏ ‎Unusual ‎behaviors ‎to ‎look‏ ‎out‏ ‎for ‎include‏ ‎odd ‎login‏ ‎hours, ‎access ‎outside ‎of ‎expected‏ ‎work‏ ‎schedules ‎or‏ ‎holiday ‎breaks,‏ ‎rapid ‎succession ‎or ‎high ‎volume‏ ‎of‏ ‎access‏ ‎attempts, ‎unusual‏ ‎access ‎paths,‏ ‎concurrent ‎sign-ins‏ ‎from‏ ‎multiple ‎locations,‏ ‎and ‎instances ‎of ‎impossible ‎time‏ ‎travel.

NTDSUtil.exe ‎and‏ ‎PSExec.exe

Specific‏ ‎attention ‎is ‎given‏ ‎to ‎detecting‏ ‎misuse ‎of ‎NTDSUtil.exe ‎and‏ ‎PSExec.exe,‏ ‎tools ‎that,‏ ‎while ‎legitimate,‏ ‎are ‎often ‎leveraged ‎by ‎attackers‏ ‎for‏ ‎malicious ‎purposes,‏ ‎such ‎as‏ ‎attempts ‎to ‎dump ‎credentials ‎or‏ ‎move‏ ‎laterally‏ ‎across ‎the‏ ‎network. ‎By‏ ‎focusing ‎on‏ ‎the‏ ‎behavioral ‎context‏ ‎of ‎these ‎tools' ‎usage, ‎organizations‏ ‎can ‎more‏ ‎effectively‏ ‎distinguish ‎between ‎legitimate‏ ‎and ‎malicious‏ ‎activities.

The ‎Exploitation ‎Process

A ‎common‏ ‎tactic‏ ‎involves ‎creating‏ ‎a ‎volume‏ ‎shadow ‎copy ‎of ‎the ‎system‏ ‎drive,‏ ‎typically ‎using‏ ‎vssadmin.exe ‎with‏ ‎commands ‎like ‎Create ‎Shadow ‎/for=C:.‏ ‎This‏ ‎action‏ ‎captures ‎a‏ ‎snapshot ‎of‏ ‎the ‎system's‏ ‎current‏ ‎state, ‎including‏ ‎the ‎Active ‎Directory ‎database. ‎Following‏ ‎this, ‎ntdsutil.exe‏ ‎is‏ ‎employed ‎to ‎interact‏ ‎with ‎this‏ ‎shadow ‎copy ‎through ‎a‏ ‎specific‏ ‎command ‎sequence‏ ‎(ntdsutil ‎snapshot‏ ‎“activate ‎instance ‎ntds” ‎create ‎quit‏ ‎quit).‏ ‎The ‎attackers‏ ‎then ‎access‏ ‎the ‎shadow ‎copy ‎to ‎extract‏ ‎the‏ ‎ntds.dit‏ ‎file ‎from‏ ‎a ‎specified‏ ‎directory. ‎This‏ ‎sequence‏ ‎aims ‎to‏ ‎retrieve ‎sensitive ‎credentials, ‎such ‎as‏ ‎hashed ‎passwords,‏ ‎from‏ ‎the ‎Active ‎Directory,‏ ‎enabling ‎full‏ ‎domain ‎compromise.

Detection ‎and ‎Response

To‏ ‎detect‏ ‎and ‎respond‏ ‎to ‎such‏ ‎exploitation, ‎it's ‎crucial ‎to ‎understand‏ ‎the‏ ‎context ‎of‏ ‎ntdsutil.exe ‎activities‏ ‎and ‎differentiate ‎between ‎legitimate ‎administrative‏ ‎use‏ ‎and‏ ‎potential ‎malicious‏ ‎exploitation. ‎Key‏ ‎log ‎sources‏ ‎and‏ ‎monitoring ‎strategies‏ ‎include:

📌 Command-line ‎and ‎Process ‎Creation ‎Logs:‏ ‎Security ‎logs‏ ‎(Event‏ ‎ID ‎4688) ‎and‏ ‎Sysmon ‎logs‏ ‎(Event ‎ID ‎1) ‎provide‏ ‎insights‏ ‎into ‎the‏ ‎execution ‎of‏ ‎ntdsutil.exe ‎commands. ‎Unusual ‎or ‎infrequent‏ ‎use‏ ‎of ‎ntdsutil.exe‏ ‎for ‎snapshot‏ ‎creation ‎might ‎indicate ‎suspicious ‎activity.

📌 File‏ ‎Creation‏ ‎and‏ ‎Access ‎Logs:‏ ‎Monitoring ‎file‏ ‎creation ‎events‏ ‎(Sysmon’s‏ ‎Event ‎ID‏ ‎11) ‎and ‎attempts ‎to ‎access‏ ‎sensitive ‎files‏ ‎like‏ ‎NTDS.dit ‎(security ‎logs‏ ‎with ‎Event‏ ‎ID ‎4663) ‎can ‎offer‏ ‎additional‏ ‎context ‎to‏ ‎the ‎snapshot‏ ‎creation ‎and ‎access ‎process.

📌 Privilege ‎Use‏ ‎Logs:‏ ‎Event ‎ID‏ ‎4673 ‎in‏ ‎security ‎logs, ‎indicating ‎the ‎use‏ ‎of‏ ‎privileged‏ ‎services, ‎can‏ ‎signal ‎potential‏ ‎misuse ‎when‏ ‎correlated‏ ‎with ‎the‏ ‎execution ‎of ‎ntdsutil.exe ‎commands.

📌 Network ‎Activity‏ ‎and ‎Authentication‏ ‎Logs:‏ ‎These ‎logs ‎can‏ ‎provide ‎context‏ ‎about ‎concurrent ‎remote ‎connections‏ ‎or‏ ‎data ‎transfers,‏ ‎potentially ‎indicating‏ ‎data ‎exfiltration ‎attempts. ‎Authentication ‎logs‏ ‎are‏ ‎also ‎crucial‏ ‎for ‎identifying‏ ‎the ‎executor ‎of ‎the ‎ntdsutil.exe‏ ‎command‏ ‎and‏ ‎assessing ‎whether‏ ‎the ‎usage‏ ‎aligns ‎with‏ ‎typical‏ ‎administrative ‎behavior.

