logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 2+ мин
logo Хроники кибер-безопасника

Создание устойчивого ПО: Снижение рисков LOTL

Минимизация ‎векторов‏ ‎атаки

Производителям ‎ПО ‎настоятельно ‎рекомендуется ‎минимизировать‏ ‎возможности ‎атаки‏ ‎путём‏ ‎выполнения ‎различных ‎действий:‏ ‎отключение ‎ненужных‏ ‎протоколов ‎по ‎умолчанию, ‎ограничение‏ ‎количества‏ ‎процессов ‎и‏ ‎программ, ‎запущенных‏ ‎с ‎повышенными ‎привилегиями, ‎и ‎принятие‏ ‎упреждающих‏ ‎мер ‎по‏ ‎ограничению ‎возможностей‏ ‎участников ‎использовать ‎нативные ‎функциональные ‎возможности‏ ‎для‏ ‎вторжений.

Внедрение‏ ‎системы ‎безопасности‏ ‎в ‎SDLC

Безопасность‏ ‎должна ‎быть‏ ‎встроена‏ ‎в ‎архитектуру‏ ‎продукта ‎на ‎протяжении ‎всего ‎жизненного‏ ‎цикла ‎разработки‏ ‎программного‏ ‎обеспечения ‎(SDLC). ‎Такая‏ ‎упреждающая ‎интеграция‏ ‎гарантирует, ‎что ‎соображения ‎безопасности‏ ‎станут‏ ‎не ‎второстепенной‏ ‎задачей, ‎а‏ ‎фундаментальным ‎компонентом ‎продукта ‎от ‎начала‏ ‎разработки‏ ‎до ‎развертывания.

Обязательная‏ ‎многофакторная ‎аутентификация‏ ‎(MFA)

Производителям ‎следует ‎установить ‎MFA, ‎в‏ ‎идеале‏ ‎защищенный‏ ‎от ‎фишинга,‏ ‎для ‎привилегированных‏ ‎пользователей ‎и‏ ‎сделать‏ ‎его ‎функцией‏ ‎по ‎умолчанию, ‎а ‎не ‎необязательной.‏ ‎Этот ‎шаг‏ ‎значительно‏ ‎повышает ‎безопасность ‎учётных‏ ‎записей ‎пользователей,‏ ‎особенно ‎тех, ‎которые ‎имеют‏ ‎повышенный‏ ‎доступ.

Уменьшение ‎hardening-действий

Объём‏ ‎действий, ‎прилагаемых‏ ‎к ‎объектам ‎защиты, ‎следует ‎отслеживать‏ ‎и‏ ‎уменьшать. ‎По‏ ‎мере ‎выпуска‏ ‎новых ‎версий ‎программного ‎обеспечения ‎целью‏ ‎должно‏ ‎быть‏ ‎уменьшение ‎размера‏ ‎этих ‎руководств‏ ‎с ‎течением‏ ‎времени‏ ‎путем ‎интеграции‏ ‎их ‎компонентов ‎в ‎качестве ‎конфигурации‏ ‎продукта ‎по‏ ‎умолчанию.

Учёт‏ ‎пользовательского ‎опыта

Необходимо ‎учитывать‏ ‎влияние ‎настроек‏ ‎безопасности ‎на ‎работу ‎пользователя.‏ ‎В‏ ‎идеале ‎наиболее‏ ‎безопасная ‎настройка‏ ‎должна ‎быть ‎интегрирована ‎в ‎продукт‏ ‎по‏ ‎умолчанию, ‎а‏ ‎при ‎необходимости‏ ‎настройки ‎опция ‎должна ‎быть ‎защищена‏ ‎от‏ ‎распространённых‏ ‎угроз. ‎Такой‏ ‎подход ‎снижает‏ ‎когнитивную ‎нагрузку‏ ‎на‏ ‎конечных ‎пользователей‏ ‎и ‎обеспечивает ‎широкую ‎защиту.

Удаление ‎паролей‏ ‎по ‎умолчанию

Пароли‏ ‎по‏ ‎умолчанию ‎следует ‎полностью‏ ‎исключить, ‎или‏ ‎сформировать, ‎или ‎установить ‎при‏ ‎первой‏ ‎установке, ‎а‏ ‎затем ‎периодически‏ ‎менять. ‎Такая ‎практика ‎предотвращает ‎использование‏ ‎паролей‏ ‎по ‎умолчанию‏ ‎в ‎качестве‏ ‎удобной ‎точки ‎входа ‎для ‎злоумышленников.

Ограничение‏ ‎динамического‏ ‎выполнения‏ ‎кода

Динамическое ‎выполнение‏ ‎кода, ‎хотя‏ ‎и ‎обеспечивает‏ ‎универсальность,‏ ‎представляет ‎собой‏ ‎уязвимое ‎место ‎для ‎атаки. ‎Производителям‏ ‎следует ‎ограничить‏ ‎или‏ ‎удалить ‎возможность ‎динамического‏ ‎выполнения ‎кода‏ ‎из-за ‎высокого ‎риска ‎и‏ ‎сложности‏ ‎обнаружения ‎связанных‏ ‎с ‎ним‏ ‎индикаторов ‎компрометации ‎(IoC).

Удаление ‎фиксированных ‎учётных‏ ‎данных

Приложения‏ ‎и ‎скрипты,‏ ‎содержащие ‎информацию‏ ‎об ‎учётных ‎данных ‎в ‎виде‏ ‎открытого‏ ‎текста‏ ‎(hardcode), ‎представляют‏ ‎значительный ‎риск‏ ‎для ‎безопасности.‏ ‎Удаление‏ ‎таких ‎учётных‏ ‎данных ‎важно ‎для ‎предотвращения ‎использования‏ ‎их ‎злоумышленниками‏ ‎для‏ ‎доступа ‎к ‎ресурсам‏ ‎и ‎расширения‏ ‎своего ‎присутствия ‎в ‎сети.

Читать: 2+ мин
logo Хроники кибер-безопасника

Возвращение утраченных позиций: Восстановление после атак LOTL

В ‎случае‏ ‎обнаружения ‎факта ‎компрометации ‎необходимо ‎применение‏ ‎защитных ‎контрмер.

Действия‏ ‎немедленного‏ ‎реагирования

📌Сброс ‎учётных ‎данных‏ ‎для ‎привилегированных‏ ‎и ‎непривилегированных ‎учётных ‎записей‏ ‎в‏ ‎пределах ‎границ‏ ‎доверия ‎каждой‏ ‎скомпрометированной ‎учётной ‎записи.

📌Принудительный ‎сброс ‎пароля,‏ ‎отзыв‏ ‎и ‎выдача‏ ‎новых ‎сертификатов‏ ‎для ‎всех ‎учётных ‎записей ‎и‏ ‎устройств.

Действия,‏ ‎относящиеся‏ ‎к ‎среде‏ ‎Windows:

📌При ‎подозрении‏ ‎на ‎доступ‏ ‎к‏ ‎Контроллеру ‎домена‏ ‎(DC) ‎или ‎Active ‎Directory ‎(AD)‏ ‎сброс ‎паролей‏ ‎всех‏ ‎локальных ‎учётных ‎записей,‏ ‎включая ‎Guest,‏ ‎HelpAssistant, ‎DefaultAccount, ‎System, ‎Administrator‏ ‎и‏ ‎krbtgt. ‎Учётную‏ ‎запись ‎krbtgt,‏ ‎которая ‎обрабатывает ‎запросы ‎на ‎регистрацию‏ ‎Kerberos,‏ ‎следует ‎дважды‏ ‎сбросить ‎для‏ ‎обеспечения ‎безопасности ‎из-за ‎истории ‎с‏ ‎двумя‏ ‎паролями.

📌Если‏ ‎есть ‎подозрение,‏ ‎что ‎файл‏ ‎ntds.dit ‎подвергался‏ ‎эксфильтрации,‏ ‎требуется ‎сброс‏ ‎пароля ‎всех ‎пользователей ‎домена.

📌Просмотр ‎и‏ ‎коррекция ‎политики‏ ‎доступа‏ ‎для ‎временного ‎отзыва‏ ‎или ‎уменьшения‏ ‎права ‎доступа ‎для ‎затронутых‏ ‎учётных‏ ‎записей ‎и‏ ‎устройств.