Comprehensive‏ ‎Analysis ‎of ‎PSExec.exe ‎in ‎LOTL‏ ‎Tactics

PSExec.exe, ‎a‏ ‎component‏ ‎of ‎the ‎Microsoft‏ ‎PsTools ‎suite,‏ ‎is ‎a ‎powerful ‎utility‏ ‎for‏ ‎system ‎administrators,‏ ‎offering ‎the‏ ‎capability ‎to ‎remotely ‎execute ‎commands‏ ‎across‏ ‎networked ‎systems,‏ ‎often ‎with‏ ‎elevated ‎SYSTEM ‎privileges. ‎Its ‎versatility,‏ ‎however,‏ ‎also‏ ‎makes ‎it‏ ‎a ‎favored‏ ‎tool ‎in‏ ‎Living‏ ‎Off ‎the‏ ‎Land ‎(LOTL) ‎tactics ‎employed ‎by‏ ‎cyber ‎threat‏ ‎actors.

The‏ ‎Role ‎of ‎PSExec.exe‏ ‎in ‎Cyber‏ ‎Threats

PSExec.exe ‎is ‎commonly ‎utilized‏ ‎for‏ ‎remote ‎administration‏ ‎and ‎the‏ ‎execution ‎of ‎processes ‎across ‎systems,‏ ‎such‏ ‎as ‎execute‏ ‎one-off ‎commands‏ ‎aimed ‎at ‎modifying ‎system ‎configurations,‏ ‎such‏ ‎as‏ ‎removing ‎port‏ ‎proxy ‎configurations‏ ‎on ‎a‏ ‎remote‏ ‎host ‎with‏ ‎commands ‎like:

"C:\pstools\psexec.exe" ‎{REDACTED} ‎-s ‎cmd‏ ‎/c ‎"cmd.exe‏ ‎/c‏ ‎netsh ‎interface ‎portproxy‏ ‎delete ‎v4tov4‏ ‎listenaddress=0.0.0.0 ‎listenport=9999"

Detection ‎and ‎Contextualization‏ ‎Strategies

To‏ ‎effectively ‎counter‏ ‎the ‎malicious‏ ‎use ‎of ‎PSExec.exe, ‎network ‎defenders‏ ‎must‏ ‎leverage ‎a‏ ‎variety ‎of‏ ‎logs ‎that ‎provide ‎insights ‎into‏ ‎the‏ ‎execution‏ ‎of ‎commands‏ ‎and ‎the‏ ‎broader ‎context‏ ‎of‏ ‎the ‎operation:

📌 Command-line‏ ‎and ‎Process ‎Creation ‎Logs: ‎Security‏ ‎logs ‎(Event‏ ‎ID‏ ‎4688) ‎and ‎Sysmon‏ ‎logs ‎(Event‏ ‎ID ‎1) ‎are ‎invaluable‏ ‎for‏ ‎tracking ‎the‏ ‎execution ‎of‏ ‎PSExec.exe ‎and ‎associated ‎commands. ‎These‏ ‎logs‏ ‎detail ‎the‏ ‎command ‎line‏ ‎used, ‎shedding ‎light ‎on ‎the‏ ‎process's‏ ‎nature‏ ‎and ‎intent.

📌 Privilege‏ ‎Use ‎and‏ ‎Explicit ‎Credential‏ ‎Logs:‏ ‎Security ‎logs‏ ‎(Event ‎ID ‎4672) ‎document ‎instances‏ ‎where ‎special‏ ‎privileges‏ ‎are ‎assigned ‎to‏ ‎new ‎logons,‏ ‎crucial ‎when ‎PSExec ‎is‏ ‎executed‏ ‎with ‎the‏ ‎-s ‎switch‏ ‎for ‎SYSTEM ‎privileges. ‎Event ‎ID‏ ‎4648‏ ‎captures ‎explicit‏ ‎credential ‎use,‏ ‎indicating ‎when ‎PSExec ‎is ‎run‏ ‎with‏ ‎specific‏ ‎user ‎credentials.

📌 Sysmon‏ ‎Logs ‎for‏ ‎Network ‎Connections‏ ‎and‏ ‎Registry ‎Changes: Sysmon's‏ ‎Event ‎ID ‎3 ‎logs ‎network‏ ‎connections, ‎central‏ ‎to‏ ‎PSExec’s ‎remote ‎execution‏ ‎functionality. ‎Event‏ ‎IDs ‎12, ‎13, ‎and‏ ‎14‏ ‎track ‎registry‏ ‎changes, ‎including‏ ‎deletions ‎(Event ‎ID ‎14) ‎of‏ ‎registry‏ ‎keys ‎associated‏ ‎with ‎the‏ ‎executed ‎Netsh ‎command, ‎providing ‎evidence‏ ‎of‏ ‎modifications‏ ‎to ‎the‏ ‎system's ‎configuration.

📌 Windows‏ ‎Registry ‎Audit‏ ‎Logs:‏ ‎If ‎enabled,‏ ‎these ‎logs ‎record ‎modifications ‎to‏ ‎registry ‎keys,‏ ‎offering‏ ‎detailed ‎information ‎such‏ ‎as ‎the‏ ‎timestamp ‎of ‎changes, ‎the‏ ‎account‏ ‎under ‎which‏ ‎changes ‎were‏ ‎made ‎(often ‎the ‎SYSTEM ‎account‏ ‎due‏ ‎to ‎PSExec's‏ ‎-s ‎switch),‏ ‎and ‎the ‎specific ‎registry ‎values‏ ‎altered‏ ‎or‏ ‎deleted.