📌Сброс ‎учётных‏ ‎данных ‎учётной ‎записи ‎без ‎повышенных‏ ‎прав‏ ‎доступа: ‎если‏ ‎доступ ‎атакующего‏ ‎ограничен ‎правами, ‎сброс ‎соответствующих ‎учётным‏ ‎данным‏ ‎ключа‏ ‎доступа ‎и‏ ‎отслеживание ‎дальнейших‏ ‎признаков ‎несанкционированного‏ ‎доступа,‏ ‎особенно ‎к‏ ‎учётным ‎записям ‎администраторов.

Аудит ‎конфигурации ‎сети‏ ‎и ‎устройств

Аудит‏ ‎сетевых‏ ‎устройств ‎и ‎пограничных‏ ‎устройств: ‎проверка‏ ‎наличия ‎признаков ‎несанкционированных ‎или‏ ‎вредоносных‏ ‎изменений ‎конфигурации.‏ ‎Если ‎изменения‏ ‎обнаружены:

📌 Требуется ‎изменения ‎всех ‎учётных ‎данных,‏ ‎используемых‏ ‎для ‎управления‏ ‎сетевыми ‎устройствами,‏ ‎включая ‎ключи ‎и ‎строки, ‎обеспечивающие‏ ‎функции‏ ‎сетевого‏ ‎устройства.

📌 Обновление ‎всех‏ ‎прошивок ‎и‏ ‎программного ‎обеспечения‏ ‎до‏ ‎последних ‎версий.

Использование‏ ‎инструмента ‎удалённого ‎доступа

📌 Минимизация ‎удалённого ‎доступа‏ ‎и ‎контроль:‏ ‎следование‏ ‎рекомендациям ‎по ‎обеспечению‏ ‎безопасности ‎средств‏ ‎и ‎протоколов ‎удалённого ‎доступа,‏ ‎включая‏ ‎рекомендации ‎по‏ ‎безопасности ‎программного‏ ‎обеспечения ‎удалённого ‎доступа ‎и ‎безопасному‏ ‎использованию‏ ‎PowerShell.

Читать: 14+ мин
logo Хроники кибер-безопасника

Цифровая охота: Отслеживание LOTL в вашей сети

В ‎рамках‏ ‎рекомендаций ‎предлагаются ‎регулярные ‎проверки ‎инвентаризации‏ ‎системы ‎для‏ ‎выявления‏ ‎поведения ‎злоумышленников, ‎которое‏ ‎может ‎быть‏ ‎пропущено ‎журналами ‎событий ‎из-за‏ ‎некорректных‏ ‎конфигураций. ‎Организациям‏ ‎рекомендуется ‎включить‏ ‎регистрацию ‎всех ‎событий, ‎связанных ‎с‏ ‎безопасностью,‏ ‎включая ‎действия‏ ‎командной ‎строки,‏ ‎системные ‎вызовы ‎и ‎журналы ‎аудита‏ ‎на‏ ‎всех‏ ‎платформах, ‎чтобы‏ ‎улучшить ‎обнаружение‏ ‎вредоносной ‎активности‏ ‎LOTL.

Сетевые‏ ‎журналы ‎

Обнаружение‏ ‎LOTL-методов ‎с ‎помощью ‎сетевых ‎журналов‏ ‎представляет ‎собой‏ ‎проблемы‏ ‎из-за ‎преходящего ‎характера‏ ‎сетевых ‎артефактов‏ ‎и ‎сложности ‎распознавания ‎вредоносной‏ ‎активности‏ ‎от ‎легитимного‏ ‎поведения. ‎В‏ ‎отличие ‎от ‎артефактов ‎хоста, ‎которые‏ ‎часто‏ ‎можно ‎обнаружить,‏ ‎если ‎только‏ ‎атакующий ‎намеренно ‎не ‎удалит ‎их,‏ ‎сетевые‏ ‎артефакты‏ ‎являются ‎производными‏ ‎от ‎сетевого‏ ‎трафика, ‎временными‏ ‎и‏ ‎требуют ‎надлежащей‏ ‎настройки ‎систем ‎управления ‎событиями ‎для‏ ‎их ‎отслеживания.‏ ‎Без‏ ‎соответствующих ‎датчиков ‎для‏ ‎регистрации ‎сетевого‏ ‎трафика ‎невозможно ‎наблюдать ‎за‏ ‎активностью‏ ‎LOTL.

Показатели ‎активности‏ ‎LOTL

Обнаружение ‎активности‏ ‎LOTL ‎включает ‎в ‎себя ‎поиск‏ ‎набора‏ ‎возможных ‎индикаторов‏ ‎для ‎формирования‏ ‎связанных ‎поведенческих ‎сетевых ‎признаков ‎в‏ ‎трафике.

📌 Просмотр‏ ‎журналов‏ ‎брандмауэра: Заблокированные ‎попытки‏ ‎доступа ‎в‏ ‎журналах ‎брандмауэра‏ ‎могут‏ ‎сигнализировать ‎о‏ ‎компрометации, ‎особенно ‎в ‎должным ‎образом‏ ‎сегментированной ‎сети.‏ ‎Попытки‏ ‎обнаружения ‎сети ‎и‏ ‎сопоставления ‎внутри‏ ‎неё ‎также ‎могут ‎указывать‏ ‎на‏ ‎активность ‎LOTL.‏ ‎Важно ‎различать‏ ‎обычное ‎поведение ‎инструмента ‎управления ‎сетью‏ ‎и‏ ‎аномальное.

📌 Исследование ‎аномальных‏ ‎признаков ‎в‏ ‎трафике: ‎изучение ‎определённых ‎типов ‎трафика,‏ ‎такие‏ ‎как‏ ‎запросы ‎LDAP‏ ‎от ‎хостов‏ ‎Linux, ‎не‏ ‎присоединённых‏ ‎к ‎домену,‏ ‎запросы ‎SMB ‎из ‎разных ‎сегментов‏ ‎сети ‎или‏ ‎запросы‏ ‎доступа ‎к ‎базе‏ ‎данных ‎с‏ ‎рабочих ‎станций ‎пользователей, ‎которые‏ ‎должны‏ ‎выполняться ‎только‏ ‎внешними ‎серверами,‏ ‎с ‎конечной ‎целью ‎отличить ‎легитимное‏ ‎приложения‏ ‎от ‎вредоносных‏ ‎запросов.

📌 Изучение ‎журналов‏ ‎сетевых ‎служб ‎на ‎хост-машинах: ‎журналы‏ ‎таких‏ ‎служб,‏ ‎как ‎Sysmon‏ ‎и ‎IIS,‏ ‎на ‎хост-машинах‏ ‎могут‏ ‎предоставить ‎информацию‏ ‎о ‎взаимодействиях ‎веб-сервера, ‎транзакциях ‎FTP‏ ‎и ‎других‏ ‎сетевых‏ ‎действиях. ‎Эти ‎журналы‏ ‎содержат ‎ценный‏ ‎контекст ‎и ‎детали, ‎которые‏ ‎могут‏ ‎быть ‎недоступны‏ ‎традиционным ‎сетевым‏ ‎устройствам.

📌 Объединение ‎журналов ‎сетевого ‎трафика ‎с‏ ‎журналами‏ ‎на ‎базе‏ ‎хоста: ‎этот‏ ‎подход ‎позволяет ‎включать ‎дополнительную ‎информацию,‏ ‎такую‏ ‎как‏ ‎учётная ‎запись‏ ‎пользователя ‎и‏ ‎сведения ‎о‏ ‎процессе.‏ ‎Расхождения ‎между‏ ‎артефактами ‎назначения ‎и ‎внутри ‎сети‏ ‎могут ‎указывать‏ ‎на‏ ‎вредоносный ‎трафик.

Журналы ‎событий‏ ‎приложений, ‎безопасности‏ ‎и ‎системных ‎событий

Системы ‎регистрации‏ ‎событий‏ ‎по ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать ‎все ‎необходимые ‎события,‏ ‎потенциально‏ ‎оставляя ‎пробелы‏ ‎в ‎видимости‏ ‎вредоносных ‎действий. ‎Определение ‎приоритета ‎журналов‏ ‎и‏ ‎источников‏ ‎данных, ‎которые‏ ‎с ‎большей‏ ‎вероятностью ‎выявят‏ ‎вредоносную‏ ‎активность ‎LOTL,‏ ‎имеет ‎решающее ‎значение ‎для ‎эффективного‏ ‎обнаружения ‎и‏ ‎реагирования.

Журналы‏ ‎аутентификации

Журналы ‎аутентификации ‎играют‏ ‎важную ‎роль‏ ‎в ‎выявлении ‎попыток ‎несанкционированного‏ ‎доступа‏ ‎и ‎отслеживании‏ ‎действий ‎пользователей‏ ‎по ‎сети. ‎Регистрация ‎всех ‎операций,‏ ‎включая‏ ‎вызовы ‎API‏ ‎и ‎входы‏ ‎конечных ‎пользователей, ‎с ‎помощью ‎таких‏ ‎сервисов,‏ ‎как‏ ‎Amazon ‎Web‏ ‎Services ‎CloudTrail,‏ ‎Azure ‎Activity‏ ‎Log‏ ‎и ‎Google‏ ‎Cloud ‎Audit ‎Logs. ‎Эти ‎журналы‏ ‎могут ‎предоставить‏ ‎ценную‏ ‎информацию ‎о ‎потенциальных‏ ‎действиях ‎LOTL,‏ ‎выявляя ‎необычные ‎схемы ‎доступа‏ ‎или‏ ‎попытки ‎использования‏ ‎механизмов ‎аутентификации.

Надёжная‏ ‎стратегия ‎разграничения ‎привилегий ‎необходима ‎для‏ ‎идентификации‏ ‎методов ‎LOTL‏ ‎по ‎журналам‏ ‎аутентификации. ‎Такие ‎практики, ‎как ‎ограничение‏ ‎доступа‏ ‎учётных‏ ‎записей ‎администраторов‏ ‎домена ‎только‏ ‎к ‎контроллерам‏ ‎домена‏ ‎и ‎использование‏ ‎рабочих ‎станций ‎привилегированного ‎доступа ‎(PAWs)‏ ‎и ‎наличие‏ ‎MFA‏ ‎могут ‎свести ‎к‏ ‎минимуму ‎доступ‏ ‎к ‎учётным ‎данным ‎и‏ ‎усилить‏ ‎сегментацию ‎сети.

Регистрация‏ ‎событий ‎на‏ ‎хосте

Sysmon ‎и ‎другие ‎инструменты ‎регистрации‏ ‎хостовых‏ ‎событий ‎обеспечивают‏ ‎детальную ‎визуализацию‏ ‎системных ‎действий ‎о ‎создании ‎процессов,‏ ‎сетевых‏ ‎подключениях‏ ‎и ‎изменениях‏ ‎файловой ‎системы,‏ ‎эти ‎инструменты‏ ‎с‏ ‎целью ‎обнаружения‏ ‎и ‎расследования ‎подозрительных ‎активностей ‎и‏ ‎поведенческих ‎признаков.

Установление‏ ‎исходных‏ ‎условий ‎и ‎обеспечение‏ ‎защиты ‎журнала

Основополагающим‏ ‎шагом ‎в ‎обнаружении ‎аномального‏ ‎или‏ ‎потенциально ‎вредоносного‏ ‎поведения ‎является‏ ‎установление ‎условий ‎запуска ‎инструментов ‎и‏ ‎событий.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎понимание ‎механизмов ‎безопасности ‎операционных ‎систем‏ ‎для‏ ‎выявления‏ ‎отклонений, ‎которые‏ ‎могут ‎указывать‏ ‎на ‎угрозу‏ ‎безопасности.‏ ‎Также ‎важно‏ ‎полагаться ‎на ‎защищённые ‎журналы, ‎которые‏ ‎менее ‎подвержены‏ ‎подделке‏ ‎злоумышленниками. ‎Например, ‎в‏ ‎то ‎время‏ ‎как ‎файлы ‎Linux ‎.bash_history‏ ‎могут‏ ‎быть ‎изменены‏ ‎непривилегированными ‎пользователями,‏ ‎журналы ‎аудита ‎системного ‎уровня ‎более‏ ‎безопасны‏ ‎и ‎обеспечивают‏ ‎надёжную ‎запись‏ ‎действий.

Использование ‎Sysmon ‎в ‎средах ‎Windows

Sysmon,‏ ‎инструмент‏ ‎мониторинга‏ ‎системы ‎Windows,‏ ‎предоставляет ‎детальную‏ ‎информацию ‎о‏ ‎таких‏ ‎действиях, ‎как‏ ‎создание ‎процессов, ‎сетевые ‎подключения ‎и‏ ‎модификации ‎реестра.‏ ‎Подробное‏ ‎протоколирование ‎имеет ‎неоценимое‏ ‎значение ‎для‏ ‎служб ‎безопасности ‎при ‎поиске‏ ‎и‏ ‎выявлении ‎случаев‏ ‎неправильного ‎использования‏ ‎легитимных ‎инструментов. ‎Ключевые ‎стратегии ‎включают:

Использование‏ ‎свойства‏ ‎OriginalFileName ‎для‏ ‎идентификации ‎переименованных‏ ‎файлов, ‎которые ‎могут ‎указывать ‎на‏ ‎вредоносную‏ ‎активность‏ ‎(для ‎большинства‏ ‎утилит ‎Microsoft‏ ‎исходные ‎имена‏ ‎файлов‏ ‎хранятся ‎в‏ ‎заголовке ‎PE).

Внедрение ‎методов ‎обнаружения ‎для‏ ‎выявления ‎использования‏ ‎утилит‏ ‎командной ‎строки ‎и‏ ‎скриптов, ‎особенно‏ ‎использующих ‎альтернативные ‎потоки ‎данных‏ ‎(ADS)‏ ‎— ‎мониторинг‏ ‎определённых ‎аргументов‏ ‎командной ‎строки ‎или ‎синтаксиса, ‎используемых‏ ‎для‏ ‎взаимодействия ‎с‏ ‎ADS.

Стратегии ‎обнаружения

Усовершенствование‏ ‎конфигураций ‎Sysmon ‎для ‎анализа ‎с‏ ‎упором‏ ‎на‏ ‎шаблоны, ‎указывающие‏ ‎на ‎обфускацию,‏ ‎может ‎помочь‏ ‎выявить‏ ‎попытки ‎обойти‏ ‎средства ‎мониторинга ‎безопасности, ‎например ‎использование‏ ‎управляющих ‎символов,‏ ‎объединение‏ ‎команд ‎и ‎использование‏ ‎кодировки ‎Base64.

Мониторинг‏ ‎подозрительных ‎цепочек ‎процессов

Мониторинг ‎подозрительных‏ ‎цепочек‏ ‎процессов, ‎например‏ ‎связанных ‎с‏ ‎Microsoft ‎Office ‎и ‎процессами ‎создания‏ ‎скриптов,‏ ‎является ‎ключевым‏ ‎показателем ‎активности‏ ‎LOTL, ‎т. ‎к. ‎приложения ‎Office‏ ‎редко‏ ‎запускают‏ ‎процессы ‎(cmd.exe,‏ ‎PowerShell, ‎wscript.exe‏ ‎или ‎cscript.exe).

Интеграция‏ ‎журналов‏ ‎с ‎SIEM-системами

Интеграция‏ ‎журналов ‎Sysmon ‎с ‎SIEM-системами ‎с‏ ‎целью ‎применения‏ ‎правил‏ ‎корреляции ‎может ‎значительно‏ ‎улучшить ‎обнаружение‏ ‎атак ‎путём ‎автоматизации ‎процесса‏ ‎обнаружения‏ ‎и ‎применения‏ ‎аналитики ‎для‏ ‎выявления ‎сложных ‎поведенческих ‎моделей ‎вредоносной‏ ‎активности.