📌 Network ‎and‏ ‎Firewall ‎Logs: Analysis‏ ‎of ‎network‏ ‎traffic,‏ ‎especially ‎SMB‏ ‎traffic ‎characteristic ‎of ‎PSExec ‎use,‏ ‎and ‎firewall‏ ‎logs‏ ‎on ‎the ‎target‏ ‎system ‎can‏ ‎reveal ‎connections ‎to ‎administrative‏ ‎shares‏ ‎and ‎changes‏ ‎to ‎the‏ ‎system's ‎network ‎configuration. ‎These ‎logs‏ ‎can‏ ‎correlate ‎with‏ ‎the ‎timing‏ ‎of ‎command ‎execution, ‎providing ‎further‏ ‎context‏ ‎to‏ ‎the ‎activity.

Hardening ‎strategies‏ ‎are ‎aimed ‎at ‎reducing ‎the‏ ‎attack ‎surface‏ ‎and‏ ‎enhancing ‎the ‎security‏ ‎posture ‎of‏ ‎organizations ‎and ‎their ‎critical‏ ‎infrastructure.

Hardening‏ ‎Guidance

📌 Vendor ‎and‏ ‎Industry ‎Hardening‏ ‎Guidance: Organizations ‎should ‎strengthen ‎software ‎and‏ ‎system‏ ‎configurations ‎based‏ ‎on ‎vendor-provided‏ ‎or ‎industry, ‎sector, ‎or ‎government‏ ‎hardening‏ ‎guidance,‏ ‎such ‎as‏ ‎those ‎from‏ ‎NIST, ‎to‏ ‎reduce‏ ‎the ‎attack‏ ‎surface.

Platform-Specific ‎Hardening:

📌 Windows: ‎Apply ‎security ‎updates‏ ‎and ‎patches‏ ‎from‏ ‎Microsoft, ‎follow ‎Windows‏ ‎Security ‎Baselines‏ ‎Guide ‎or ‎CIS ‎Benchmarks,‏ ‎harden‏ ‎commonly ‎exploited‏ ‎services ‎like‏ ‎SMB ‎and ‎RDP, ‎and ‎disable‏ ‎unnecessary‏ ‎services ‎and‏ ‎features.

📌 Linux: ‎Check‏ ‎binary ‎permissions ‎and ‎adhere ‎to‏ ‎CIS’s‏ ‎Red‏ ‎Hat ‎Enterprise‏ ‎Linux ‎Benchmarks.

📌 macOS: Regularly‏ ‎update ‎and‏ ‎patch‏ ‎the ‎system,‏ ‎use ‎built-in ‎security ‎features ‎like‏ ‎Gatekeeper, ‎XProtect,‏ ‎and‏ ‎FileVault, ‎and ‎follow‏ ‎the ‎macOS‏ ‎Security ‎Compliance ‎Project's ‎guidelines.

Cloud‏ ‎Infrastructure‏ ‎Hardening:

📌 Microsoft ‎Cloud: Refer‏ ‎to ‎CISA’s‏ ‎Microsoft ‎365 ‎security ‎configuration ‎baseline‏ ‎guides‏ ‎for ‎secure‏ ‎configuration ‎baselines‏ ‎across ‎various ‎Microsoft ‎cloud ‎services.

📌 Google‏ ‎Cloud:‏ ‎Consult‏ ‎CISA’s ‎Google‏ ‎Workspace ‎security‏ ‎configuration ‎baseline‏ ‎guides‏ ‎for ‎secure‏ ‎configuration ‎baselines ‎across ‎Google ‎cloud‏ ‎services.

📌 Universal ‎Hardening‏ ‎Measures:‏ ‎Minimize ‎running ‎services,‏ ‎apply ‎the‏ ‎principle ‎of ‎least ‎privilege,‏ ‎and‏ ‎secure ‎network‏ ‎communications.

📌 Critical ‎Asset‏ ‎Security: ‎Apply ‎vendor ‎hardening ‎measures‏ ‎for‏ ‎critical ‎assets‏ ‎like ‎ADFS‏ ‎and ‎ADCS ‎and ‎limit ‎the‏ ‎applications‏ ‎and‏ ‎services ‎that‏ ‎can ‎be‏ ‎used ‎or‏ ‎accessed‏ ‎by ‎them.

📌 Administrative‏ ‎Tools: ‎Use ‎tools ‎that ‎do‏ ‎not ‎cache‏ ‎credentials‏ ‎on ‎the ‎remote‏ ‎host ‎to‏ ‎prevent ‎threat ‎actors ‎from‏ ‎reusing‏ ‎compromised ‎credentials.

Application‏ ‎Allowlisting

📌 Constrain ‎Execution‏ ‎Environment: ‎Implement ‎application ‎allowlisting ‎to‏ ‎channel‏ ‎user ‎and‏ ‎administrative ‎activity‏ ‎through ‎a ‎narrow ‎path, ‎enhancing‏ ‎monitoring‏ ‎and‏ ‎reducing ‎alert‏ ‎volume.

Platform-Specific ‎Allowlisting:

📌 macOS:‏ ‎Configure ‎Gatekeeper‏ ‎settings‏ ‎to ‎prevent‏ ‎execution ‎of ‎unsigned ‎or ‎unauthorized‏ ‎applications.

📌 Windows: ‎Use‏ ‎AppLocker‏ ‎and ‎Windows ‎Defender‏ ‎Application ‎Control‏ ‎to ‎regulate ‎executable ‎files,‏ ‎scripts,‏ ‎MSI ‎files,‏ ‎DLLs, ‎and‏ ‎packaged ‎app ‎formats.

Network ‎Segmentation ‎and‏ ‎Monitoring

📌 Limit‏ ‎Lateral ‎Movement:‏ ‎Implement ‎network‏ ‎segmentation ‎to ‎limit ‎the ‎access‏ ‎of‏ ‎users‏ ‎to ‎the‏ ‎minimum ‎necessary‏ ‎applications ‎and‏ ‎services,‏ ‎reducing ‎the‏ ‎impact ‎of ‎compromised ‎credentials.