Рекомендации‏ ‎по ‎работе‏ ‎с ‎Linux‏ ‎и ‎macOS

На ‎компьютерах ‎с ‎Linux‏ ‎использование‏ ‎Auditd‏ ‎или ‎Sysmon‏ ‎и ‎интеграция‏ ‎этих ‎журналов‏ ‎с‏ ‎платформой ‎SIEM‏ ‎могут ‎значительно ‎улучшить ‎обнаружение ‎аномальных‏ ‎действий. ‎Для‏ ‎macOS‏ ‎использование ‎таких ‎инструментов,‏ ‎как ‎Santa,‏ ‎система ‎авторизации ‎с ‎открытым‏ ‎исходным‏ ‎кодом, ‎может‏ ‎помочь ‎отслеживать‏ ‎выполнение ‎процессов ‎и ‎обнаруживать ‎аномальное‏ ‎поведение‏ ‎производительных ‎приложений

Просмотр‏ ‎Конфигураций

Регулярный ‎анализ‏ ‎и ‎обновление ‎системных ‎конфигураций ‎необходимы‏ ‎для‏ ‎обеспечения‏ ‎того, ‎чтобы‏ ‎меры ‎безопасности‏ ‎оставались ‎эффективными‏ ‎против‏ ‎возникающих ‎угроз.‏ ‎Это ‎включает ‎проверку ‎того, ‎что‏ ‎параметры ‎систем‏ ‎регистрации‏ ‎событий ‎надлежащим ‎образом‏ ‎настроены ‎для‏ ‎сбора ‎соответствующих ‎данных ‎и‏ ‎что‏ ‎средства ‎контроля‏ ‎безопасности ‎соответствуют‏ ‎современным ‎передовым ‎практикам. ‎Организациям ‎также‏ ‎следует‏ ‎оценить ‎использование‏ ‎списков ‎разрешений‏ ‎и ‎других ‎механизмов ‎контроля ‎доступа‏ ‎для‏ ‎предотвращения‏ ‎злоупотребление ‎легитимными‏ ‎инструментами ‎злоумышленниками.

Регулярные‏ ‎проверки ‎конфигураций‏ ‎хостов‏ ‎на ‎соответствие‏ ‎установленным ‎базовым ‎показателям ‎необходимы ‎для‏ ‎выявления ‎признаков‏ ‎компрометации,‏ ‎и ‎включают ‎изменения‏ ‎в ‎установленном‏ ‎программном ‎обеспечении, ‎конфигурации ‎брандмауэра‏ ‎и‏ ‎обновления ‎основных‏ ‎файлов, ‎таких‏ ‎как ‎файл ‎Hosts, ‎который ‎используется‏ ‎для‏ ‎разрешения ‎DNS.‏ ‎Проверки ‎могут‏ ‎выявить ‎несоответствия, ‎которые ‎сигнализируют ‎о‏ ‎несанкционированных‏ ‎модификациях‏ ‎или ‎присутствии‏ ‎вредоносного ‎программного‏ ‎обеспечения.

📌 Обход ‎стандартных‏ ‎журналов‏ ‎событий: ‎известно,‏ ‎что ‎атакующие ‎обходят ‎стандартные ‎журналы‏ ‎событий, ‎напрямую‏ ‎внося‏ ‎изменения ‎в ‎реестр‏ ‎для ‎регистрации‏ ‎служб ‎и ‎запланированных ‎задач.‏ ‎Такой‏ ‎подход ‎не‏ ‎регистрируется ‎в‏ ‎стандартных ‎системных ‎событиях, ‎что ‎делает‏ ‎его‏ ‎способом ‎сокрытия‏ ‎активностей.

📌 Системные ‎инвентаризационные‏ ‎аудиты: ‎проведение ‎регулярных ‎системных ‎инвентаризационных‏ ‎аудитов‏ ‎является‏ ‎упреждающей ‎мерой‏ ‎для ‎выявления‏ ‎поведения ‎злоумышленников,‏ ‎которое‏ ‎могло ‎быть‏ ‎пропущено ‎журналами ‎событий ‎по ‎различным‏ ‎причинам, ‎а‏ ‎также‏ ‎гарантирует, ‎что ‎любые‏ ‎изменения ‎в‏ ‎системе ‎санкционированы ‎и ‎учтены.

Поведенческий‏ ‎анализ

Сравнение‏ ‎активности ‎с‏ ‎обычным ‎поведением‏ ‎пользователя ‎позволяет ‎говорить ‎об ‎обнаружении‏ ‎аномалий.‏ ‎Необычное ‎поведение,‏ ‎на ‎которое‏ ‎следует ‎обратить ‎внимание, ‎например ‎включает‏ ‎нетиповое‏ ‎время‏ ‎входа ‎в‏ ‎систему, ‎доступ‏ ‎вне ‎ожидаемого‏ ‎рабочего‏ ‎графика ‎или‏ ‎праздничных ‎перерывов, ‎быструю ‎последовательность ‎или‏ ‎большое ‎количество‏ ‎попыток‏ ‎доступа, ‎необычные ‎пути‏ ‎доступа, ‎одновременные‏ ‎входы ‎в ‎систему ‎из‏ ‎нескольких‏ ‎мест.

NTDSUtil.exe ‎и‏ ‎PSExec.exe

Особое ‎внимание‏ ‎уделяется ‎выявлению ‎неправомерного ‎использования ‎NTDSUtil.exe‏ ‎и‏ ‎PSExec.exe ‎инструментов,‏ ‎которые, ‎хотя‏ ‎и ‎являются ‎легитимными, ‎часто ‎используются‏ ‎злоумышленниками‏ ‎в‏ ‎злонамеренных ‎целях,‏ ‎например ‎попытки‏ ‎сбросить ‎учётные‏ ‎данные‏ ‎или ‎распространяться‏ ‎по ‎сети ‎в ‎направлении. ‎Сосредоточив‏ ‎внимание ‎на‏ ‎поведенческом‏ ‎контексте ‎использования ‎этих‏ ‎инструментов, ‎организации‏ ‎могут ‎более ‎эффективно ‎проводить‏ ‎различие‏ ‎между ‎легитимными‏ ‎и ‎вредоносными‏ ‎действиями.

Процесс ‎эксплуатации

Обычная ‎тактика ‎заключается ‎в‏ ‎создании‏ ‎теневой ‎копии‏ ‎системного ‎диска‏ ‎на ‎томе, ‎обычно ‎с ‎помощью‏ ‎vssadmin.exe‏ ‎с‏ ‎помощью ‎таких‏ ‎команд, ‎как‏ ‎Create ‎Shadow‏ ‎/for=C:.‏ ‎Это ‎действие‏ ‎создает ‎моментальный ‎снимок ‎текущего ‎состояния‏ ‎системы, ‎включая‏ ‎базу‏ ‎данных ‎Active ‎Directory.‏ ‎После ‎этого‏ ‎ntdsutil.exe ‎используется ‎для ‎взаимодействия‏ ‎с‏ ‎этой ‎копией‏ ‎с ‎помощью‏ ‎определённой ‎последовательности ‎команд ‎(ntdsutil ‎snapshot‏ ‎«activate‏ ‎instance ‎ntds»‏ ‎create ‎quit‏ ‎quit). ‎Затем ‎злоумышленники ‎получают ‎доступ‏ ‎к‏ ‎теневой‏ ‎копии, ‎чтобы‏ ‎извлечь ‎файл‏ ‎ntds.dit ‎из‏ ‎указанного‏ ‎каталога. ‎Эта‏ ‎последовательность ‎предназначена ‎для ‎извлечения ‎конфиденциальных‏ ‎учётных ‎данных,‏ ‎таких‏ ‎как ‎хэшированные ‎пароли,‏ ‎из ‎Active‏ ‎Directory, ‎что ‎позволяет ‎полностью‏ ‎скомпрометировать‏ ‎домен.

Обнаружение ‎и‏ ‎реагирование

Для ‎обнаружения‏ ‎такого ‎использования ‎и ‎реагирования ‎на‏ ‎него‏ ‎крайне ‎важно‏ ‎понимать ‎контекст‏ ‎ntdsutil.exe ‎действий ‎и ‎проводить ‎различие‏ ‎между‏ ‎легитимным‏ ‎административным ‎использованием‏ ‎и ‎потенциальным‏ ‎злонамеренным ‎использованием.‏ ‎Основные‏ ‎источники ‎журналов‏ ‎и ‎стратегии ‎мониторинга ‎включают:

📌 Журналы ‎командной‏ ‎строки ‎и‏ ‎создания‏ ‎процессов: журналы ‎безопасности ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы ‎Sysmon ‎(идентификатор‏ ‎события‏ ‎1) ‎предоставляют‏ ‎информацию ‎о‏ ‎выполнении ‎ntdsutil.exe ‎команд. ‎Необычное ‎или‏ ‎нечастое‏ ‎использование ‎ntdsutil.exe‏ ‎для ‎создания‏ ‎моментальных ‎снимков ‎может ‎указывать ‎на‏ ‎подозрительную‏ ‎активность.