📌 Network ‎Traffic‏ ‎Analysis: ‎Use‏ ‎tools‏ ‎to ‎monitor ‎traffic‏ ‎between ‎segments‏ ‎and ‎place ‎network ‎sensors‏ ‎at‏ ‎critical ‎points‏ ‎for ‎comprehensive‏ ‎traffic ‎analysis.

📌 Network ‎Traffic ‎Metadata ‎Parsing:‏ ‎Utilize‏ ‎parsers ‎like‏ ‎Zeek ‎and‏ ‎integrate ‎NIDS ‎like ‎Snort ‎or‏ ‎Suricata‏ ‎to‏ ‎detect ‎LOTL‏ ‎activities.

Authentication ‎Controls

📌 Phishing-Resistant‏ ‎MFA: Enforce ‎MFA‏ ‎across‏ ‎all ‎systems,‏ ‎especially ‎for ‎privileged ‎accounts.

📌 Privileged ‎Access‏ ‎Management ‎(PAM):‏ ‎Deploy‏ ‎robust ‎PAM ‎solutions‏ ‎with ‎just-in-time‏ ‎access ‎and ‎time-based ‎controls,‏ ‎complemented‏ ‎by ‎role-based‏ ‎access ‎control‏ ‎(RBAC).

📌 Cloud ‎Identity ‎and ‎Credential ‎Access‏ ‎Management‏ ‎(ICAM): Enforce ‎strict‏ ‎ICAM ‎policies,‏ ‎audit ‎configurations, ‎and ‎rotate ‎access‏ ‎keys.

📌 Sudoers‏ ‎File‏ ‎Review: ‎For‏ ‎macOS ‎and‏ ‎Unix, ‎regularly‏ ‎review‏ ‎the ‎sudoers‏ ‎file ‎for ‎misconfigurations ‎and ‎adhere‏ ‎to ‎the‏ ‎principle‏ ‎of ‎least ‎privilege.

Zero‏ ‎Trust ‎Architecture

As‏ ‎a ‎long-term ‎strategy, ‎the‏ ‎guidance‏ ‎recommends ‎implementing‏ ‎zero ‎trust‏ ‎architectures ‎to ‎ensure ‎that ‎binaries‏ ‎and‏ ‎accounts ‎are‏ ‎not ‎automatically‏ ‎trusted ‎and ‎their ‎use ‎is‏ ‎restricted‏ ‎and‏ ‎examined ‎for‏ ‎trustworthy ‎behavior.

Additional‏ ‎Recommendations

📌 Due ‎Diligence‏ ‎in‏ ‎Vendor ‎Selection: Choose‏ ‎vendors ‎with ‎secure ‎by ‎design‏ ‎principles ‎and‏ ‎hold‏ ‎them ‎accountable ‎for‏ ‎their ‎software’s‏ ‎default ‎configurations.

📌 Audit ‎Remote ‎Access‏ ‎Software: Identify‏ ‎authorized ‎remote‏ ‎access ‎software‏ ‎and ‎apply ‎best ‎practices ‎for‏ ‎securing‏ ‎remote ‎access.

📌 Restrict‏ ‎Outbound ‎Internet‏ ‎Connectivity: ‎Limit ‎internet ‎access ‎for‏ ‎back-end‏ ‎servers‏ ‎and ‎monitor‏ ‎outbound ‎connectivity‏ ‎for ‎essential‏ ‎services.

Comprehensive ‎and‏ ‎Detailed ‎Logging

📌 Implementation ‎of ‎Comprehensive ‎Logging:‏ ‎Establishing ‎extensive‏ ‎and‏ ‎detailed ‎logging ‎mechanisms‏ ‎is ‎crucial.‏ ‎This ‎includes ‎enabling ‎logging‏ ‎for‏ ‎all ‎security-related‏ ‎events ‎across‏ ‎platforms ‎and ‎ensuring ‎that ‎logs‏ ‎are‏ ‎aggregated ‎in‏ ‎a ‎secure,‏ ‎centralized ‎location ‎to ‎prevent ‎tampering‏ ‎by‏ ‎adversaries.

📌 Cloud‏ ‎Environment ‎Logging: For‏ ‎cloud ‎environments,‏ ‎it's ‎essential‏ ‎to‏ ‎enable ‎logging‏ ‎for ‎control ‎plane ‎operations ‎and‏ ‎configure ‎logging‏ ‎policies‏ ‎for ‎all ‎cloud‏ ‎services, ‎even‏ ‎those ‎not ‎actively ‎used,‏ ‎to‏ ‎detect ‎potential‏ ‎unauthorized ‎activities.

📌 Verbose‏ ‎Logging ‎for ‎Security ‎Events: ‎Enabling‏ ‎verbose‏ ‎logging ‎for‏ ‎events ‎such‏ ‎as ‎command ‎lines, ‎PowerShell ‎activities,‏ ‎and‏ ‎WMI‏ ‎event ‎tracing‏ ‎provides ‎deeper‏ ‎visibility ‎into‏ ‎tool‏ ‎usage ‎within‏ ‎the ‎environment, ‎aiding ‎in ‎the‏ ‎detection ‎of‏ ‎malicious‏ ‎LOTL ‎activities.

Establishing ‎Behavioral‏ ‎Baselines

📌 Maintaining ‎Baselines: Continuously‏ ‎maintaining ‎a ‎baseline ‎of‏ ‎installed‏ ‎tools, ‎software,‏ ‎account ‎behavior,‏ ‎and ‎network ‎traffic ‎allows ‎defenders‏ ‎to‏ ‎identify ‎deviations‏ ‎that ‎may‏ ‎indicate ‎malicious ‎activity.

📌 Network ‎Monitoring ‎and‏ ‎Threat‏ ‎Hunting:‏ ‎Enhancing ‎network‏ ‎monitoring, ‎extending‏ ‎log ‎storage,‏ ‎and‏ ‎deepening ‎threat‏ ‎hunting ‎tactics ‎are ‎vital ‎for‏ ‎uncovering ‎prolonged‏ ‎adversary‏ ‎presence ‎leveraging ‎LOTL‏ ‎techniques.

Automation ‎and‏ ‎Efficiency

📌 Leveraging ‎Automation: Using ‎automation ‎to‏ ‎review‏ ‎logs ‎continually‏ ‎and ‎compare‏ ‎current ‎activities ‎against ‎established ‎behavioral‏ ‎baselines‏ ‎increases ‎the‏ ‎efficiency ‎of‏ ‎hunting ‎activities, ‎especially ‎focusing ‎on‏ ‎privileged‏ ‎accounts‏ ‎and ‎critical‏ ‎assets.

Reducing ‎Alert‏ ‎Noise

📌 Refining ‎Monitoring‏ ‎Tools: It's‏ ‎important ‎to‏ ‎refine ‎monitoring ‎tools ‎and ‎alerting‏ ‎mechanisms ‎to‏ ‎differentiate‏ ‎between ‎typical ‎administrative‏ ‎actions ‎and‏ ‎potential ‎threat ‎behavior, ‎thus‏ ‎focusing‏ ‎on ‎alerts‏ ‎that ‎most‏ ‎likely ‎indicate ‎suspicious ‎activities.

Leveraging ‎UEBA

📌 User‏ ‎and‏ ‎Entity ‎Behavior‏ ‎Analytics ‎(UEBA):‏ ‎Employing ‎UEBA ‎to ‎analyze ‎and‏ ‎correlate‏ ‎activities‏ ‎across ‎multiple‏ ‎data ‎sources‏ ‎helps ‎identify‏ ‎potential‏ ‎security ‎incidents‏ ‎that ‎may ‎be ‎missed ‎by‏ ‎traditional ‎tools‏ ‎and‏ ‎profiles ‎user ‎behavior‏ ‎to ‎detect‏ ‎insider ‎threats ‎or ‎compromised‏ ‎accounts.

Cloud-Specific‏ ‎Considerations

📌 Cloud ‎Environment‏ ‎Architecting: Architecting ‎cloud‏ ‎environments ‎to ‎ensure ‎proper ‎separation‏ ‎of‏ ‎enclaves ‎and‏ ‎enabling ‎additional‏ ‎logs ‎within ‎the ‎environment ‎provide‏ ‎more‏ ‎insight‏ ‎into ‎potential‏ ‎LOTL ‎activities.

Living ‎Off‏ ‎the ‎Land ‎(LOTL) ‎techniques ‎represent‏ ‎a ‎sophisticated‏ ‎cyber‏ ‎threat ‎strategy ‎where‏ ‎attackers ‎exploit‏ ‎native ‎tools ‎and ‎processes‏ ‎already‏ ‎present ‎within‏ ‎a ‎target's‏ ‎environment. ‎This ‎approach ‎allows ‎them‏ ‎to‏ ‎blend ‎seamlessly‏ ‎with ‎normal‏ ‎system ‎activities, ‎significantly ‎reducing ‎the‏ ‎likelihood‏ ‎of‏ ‎detection. ‎The‏ ‎effectiveness ‎of‏ ‎LOTL ‎lies‏ ‎in‏ ‎its ‎ability‏ ‎to ‎utilize ‎tools ‎that ‎are‏ ‎not ‎only‏ ‎already‏ ‎deployed ‎but ‎are‏ ‎also ‎trusted‏ ‎within ‎the ‎environment, ‎thereby‏ ‎circumventing‏ ‎traditional ‎security‏ ‎measures ‎that‏ ‎might ‎block ‎or ‎flag ‎unfamiliar‏ ‎or‏ ‎malicious ‎software.

LOTL‏ ‎techniques ‎are‏ ‎not ‎confined ‎to ‎a ‎single‏ ‎type‏ ‎of‏ ‎environment; ‎they‏ ‎are ‎effectively‏ ‎used ‎across‏ ‎on-premises,‏ ‎cloud, ‎hybrid,‏ ‎Windows, ‎Linux, ‎and ‎macOS ‎environments.‏ ‎This ‎versatility‏ ‎is‏ ‎partly ‎due ‎to‏ ‎the ‎attackers'‏ ‎preference ‎to ‎avoid ‎the‏ ‎costs‏ ‎and ‎efforts‏ ‎associated ‎with‏ ‎developing ‎and ‎deploying ‎custom ‎tools.‏ ‎Instead,‏ ‎they ‎leverage‏ ‎the ‎ubiquity‏ ‎and ‎inherent ‎trust ‎of ‎native‏ ‎tools‏ ‎to‏ ‎carry ‎out‏ ‎their ‎operations.

Windows‏ ‎Environments

In ‎Windows‏ ‎environments,‏ ‎which ‎are‏ ‎prevalent ‎in ‎corporate ‎and ‎enterprise‏ ‎settings, ‎LOTL‏ ‎techniques‏ ‎are ‎particularly ‎observed‏ ‎due ‎to‏ ‎the ‎widespread ‎use ‎and‏ ‎trust‏ ‎in ‎the‏ ‎operating ‎system's‏ ‎native ‎tools, ‎services, ‎and ‎features.‏ ‎Attackers‏ ‎exploit ‎these‏ ‎components, ‎knowing‏ ‎they ‎are ‎ubiquitous ‎and ‎generally‏ ‎trusted,‏ ‎making‏ ‎their ‎malicious‏ ‎activities ‎less‏ ‎likely ‎to‏ ‎be‏ ‎detected.

macOS ‎and‏ ‎Hybrid ‎Environments

In ‎macOS ‎environments, ‎the‏ ‎concept ‎of‏ ‎LOTL‏ ‎is ‎often ‎referred‏ ‎to ‎as‏ ‎"living ‎off ‎the ‎orchard."‏ ‎Here,‏ ‎attackers ‎exploit‏ ‎native ‎scripting‏ ‎environments, ‎built-in ‎tools, ‎system ‎configurations,‏ ‎and‏ ‎binaries, ‎known‏ ‎as ‎"LOOBins."‏ ‎The ‎strategy ‎is ‎similar ‎to‏ ‎that‏ ‎in‏ ‎Windows ‎environments‏ ‎but ‎tailored‏ ‎to ‎the‏ ‎unique‏ ‎aspects ‎of‏ ‎macOS. ‎In ‎hybrid ‎environments, ‎which‏ ‎combine ‎physical‏ ‎and‏ ‎cloud-based ‎systems, ‎attackers‏ ‎are ‎increasingly‏ ‎leveraging ‎sophisticated ‎LOTL ‎techniques‏ ‎to‏ ‎exploit ‎both‏ ‎types ‎of‏ ‎systems.