📌 Журналы‏ ‎создания ‎файлов‏ ‎и ‎доступа‏ ‎к ‎ним:‏ ‎мониторинг‏ ‎событий ‎создания‏ ‎файлов ‎(идентификатор ‎события ‎Sysmon’а ‎11)‏ ‎и ‎попыток‏ ‎доступа‏ ‎к ‎конфиденциальным ‎файлам,‏ ‎таким ‎как‏ ‎NTDS.dit ‎(идентификатор ‎события ‎4663),‏ ‎могут‏ ‎предоставить ‎дополнительный‏ ‎контекст ‎для‏ ‎процесса ‎создания ‎моментальных ‎снимков ‎и‏ ‎доступа.

📌 Журналы‏ ‎использования ‎привилегий:‏ ‎идентификатор ‎события‏ ‎4673 ‎в ‎журналах, ‎указывающий ‎на‏ ‎использование‏ ‎привилегированных‏ ‎служб, ‎может‏ ‎говорить ‎о‏ ‎потенциальном ‎злоупотреблении,‏ ‎когда‏ ‎оно ‎связано‏ ‎с ‎выполнением ‎ntdsutil.exe ‎команд.

📌 Журналы ‎сетевой‏ ‎активности ‎и‏ ‎аутентификации:‏ ‎журналы ‎могут ‎содержать‏ ‎информацию ‎о‏ ‎одновременных ‎удалённых ‎подключениях ‎или‏ ‎передачах‏ ‎данных, ‎потенциально‏ ‎указывая ‎на‏ ‎попытки ‎эксфильтрации ‎данных. ‎Журналы ‎аутентификации‏ ‎также‏ ‎важны ‎для‏ ‎идентификации ‎исполнителя‏ ‎команды ‎ntdsutil.exe ‎и ‎оценки ‎того,‏ ‎соответствует‏ ‎ли‏ ‎использование ‎типичному‏ ‎поведению ‎администратора.

Комплексный‏ ‎анализ ‎PSExec.exe‏ ‎

PSExec.exe,‏ ‎компонент ‎пакета‏ ‎Microsoft ‎PsTools, ‎представляет ‎собой ‎мощную‏ ‎утилиту ‎для‏ ‎системных‏ ‎администраторов, ‎предлагающую ‎возможность‏ ‎удалённого ‎выполнения‏ ‎команд ‎в ‎сетевых ‎системах,‏ ‎часто‏ ‎с ‎повышенными‏ ‎привилегиями. ‎Однако‏ ‎его ‎универсальность ‎также ‎делает ‎его‏ ‎излюбленным‏ ‎инструментом ‎у‏ ‎APT-групп.

Роль ‎PSExec.exe‏ ‎в ‎киберугрозах

PSExec.exe ‎обычно ‎используется ‎для‏ ‎удалённого‏ ‎администрирования‏ ‎и ‎выполнения‏ ‎процессов ‎в‏ ‎разных ‎системах.‏ ‎Его‏ ‎способность ‎работать‏ ‎с ‎системными ‎привилегиями ‎делает ‎его‏ ‎особенно ‎привлекательным‏ ‎для‏ ‎вредоносного ‎использования, ‎например‏ ‎для ‎выполнения‏ ‎одноразовых ‎команд, ‎направленных ‎на‏ ‎изменение‏ ‎системных ‎конфигураций,‏ ‎таких ‎как‏ ‎удаление ‎конфигураций ‎прокси-порта ‎на ‎удалённом‏ ‎хосте‏ ‎с ‎помощью‏ ‎команд ‎типа:

«C:\pstools\psexec.exe»‏ ‎{REDACTED} ‎-s ‎cmd ‎/c ‎«cmd.exe‏ ‎/c‏ ‎netsh‏ ‎interface ‎portproxy‏ ‎delete ‎v4tov4‏ ‎listenaddress=0.0.0.0 ‎listenport=9999»

Стратегии‏ ‎обнаружения

Для‏ ‎эффективного ‎противодействия‏ ‎злонамеренному ‎использованию ‎PSExec.exe ‎сетевые ‎защитники‏ ‎должны ‎использовать‏ ‎различные‏ ‎журналы, ‎которые ‎дают‏ ‎представление ‎о‏ ‎выполнении ‎команд ‎и ‎более‏ ‎широком‏ ‎контексте ‎операции:

📌 Журналы‏ ‎командной ‎строки‏ ‎и ‎создания ‎процессов: ‎Журналы ‎безопасности‏ ‎(идентификатор‏ ‎события ‎4688)‏ ‎и ‎журналы‏ ‎Sysmon ‎(идентификатор ‎события ‎1) ‎полезны‏ ‎для‏ ‎отслеживания‏ ‎выполнения ‎PSExec.exe‏ ‎и ‎связанных‏ ‎с ‎ними‏ ‎команд.‏ ‎В ‎этих‏ ‎журналах ‎подробно ‎описывается ‎использованная ‎командная‏ ‎строка, ‎определяющая‏ ‎природу‏ ‎и ‎«намерения» ‎процесса.

📌 Журналы‏ ‎использования ‎привилегий‏ ‎и ‎явных ‎учётных ‎данных:‏ ‎журналы‏ ‎безопасности ‎Идентификатор‏ ‎события ‎4672)‏ ‎документируют ‎случаи, ‎когда ‎новым ‎входам‏ ‎в‏ ‎систему ‎назначаются‏ ‎особые ‎привилегии,‏ ‎что ‎крайне ‎важно, ‎когда ‎PsExec‏ ‎выполняется‏ ‎с‏ ‎переключателем ‎-s‏ ‎для ‎системных‏ ‎привилегий. ‎Идентификатор‏ ‎события‏ ‎4648 ‎фиксирует‏ ‎явное ‎использование ‎учётных ‎данных, ‎указывая,‏ ‎когда ‎PsExec‏ ‎запускается‏ ‎с ‎определёнными ‎учётными‏ ‎данными ‎пользователя.

📌 Sysmon‏ ‎регистрирует ‎сетевые ‎подключения ‎и‏ ‎изменения‏ ‎реестра: ‎идентификатор‏ ‎события ‎3‏ ‎Sysmon ‎регистрирует ‎сетевые ‎подключения, ‎что‏ ‎является‏ ‎центральным ‎элементом‏ ‎функции ‎удалённого‏ ‎выполнения ‎PsExec. ‎Идентификаторы ‎событий ‎12,‏ ‎13‏ ‎и‏ ‎14 ‎отслеживают‏ ‎изменения ‎реестра,‏ ‎включая ‎удаления‏ ‎(Идентификатор‏ ‎события ‎14)‏ ‎разделов ‎реестра, ‎связанных ‎с ‎выполненной‏ ‎командой ‎Netsh,‏ ‎предоставляя‏ ‎доказательства ‎изменений ‎конфигурации‏ ‎системы.

📌 Журналы ‎аудита‏ ‎реестра ‎Windows: ‎в ‎журналы‏ ‎записываются‏ ‎изменения ‎разделов‏ ‎реестра, ‎содержащие‏ ‎информацию, ‎такую ‎как ‎временная ‎метка‏ ‎изменений,‏ ‎учётная ‎запись,‏ ‎под ‎которой‏ ‎были ‎внесены ‎изменения ‎(часто ‎системная‏ ‎учётная‏ ‎запись‏ ‎из-за ‎переключателя‏ ‎PsExec ‎-s),‏ ‎и ‎конкретные‏ ‎изменённые‏ ‎или ‎удалённые‏ ‎значения ‎реестра.

📌 Журналы ‎сети ‎и ‎брандмауэра:‏ ‎анализ ‎сетевого‏ ‎трафика,‏ ‎особенно ‎трафика ‎SMB,‏ ‎характерного ‎для‏ ‎использования ‎PsExec, ‎и ‎журналов‏ ‎брандмауэра‏ ‎в ‎целевой‏ ‎системе ‎может‏ ‎выявить ‎подключения ‎к ‎общим ‎ресурсам‏ ‎администрирования‏ ‎и ‎изменения‏ ‎конфигурации ‎сети‏ ‎системы. ‎Журналы ‎коррелируют ‎со ‎временем‏ ‎выполнения‏ ‎команды,‏ ‎предоставляя ‎дополнительный‏ ‎контекст ‎для‏ ‎действия.