Resources ‎and ‎Known ‎Exploits

There ‎are‏ ‎several‏ ‎resources ‎provide‏ ‎comprehensive ‎lists‏ ‎and ‎information ‎to ‎understand ‎the‏ ‎specific‏ ‎tools‏ ‎and ‎binaries‏ ‎exploited ‎by‏ ‎attackers:

📌The ‎LOLBAS‏ ‎project’s‏ ‎GitHub ‎repository‏ ‎offers ‎insights ‎into ‎Living ‎Off‏ ‎The ‎Land‏ ‎Binaries,‏ ‎Scripts, ‎and ‎Libraries.

📌Websites‏ ‎like ‎http://gtfobins.github.io, http://loobins.io, and‏ ‎http://loldrivers.io provide ‎lists ‎of ‎Unix,‏ ‎macOS,‏ ‎and ‎Windows‏ ‎binaries, ‎respectively,‏ ‎known ‎to ‎be ‎used ‎in‏ ‎LOTL‏ ‎techniques.

Third-Party ‎Remote‏ ‎Access ‎Software

Beyond‏ ‎native ‎tools, ‎cyber ‎threat ‎actors‏ ‎also‏ ‎exploit‏ ‎third-party ‎remote‏ ‎access ‎software,‏ ‎such ‎as‏ ‎remote‏ ‎monitoring ‎and‏ ‎management, ‎endpoint ‎configuration ‎management, ‎EDR,‏ ‎patch ‎management,‏ ‎mobile‏ ‎device ‎management ‎systems,‏ ‎and ‎database‏ ‎management ‎tools. ‎These ‎tools,‏ ‎designed‏ ‎to ‎administer‏ ‎and ‎protect‏ ‎domains, ‎possess ‎built-in ‎functionality ‎that‏ ‎can‏ ‎execute ‎commands‏ ‎across ‎all‏ ‎client ‎hosts ‎in ‎a ‎network,‏ ‎including‏ ‎critical‏ ‎hosts ‎like‏ ‎domain ‎controllers.‏ ‎The ‎high‏ ‎privileges‏ ‎these ‎tools‏ ‎require ‎for ‎system ‎administration ‎make‏ ‎them ‎attractive‏ ‎targets‏ ‎for ‎attackers ‎looking‏ ‎to ‎exploit‏ ‎them ‎for ‎LOTL ‎techniques.

The ‎document‏ ‎"Joint ‎Guidance: ‎Identifying ‎and ‎Mitigating‏ ‎LOTL ‎Techniques"‏ ‎outlines‏ ‎a ‎comprehensive ‎approach‏ ‎to ‎enhance‏ ‎cybersecurity ‎defenses ‎against ‎LOTL‏ ‎tactics.‏ ‎This ‎approach‏ ‎includes ‎recommendations‏ ‎for ‎detection ‎and ‎logging, ‎centralized‏ ‎logging,‏ ‎behavior ‎analytics,‏ ‎anomaly ‎detection,‏ ‎and ‎proactive ‎hunting. ‎

While ‎the‏ ‎proposed‏ ‎solutions‏ ‎offer ‎significant‏ ‎benefits ‎in‏ ‎enhancing ‎cybersecurity‏ ‎defenses‏ ‎against ‎LOTL‏ ‎tactics, ‎organizations ‎must ‎also ‎consider‏ ‎the ‎potential‏ ‎drawbacks‏ ‎and ‎limitations. ‎Effective‏ ‎implementation ‎requires‏ ‎careful ‎planning, ‎resource ‎allocation,‏ ‎and‏ ‎continuous ‎adjustment‏ ‎to ‎address‏ ‎the ‎evolving ‎threat ‎landscape.

Benefits

📌 Enhanced ‎Detection‏ ‎Capabilities:‏ ‎Implementing ‎comprehensive‏ ‎and ‎verbose‏ ‎logging, ‎along ‎with ‎centralized ‎logging,‏ ‎significantly‏ ‎enhances‏ ‎an ‎organization's‏ ‎ability ‎to‏ ‎detect ‎malicious‏ ‎activities.‏ ‎This ‎approach‏ ‎enables ‎behavior ‎analytics, ‎anomaly ‎detection,‏ ‎and ‎proactive‏ ‎hunting,‏ ‎providing ‎a ‎robust‏ ‎defense ‎against‏ ‎LOTL ‎techniques.

📌 Improved ‎Security ‎Posture: The‏ ‎guidance‏ ‎recommends ‎hardening‏ ‎measures ‎such‏ ‎as ‎applying ‎vendor-provided ‎or ‎industry-standard‏ ‎hardening‏ ‎guidance, ‎minimizing‏ ‎running ‎services,‏ ‎and ‎securing ‎network ‎communications. ‎These‏ ‎measures‏ ‎reduce‏ ‎the ‎attack‏ ‎surface ‎and‏ ‎improve ‎the‏ ‎overall‏ ‎security ‎posture‏ ‎of ‎organizations.

📌 Increased ‎Visibility: Centralized ‎logging ‎allows‏ ‎for ‎the‏ ‎maintenance‏ ‎of ‎longer ‎log‏ ‎histories, ‎which‏ ‎is ‎crucial ‎for ‎identifying‏ ‎patterns‏ ‎and ‎anomalies‏ ‎over ‎time.‏ ‎This ‎increased ‎visibility ‎into ‎network‏ ‎and‏ ‎system ‎activities‏ ‎aids ‎in‏ ‎the ‎early ‎detection ‎of ‎potential‏ ‎threats.