Читать: 4+ мин
logo Хроники кибер-безопасника

Укрепление крепости: Защита систем от угроз LOTL

Hardening-стратегии ‎направлены‏ ‎на ‎сокращение ‎количества ‎возможных ‎атак‏ ‎и ‎повышение‏ ‎уровня‏ ‎безопасности ‎критически ‎важной‏ ‎инфраструктуры.

Рекомендации

📌 Рекомендации ‎по‏ ‎усилению ‎защиты ‎от ‎вендоров‏ ‎и‏ ‎отраслей: ‎организациям‏ ‎следует ‎усиливать‏ ‎конфигурации ‎программного ‎обеспечения ‎и ‎систем‏ ‎на‏ ‎основе ‎рекомендаций‏ ‎по ‎защите‏ ‎от ‎поставщиков ‎или ‎от ‎отрасли,‏ ‎сектора‏ ‎или‏ ‎правительства, ‎например,‏ ‎от ‎NIST,‏ ‎чтобы ‎уменьшить‏ ‎количество‏ ‎векторов ‎атаки.

Для‏ ‎конкретной ‎платформы:

📌 Windows: ‎применение ‎обновления ‎и‏ ‎исправления ‎для‏ ‎системы‏ ‎безопасности ‎от ‎Microsoft,‏ ‎руководства ‎по‏ ‎базовым ‎показателям ‎безопасности ‎Windows‏ ‎или‏ ‎тестам ‎CIS,‏ ‎ужесточение ‎часто‏ ‎используемых ‎служб, ‎такие ‎как ‎SMB‏ ‎и‏ ‎RDP, ‎и‏ ‎отключение ‎ненужных‏ ‎служб ‎и ‎функций.

📌 Linux: ‎контроль ‎за‏ ‎разрешениями‏ ‎для‏ ‎работы ‎с‏ ‎бинарными ‎файлами‏ ‎и ‎использование‏ ‎стандартов‏ ‎Red ‎Hat‏ ‎Enterprise ‎Linux.

📌 macOS: ‎регулярные ‎обновления ‎и‏ ‎применение ‎исправлений‏ ‎системы,‏ ‎а ‎также ‎встроенных‏ ‎функций ‎безопасности,‏ ‎такие ‎как ‎Gatekeeper, ‎XProtect‏ ‎и‏ ‎FileVault, ‎и‏ ‎рекомендаций ‎macOS‏ ‎Security ‎Compliance ‎Project.

Повышение ‎надёжности ‎облачной‏ ‎инфраструктуры:

📌 Microsoft‏ ‎Cloud: ‎применение‏ ‎руководств ‎CISA‏ ‎по ‎настройкам ‎безопасности ‎Microsoft ‎365‏ ‎в‏ ‎различных‏ ‎облачных ‎службах‏ ‎Microsoft.

📌 Google ‎Cloud:‏ ‎применение ‎руководств‏ ‎по‏ ‎настройке ‎безопасности‏ ‎Google ‎Workspace ‎Security ‎от ‎CISA‏ ‎для ‎настройки‏ ‎облачных‏ ‎сервисов ‎Google.

📌 Универсальные ‎меры‏ ‎защиты: ‎сведение‏ ‎к ‎минимуму ‎количество ‎запущенных‏ ‎служб,‏ ‎применение ‎принципа‏ ‎наименьших ‎привилегий‏ ‎и ‎защитите ‎сетевые ‎коммуникации.

📌 Защита ‎критически‏ ‎важных‏ ‎активов: ‎применение‏ ‎мер ‎по‏ ‎усилению ‎защиты ‎критически ‎важных ‎активов,‏ ‎таких‏ ‎как‏ ‎ADFS ‎и‏ ‎ADCS, ‎и‏ ‎ограничение ‎приложений‏ ‎и‏ ‎служб, ‎которые‏ ‎могут ‎использоваться ‎или ‎к ‎которым‏ ‎они ‎могут‏ ‎получить‏ ‎доступ.

📌 Средства ‎администрирования: применение ‎предотвращающих‏ ‎повторное ‎использование‏ ‎скомпрометированных ‎учётных ‎данных ‎средств.

Список‏ ‎разрешённых‏ ‎приложений

📌 Ограничение ‎выполнения:‏ ‎внедрение ‎списка‏ ‎разрешений ‎приложений ‎как ‎для ‎пользователей,‏ ‎так‏ ‎и ‎администраторов‏ ‎с ‎целью‏ ‎улучшения ‎мониторинга ‎и ‎уменьшения ‎объёма‏ ‎оповещений.

Список‏ ‎разрешений‏ ‎для ‎конкретной‏ ‎платформы:

📌 macOS: использование ‎параметров‏ ‎Gatekeeper ‎для‏ ‎предотвращения‏ ‎выполнения ‎неподписанных‏ ‎или ‎неавторизованных ‎приложений.

📌 Windows: использование ‎AppLocker ‎и‏ ‎Windows ‎Defender‏ ‎Application‏ ‎Control ‎для ‎управления‏ ‎исполняемыми ‎файлами,‏ ‎скриптами, ‎MSI-файлами, ‎библиотеками ‎DLL‏ ‎и‏ ‎другими ‎упакованными‏ ‎приложениями.

Сегментация ‎сети‏ ‎и ‎мониторинг

📌 Ограничение ‎распространения: реализация ‎сегментации ‎сети‏ ‎для‏ ‎ограничения ‎доступа‏ ‎пользователей ‎минимально‏ ‎необходимыми ‎приложениям ‎и ‎службам, ‎в‏ ‎т.‏ ‎ч.‏ ‎снижения ‎влияния‏ ‎скомпрометированных ‎учётных‏ ‎данных.

📌 Анализ ‎сетевого‏ ‎трафика:‏ ‎применение ‎инструментов‏ ‎для ‎мониторинга ‎трафика ‎между ‎сегментами‏ ‎и ‎размещение‏ ‎сетевые‏ ‎датчики ‎в ‎критических‏ ‎точках ‎для‏ ‎всестороннего ‎анализа ‎трафика.

📌 Анализ ‎метаданных‏ ‎сетевого‏ ‎трафика: ‎применение‏ ‎анализаторов ‎трафика,‏ ‎например ‎Zeek, ‎и ‎интеграция ‎с‏ ‎NID-решениями,‏ ‎например ‎Snort‏ ‎или ‎Suricata.

Элементы‏ ‎управления ‎аутентификацией

📌 Защита ‎от ‎фишинга: использование ‎MFA‏ ‎во‏ ‎всех‏ ‎системах, ‎особенно‏ ‎для ‎привилегированных‏ ‎учётных ‎записей.

📌 Управление‏ ‎привилегированным‏ ‎доступом ‎(PAM):‏ ‎развёртывание ‎надёжных ‎PAM-решений ‎с ‎доступом‏ ‎и ‎элементами‏ ‎управления‏ ‎на ‎основе ‎временного‏ ‎фактора, ‎дополненных‏ ‎ролевым ‎управлением ‎доступа ‎(RBAC).

📌 Облачное‏ ‎управление‏ ‎идентификацией ‎и‏ ‎доступом ‎к‏ ‎учётным ‎данным ‎(ICAM): ‎применение ‎строгих‏ ‎политик‏ ‎ICAM, ‎аудит‏ ‎конфигураций ‎и‏ ‎смена ‎ключей ‎доступа.

📌 Проверка ‎файла ‎Sudoers‏ ‎File‏ ‎Review:‏ ‎для ‎macOS‏ ‎и ‎Unix‏ ‎регулярная ‎проверка‏ ‎файла‏ ‎sudoers ‎на‏ ‎наличие ‎некорректных ‎настроек ‎в ‎рамках‏ ‎принципа ‎наименьших‏ ‎привилегий.

Архитектура‏ ‎нулевого ‎доверия

В ‎качестве‏ ‎долгосрочной ‎стратегии‏ ‎внедряется ‎архитектура ‎с ‎нулевым‏ ‎доверием,‏ ‎чтобы ‎гарантировать,‏ ‎что ‎бинарные‏ ‎файлы ‎и ‎учётные ‎записи ‎не‏ ‎являются‏ ‎доверенными ‎и‏ ‎привилегированными ‎по‏ ‎умолчанию.

Дополнительные ‎рекомендации

📌 Комплексная ‎проверка ‎при ‎выборе‏ ‎поставщика:‏ ‎выбор‏ ‎поставщиков ‎с‏ ‎надёжными ‎принципами‏ ‎проектирования ‎и‏ ‎привлечение‏ ‎их ‎к‏ ‎ответственности ‎за ‎конфигурации ‎их ‎программного‏ ‎обеспечения ‎по‏ ‎умолчанию.

📌 Аудит‏ ‎ПО ‎удалённого ‎доступа:‏ ‎аудирование ‎ПО‏ ‎удалённого ‎доступа ‎и ‎применение‏ ‎лучших‏ ‎практик ‎для‏ ‎обеспечения ‎безопасности‏ ‎удалённого ‎доступа.

📌 Ограничение ‎исходящего ‎подключения ‎к‏ ‎Интернету:‏ ‎ограничение ‎доступа‏ ‎к ‎Интернету‏ ‎для ‎внутренних ‎серверов ‎и ‎контроля‏ ‎исходящих‏ ‎подключений‏ ‎для ‎основных‏ ‎служб.

Читать: 2+ мин
logo Хроники кибер-безопасника

Раскрытие невидимого: Техники обнаружения LOTL и LOLbins

Детализированные ‎журналы‏ ‎событий

📌 Внедрение ‎комплексной ‎системы ‎регистрации ‎событий:‏ ‎решающее ‎значение‏ ‎имеет‏ ‎создание ‎механизмов ‎регистрации‏ ‎всех ‎ИБ-событий‏ ‎на ‎разных ‎платформах ‎и‏ ‎обеспечение‏ ‎агрегирования ‎журналов‏ ‎в ‎централизованном‏ ‎хранилище ‎для ‎предотвращения.

📌 Ведение ‎журнала ‎в‏ ‎облачной‏ ‎среде: ‎для‏ ‎облачных ‎сред‏ ‎важно ‎регистрировать ‎различные ‎события ‎ввиду‏ ‎их‏ ‎большего‏ ‎количества ‎и‏ ‎настроить ‎политики‏ ‎управления ‎журналами‏ ‎событий‏ ‎для ‎всех‏ ‎облачных ‎служб, ‎особенно ‎редко ‎используемых‏ ‎с ‎целью‏ ‎обнаружения‏ ‎действий ‎злоумышленников.

📌 Детализация ‎событий‏ ‎безопасности: ‎включение‏ ‎детализации ‎событий, ‎таких ‎как‏ ‎командные‏ ‎строки, ‎действия‏ ‎PowerShell ‎и‏ ‎отслеживание ‎событий ‎WMI, ‎обеспечивает ‎более‏ ‎глубокое‏ ‎представление ‎об‏ ‎использовании ‎инструмента‏ ‎в ‎среде, ‎помогая ‎обнаруживать ‎вредоносные‏ ‎действия‏ ‎LOTL.

Установление‏ ‎поведенческих ‎ориентиров

📌 Отслеживание‏ ‎отклонений ‎в‏ ‎параметрах: ‎отслеживание‏ ‎параметров‏ ‎установленных ‎инструментов,‏ ‎программного ‎обеспечения, ‎поведения ‎учётной ‎записи‏ ‎и ‎сетевого‏ ‎трафика‏ ‎позволяет ‎защитникам ‎выявлять‏ ‎отклонения, ‎которые‏ ‎могут ‎указывать ‎на ‎вредоносную‏ ‎активность.

📌 Мониторинг‏ ‎сети ‎и‏ ‎поиск ‎угроз: улучшение‏ ‎мониторинга ‎сети, ‎расширение ‎хранилища ‎журналов‏ ‎и‏ ‎углубление ‎тактики‏ ‎поиска ‎угроз‏ ‎жизненно ‎важны ‎для ‎выявления ‎длительного‏ ‎присутствия‏ ‎атакующих.

Автоматизация‏ ‎и ‎эффективность

📌 Использование‏ ‎автоматизации: использование ‎автоматизации‏ ‎для ‎постоянного‏ ‎изучения‏ ‎журналов ‎и‏ ‎сравнения ‎текущих ‎действий ‎с ‎установленными‏ ‎параметрами ‎поведения‏ ‎повышает‏ ‎эффективность ‎поиска, ‎особенно‏ ‎с ‎акцентом‏ ‎на ‎привилегированные ‎учётные ‎записи‏ ‎и‏ ‎критически ‎важные‏ ‎активы.

Снижения ‎«шума»‏ ‎от ‎системы ‎оповещения

📌 Совершенствование ‎инструментов ‎мониторинга:‏ ‎важно‏ ‎совершенствовать ‎инструменты‏ ‎мониторинга ‎и‏ ‎механизмы ‎оповещения, ‎чтобы ‎проводить ‎различие‏ ‎между‏ ‎типичными‏ ‎административными ‎действиями‏ ‎и ‎поведением,‏ ‎связанным ‎с‏ ‎угрозой,‏ ‎сосредоточив ‎внимание‏ ‎на ‎предупреждениях, ‎которые ‎с ‎наибольшей‏ ‎вероятностью ‎указывают‏ ‎на‏ ‎подозрительные ‎действия.

Использование ‎UEBA

📌 Аналитика‏ ‎поведения ‎пользователей‏ ‎и ‎организаций ‎(UEBA): ‎использование‏ ‎UEBA‏ ‎для ‎анализа‏ ‎и ‎сопоставления‏ ‎действий ‎в ‎нескольких ‎источниках ‎данных‏ ‎помогает‏ ‎выявлять ‎потенциальные‏ ‎инциденты ‎безопасности,‏ ‎которые ‎могут ‎быть ‎пропущены ‎традиционными‏ ‎инструментами,‏ ‎и‏ ‎профилировать ‎поведение‏ ‎пользователей ‎для‏ ‎обнаружения ‎внутренних‏ ‎угроз‏ ‎или ‎скомпрометированных‏ ‎учётных ‎записей.

Особенности ‎облачных ‎технологий

📌 Проектирование ‎облачной‏ ‎среды: проектирование ‎облачной‏ ‎среды‏ ‎для ‎обеспечения ‎надлежащего‏ ‎разделения ‎основных‏ ‎и ‎дополнительных ‎журналов ‎позволяет‏ ‎лучше‏ ‎отслеживать ‎потенциальные‏ ‎действия ‎LOTL.

Читать: 3+ мин
logo Хроники кибер-безопасника

Сквозь шум: Установление базовых линий обнаружения LOTL

Одной ‎из‏ ‎основных ‎выявленных ‎проблем ‎является ‎отсутствие‏ ‎базовых ‎параметров‏ ‎безопасности‏ ‎в ‎организациях, ‎что‏ ‎приводит ‎к‏ ‎выполнению ‎LOLBin ‎без ‎обнаружения‏ ‎аномальной‏ ‎активности. ‎Кроме‏ ‎того, ‎организациям‏ ‎часто ‎не ‎удаётся ‎корректно ‎настроить‏ ‎инструменты‏ ‎обнаружения, ‎что‏ ‎приводит ‎к‏ ‎огромному ‎количеству ‎оповещений, ‎которыми ‎трудно‏ ‎управлять‏ ‎и‏ ‎на ‎которые‏ ‎трудно ‎реагировать.‏ ‎Это ‎усугубляется‏ ‎автоматизированными‏ ‎системами, ‎выполняющими‏ ‎действия ‎с ‎высокими ‎привилегиями, ‎которые‏ ‎могут ‎завалить‏ ‎аналитиков‏ ‎событиями ‎журнала, ‎если‏ ‎их ‎не‏ ‎классифицировать ‎должным ‎образом.

Проблемы ‎с‏ ‎распознаванием‏ ‎вредоносной ‎активности

📌 Даже‏ ‎организациям ‎со‏ ‎зрелыми ‎передовыми ‎практиками ‎бывает ‎трудно‏ ‎отличить‏ ‎вредоносную ‎активность‏ ‎LOTL ‎от‏ ‎легитимного ‎поведения:

📌 LOLBins ‎обычно ‎используются ‎ИТ-администраторами‏ ‎и‏ ‎поэтому‏ ‎являются ‎доверительными,‏ ‎что ‎может‏ ‎приводить ‎к‏ ‎заблуждению‏ ‎безопасности ‎для‏ ‎всех ‎пользователей.

📌 Существует ‎ошибочное ‎представление ‎о‏ ‎том, ‎что‏ ‎легитимные‏ ‎инструменты ‎ИТ-администрирования ‎безопасны‏ ‎априори, ‎что‏ ‎приводит ‎к ‎политикам ‎«разрешения»,‏ ‎которые‏ ‎расширяют ‎возможности‏ ‎атаки.