📌 Efficient‏ ‎Use‏ ‎of ‎Resources:‏ ‎Automation ‎of‏ ‎log ‎review‏ ‎and‏ ‎hunting ‎activities‏ ‎increases ‎the ‎efficiency ‎of ‎these‏ ‎processes, ‎enabling‏ ‎organizations‏ ‎to ‎better ‎utilize‏ ‎their ‎resources.‏ ‎Automated ‎systems ‎can ‎compare‏ ‎current‏ ‎activities ‎against‏ ‎established ‎behavioral‏ ‎baselines, ‎focusing ‎on ‎privileged ‎accounts‏ ‎and‏ ‎critical ‎assets.

📌 Strategic‏ ‎Network ‎Segmentation:‏ ‎Enhancing ‎network ‎segmentation ‎and ‎monitoring‏ ‎limits‏ ‎lateral‏ ‎movement ‎possibilities‏ ‎for ‎threat‏ ‎actors, ‎reducing‏ ‎the‏ ‎"blast ‎radius"‏ ‎of ‎accessible ‎systems ‎in ‎the‏ ‎event ‎of‏ ‎a‏ ‎compromise. ‎This ‎strategic‏ ‎approach ‎helps‏ ‎contain ‎threats ‎and ‎minimizes‏ ‎potential‏ ‎damage.

Drawbacks/Limitations

📌 Resource ‎Intensiveness: Implementing‏ ‎the ‎recommended‏ ‎detection ‎and ‎hardening ‎measures ‎can‏ ‎be‏ ‎resource-intensive, ‎requiring‏ ‎significant ‎investment‏ ‎in ‎technology ‎and ‎personnel ‎training.‏ ‎Smaller‏ ‎organizations‏ ‎may ‎find‏ ‎it ‎challenging‏ ‎to ‎allocate‏ ‎the‏ ‎necessary ‎resources.

📌 Complexity‏ ‎of ‎Implementation: Establishing ‎and ‎maintaining ‎the‏ ‎infrastructure ‎for‏ ‎comprehensive‏ ‎logging ‎and ‎analysis‏ ‎can ‎be‏ ‎complex. ‎Organizations ‎may ‎face‏ ‎challenges‏ ‎in ‎configuring‏ ‎and ‎managing‏ ‎these ‎systems ‎effectively, ‎especially ‎in‏ ‎diverse‏ ‎and ‎dynamic‏ ‎IT ‎environments.

📌 Potential‏ ‎for ‎Alert ‎Fatigue: While ‎reducing ‎alert‏ ‎noise‏ ‎is‏ ‎a ‎goal‏ ‎of ‎the‏ ‎proposed ‎solutions,‏ ‎the‏ ‎sheer ‎volume‏ ‎of ‎logs ‎and ‎alerts ‎generated‏ ‎by ‎comprehensive‏ ‎logging‏ ‎and ‎anomaly ‎detection‏ ‎systems ‎can‏ ‎lead ‎to ‎alert ‎fatigue‏ ‎among‏ ‎security ‎personnel,‏ ‎potentially ‎causing‏ ‎critical ‎alerts ‎to ‎be ‎overlooked.

📌 False‏ ‎Positives‏ ‎and ‎Negatives:‏ ‎Behavior ‎analytics‏ ‎and ‎anomaly ‎detection ‎systems ‎may‏ ‎generate‏ ‎false‏ ‎positives ‎and‏ ‎negatives, ‎leading‏ ‎to ‎unnecessary‏ ‎investigations‏ ‎or ‎missed‏ ‎threats. ‎Fine-tuning ‎these ‎systems ‎to‏ ‎minimize ‎inaccuracies‏ ‎requires‏ ‎ongoing ‎effort ‎and‏ ‎expertise.

📌 Dependence ‎on‏ ‎Vendor ‎Support: ‎The ‎effectiveness‏ ‎of‏ ‎hardening ‎measures‏ ‎and ‎secure‏ ‎configurations ‎often ‎depends ‎on ‎the‏ ‎support‏ ‎and ‎guidance‏ ‎provided ‎by‏ ‎software ‎vendors. ‎Organizations ‎may ‎face‏ ‎limitations‏ ‎if‏ ‎vendors ‎do‏ ‎not ‎prioritize‏ ‎security ‎or‏ ‎provide‏ ‎adequate ‎hardening‏ ‎guidelines.

The ‎document‏ ‎titled ‎"Joint ‎Guidance: ‎Identifying ‎and‏ ‎Mitigating ‎LOTL‏ ‎Techniques"‏ ‎provides ‎guidance ‎on‏ ‎how ‎organizations‏ ‎can ‎better ‎protect ‎themselves‏ ‎against‏ ‎Living ‎Off‏ ‎the ‎Land‏ ‎(LOTL) ‎techniques. ‎These ‎techniques ‎involve‏ ‎cyber‏ ‎threat ‎actors‏ ‎leveraging ‎legitimate‏ ‎tools ‎and ‎software ‎present ‎within‏ ‎the‏ ‎target's‏ ‎environment ‎to‏ ‎conduct ‎malicious‏ ‎activities, ‎making‏ ‎detection‏ ‎more ‎challenging.‏ ‎This ‎approach ‎aims ‎to ‎reduce‏ ‎the ‎availability‏ ‎of‏ ‎legitimate ‎operating ‎system‏ ‎and ‎application‏ ‎tools ‎(LOLBins) ‎that ‎threat‏ ‎actors‏ ‎can ‎exploit.

The‏ ‎guidance ‎is‏ ‎based ‎on ‎insights ‎from ‎a‏ ‎joint‏ ‎advisory, ‎red‏ ‎team ‎assessments‏ ‎by ‎the ‎authoring ‎agencies, ‎authoring‏ ‎agency‏ ‎incident‏ ‎response ‎engagements‏ ‎and ‎collaborative‏ ‎efforts ‎with‏ ‎the‏ ‎industry. ‎It‏ ‎stresses ‎the ‎importance ‎of ‎establishing‏ ‎and ‎maintaining‏ ‎an‏ ‎infrastructure ‎that ‎collects‏ ‎and ‎organizes‏ ‎data ‎to ‎help ‎defenders‏ ‎detect‏ ‎LOTL ‎techniques,‏ ‎tailored ‎to‏ ‎each ‎organization's ‎risk ‎landscape ‎and‏ ‎resource‏ ‎capabilities.

Main ‎keypoints

📌 Authoring‏ ‎Agencies: The ‎guide‏ ‎is ‎authored ‎by ‎major ‎cybersecurity‏ ‎and‏ ‎national‏ ‎security ‎agencies‏ ‎from ‎the‏ ‎U.S., ‎Australia,‏ ‎Canada,‏ ‎the ‎United‏ ‎Kingdom, ‎and ‎New ‎Zealand, ‎focusing‏ ‎on ‎common‏ ‎LOTL‏ ‎techniques ‎and ‎gaps‏ ‎in ‎cyber‏ ‎defense ‎capabilities.

📌 LOTL ‎Techniques: Cyber ‎threat‏ ‎actors‏ ‎use ‎LOTL‏ ‎techniques ‎to‏ ‎compromise ‎and ‎maintain ‎access ‎to‏ ‎critical‏ ‎infrastructure, ‎leveraging‏ ‎legitimate ‎system‏ ‎tools ‎and ‎processes ‎to ‎blend‏ ‎in‏ ‎with‏ ‎normal ‎activities‏ ‎and ‎evade‏ ‎detection.

📌 Challenges ‎in‏ ‎Detection: Many‏ ‎organizations ‎struggle‏ ‎to ‎detect ‎malicious ‎LOTL ‎activity‏ ‎due ‎to‏ ‎inadequate‏ ‎security ‎and ‎network‏ ‎management ‎practices,‏ ‎lack ‎of ‎conventional ‎indicators‏ ‎of‏ ‎compromise, ‎and‏ ‎the ‎difficulty‏ ‎of ‎distinguishing ‎malicious ‎activity ‎from‏ ‎legitimate‏ ‎behavior.

📌 Detection ‎Best‏ ‎Practices: Recommendations ‎include‏ ‎implementing ‎detailed ‎logging, ‎establishing ‎activity‏ ‎baselines,‏ ‎utilizing‏ ‎automation ‎for‏ ‎continuous ‎review,‏ ‎reducing ‎alert‏ ‎noise,‏ ‎and ‎leveraging‏ ‎user ‎and ‎entity ‎behavior ‎analytics‏ ‎(UEBA).

📌 Hardening ‎Best‏ ‎Practices: Suggestions‏ ‎involve ‎applying ‎vendor-recommended‏ ‎security ‎hardening‏ ‎guidance, ‎implementing ‎application ‎allowlisting,‏ ‎enhancing‏ ‎network ‎segmentation‏ ‎and ‎monitoring,‏ ‎and ‎enforcing ‎authentication ‎and ‎authorization‏ ‎controls.

📌 Software‏ ‎Manufacturer ‎Recommendations: The‏ ‎guide ‎urges‏ ‎software ‎manufacturers ‎to ‎adopt ‎secure‏ ‎by‏ ‎design‏ ‎principles ‎to‏ ‎reduce ‎exploitable‏ ‎flaws ‎that‏ ‎enable‏ ‎LOTL ‎techniques.‏ ‎This ‎includes ‎disabling ‎unnecessary ‎protocols,‏ ‎limiting ‎network‏ ‎reachability,‏ ‎restricting ‎elevated ‎privileges,‏ ‎enabling ‎phishing-resistant‏ ‎MFA ‎by ‎default, ‎providing‏ ‎secure‏ ‎logging, ‎eliminating‏ ‎default ‎passwords,‏ ‎and ‎limiting ‎dynamic ‎code ‎execution.

Secondary‏ ‎keypoints

📌 The‏ ‎guidance ‎is‏ ‎aimed ‎at‏ ‎helping ‎organizations ‎mitigate ‎Living ‎Off‏ ‎The‏ ‎Land‏ ‎(LOTL) ‎techniques,‏ ‎where ‎threat‏ ‎actors ‎use‏ ‎legitimate‏ ‎tools ‎within‏ ‎the ‎environment ‎for ‎malicious ‎purposes.

📌 Organizations‏ ‎are ‎advised‏ ‎to‏ ‎exercise ‎due ‎diligence‏ ‎when ‎selecting‏ ‎software, ‎devices, ‎cloud ‎service‏ ‎providers,‏ ‎and ‎managed‏ ‎service ‎providers,‏ ‎choosing ‎those ‎with ‎secure ‎by‏ ‎design‏ ‎principles.

📌 Vendors ‎should‏ ‎be ‎held‏ ‎accountable ‎for ‎their ‎software's ‎default‏ ‎configurations‏ ‎and‏ ‎adherence ‎to‏ ‎the ‎principle‏ ‎of ‎least‏ ‎privilege.

📌 Software‏ ‎manufacturers ‎are‏ ‎encouraged ‎to ‎reduce ‎exploitable ‎flaws‏ ‎and ‎take‏ ‎ownership‏ ‎of ‎their ‎customers'‏ ‎security ‎outcomes.

📌 Network‏ ‎defense ‎strategies ‎include ‎monitoring‏ ‎for‏ ‎unusual ‎system‏ ‎interactions, ‎privilege‏ ‎escalations, ‎and ‎deviations ‎from ‎normal‏ ‎administrative‏ ‎actions.

📌 Organizations ‎should‏ ‎establish ‎and‏ ‎maintain ‎an ‎infrastructure ‎for ‎collecting‏ ‎and‏ ‎organizing‏ ‎data ‎to‏ ‎detect ‎LOTL‏ ‎techniques, ‎tailored‏ ‎to‏ ‎their ‎specific‏ ‎risk ‎landscape ‎and ‎resource ‎capabilities