📌 Исключения ‎для‏ ‎таких ‎инструментов, ‎как ‎PsExec, ‎из-за‏ ‎их‏ ‎регулярного ‎использования‏ ‎администраторами ‎могут‏ ‎быть ‎использованы ‎злоумышленниками ‎для ‎скрытого‏ ‎распространения.

Разрозненные‏ ‎операции‏ ‎и ‎ненастроенные‏ ‎системы ‎EDR

📌 Информация‏ ‎складывается ‎из‏ ‎опыта‏ ‎redteam ‎и‏ ‎групп ‎реагирования ‎на ‎инциденты ‎в‏ ‎отношении ‎специалистов‏ ‎по‏ ‎сетевой ‎безопасности:

📌 Обособленная ‎работа‏ ‎от ‎других‏ ‎ИТ-команд ‎препятствует ‎формированию ‎поведенческих‏ ‎пользовательских‏ ‎признаков, ‎устранению‏ ‎уязвимостей ‎и‏ ‎расследования ‎аномального ‎поведения.

📌 Использование ‎ненастроенных ‎систем‏ ‎обнаружения‏ ‎и ‎EDR‏ ‎и ‎индикаторов‏ ‎компрометации ‎(IOCs), ‎которые ‎могут ‎приводить‏ ‎к‏ ‎отсутствию‏ ‎оповещений ‎о‏ ‎действиях ‎злоумышленников‏ ‎для ‎предотвращения‏ ‎обнаружения.

Конфигурации‏ ‎системы ‎регистрации‏ ‎событий ‎и ‎политики ‎внесения ‎в‏ ‎разрешённые ‎списки

📌 Недостатки‏ ‎в‏ ‎конфигурациях ‎систем ‎регистрации‏ ‎событий ‎и‏ ‎политиках ‎управления ‎списками ‎разрешений‏ ‎ещё‏ ‎больше ‎усложняют‏ ‎обнаружение ‎действий‏ ‎LOTL:

📌 Конфигурации ‎систем ‎регистрации ‎событий ‎по‏ ‎умолчанию‏ ‎часто ‎не‏ ‎позволяют ‎фиксировать‏ ‎все ‎соответствующие ‎действия, ‎и ‎журналы‏ ‎из‏ ‎многих‏ ‎приложений ‎требуют‏ ‎дополнительной ‎обработки.

📌 Политика‏ ‎списков ‎разрешений‏ ‎для‏ ‎диапазонов ‎IP-адресов,‏ ‎принадлежащих ‎хостинг-провайдерам ‎и ‎облачным ‎провайдерам,‏ ‎может ‎непреднамеренно‏ ‎обеспечить‏ ‎«прикрытие ‎для ‎злоумышленников».

Защита‏ ‎устройств ‎macOS

Несмотря‏ ‎на ‎то, ‎что ‎устройства‏ ‎macOS‏ ‎изначально ‎считаются‏ ‎безопасности, ‎они‏ ‎также ‎требуют ‎настройки:

📌 В ‎macOS ‎отсутствуют‏ ‎стандартизированные‏ ‎рекомендации ‎по‏ ‎повышению ‎надёжности‏ ‎системы, ‎что ‎приводит ‎к ‎развёртываниям‏ ‎с‏ ‎настройками‏ ‎по ‎умолчанию,‏ ‎которые ‎могут‏ ‎быть ‎небезопасными.

📌 Презумпция‏ ‎безопасности‏ ‎macOS ‎может‏ ‎привести ‎к ‎отмене ‎приоритетов ‎стандартных‏ ‎мер ‎безопасности‏ ‎и‏ ‎внесение ‎приложений ‎в‏ ‎списки ‎разрешённых.

📌 В‏ ‎средах ‎со ‎смешанными ‎операционными‏ ‎системами‏ ‎низкая ‎представленность‏ ‎устройств ‎macOS‏ ‎может ‎привести ‎к ‎недостаточному ‎вниманию‏ ‎к‏ ‎их ‎безопасности,‏ ‎что ‎делает‏ ‎их ‎более ‎уязвимыми ‎для ‎вторжений.

Читать: 2+ мин
logo Хроники кибер-безопасника

Искусство цифрового фуражирования: Глубокое погружение в LOTL

Методы ‎LOTL‏ ‎представляют ‎собой ‎стратегию ‎киберугроз, ‎при‏ ‎которой ‎злоумышленники‏ ‎используют‏ ‎нативные ‎инструменты ‎и‏ ‎процессы, ‎уже‏ ‎присутствующие ‎в ‎среде ‎атакуемой‏ ‎цели.‏ ‎Такой ‎подход‏ ‎позволяет ‎органично‏ ‎сочетаться ‎с ‎обычной ‎деятельностью ‎системы,‏ ‎значительно‏ ‎снижая ‎вероятность‏ ‎обнаружения. ‎Эффективность‏ ‎LOTL ‎заключается ‎в ‎её ‎способности‏ ‎использовать‏ ‎инструменты,‏ ‎которые ‎не‏ ‎только ‎уже‏ ‎развёрнуты, ‎но‏ ‎и‏ ‎пользуются ‎доверием‏ ‎в ‎среде, ‎тем ‎самым ‎обходя‏ ‎традиционные ‎меры‏ ‎безопасности,‏ ‎которые ‎могут ‎блокировать‏ ‎или ‎помечать‏ ‎незнакомое ‎или ‎вредоносное ‎программное‏ ‎обеспечение.

Методы‏ ‎LOTL ‎не‏ ‎ограничены ‎каким-либо‏ ‎одним ‎типом ‎среды; ‎они ‎эффективно‏ ‎используются‏ ‎в ‎локальных,‏ ‎облачных, ‎гибридных‏ ‎средах ‎Windows, ‎Linux ‎и ‎macOS.‏ ‎Такая‏ ‎универсальность‏ ‎отчасти ‎объясняется‏ ‎тем, ‎что‏ ‎злоумышленники ‎предпочитают‏ ‎избегать‏ ‎затрат ‎и‏ ‎усилий, ‎связанных ‎с ‎разработкой ‎и‏ ‎развёртыванием ‎пользовательских‏ ‎инструментов.‏ ‎Вместо ‎этого ‎упор‏ ‎делается ‎на‏ ‎повсеместное ‎применение ‎и ‎доверие‏ ‎к‏ ‎типовым, ‎популярным‏ ‎и ‎нативным‏ ‎инструментам.

Среды ‎Windows

В ‎корпоративных ‎Windows-средах, ‎методы‏ ‎LOTL‏ ‎особенно ‎распространены‏ ‎из-за ‎широкого‏ ‎использования ‎нативных ‎инструментов, ‎служб ‎и‏ ‎функций‏ ‎операционной‏ ‎системы ‎и‏ ‎доверия ‎к‏ ‎ним.

macOS ‎и‏ ‎гибридные‏ ‎среды

В ‎этом‏ ‎случае ‎злоумышленники ‎используют ‎нативные ‎скрипт-среды,‏ ‎встроенные ‎инструменты,‏ ‎системные‏ ‎конфигурации ‎и ‎бинарные‏ ‎файлы. ‎Стратегия‏ ‎аналогична ‎стратегии ‎в ‎средах‏ ‎Windows,‏ ‎но ‎адаптирована‏ ‎к ‎уникальным‏ ‎аспектам ‎macOS. ‎В ‎гибридных ‎средах,‏ ‎сочетающих‏ ‎физические ‎и‏ ‎облачные ‎системы,‏ ‎злоумышленники ‎все ‎чаще ‎применяют ‎сложные‏ ‎методы‏ ‎LOTL‏ ‎для ‎использования‏ ‎преимуществ ‎систем‏ ‎обоих ‎типов.

Известные‏ ‎Эксплойты

Репозиторий‏ ‎проекта ‎LOLBAS‏ ‎на ‎GitHub ‎предлагает ‎информацию ‎о‏ ‎том, ‎как‏ ‎жить‏ ‎за ‎счёт ‎обычных‏ ‎бинарных ‎файлов,‏ ‎скриптов ‎и ‎библиотек.

Такие ‎веб-сайты,‏ ‎как‏ ‎http://gtfobins.github.io, http://loobins.io и ‎http://loldrivers.io, предоставляют‏ ‎списки ‎бинарных‏ ‎файлов ‎Unix, ‎macOS ‎и ‎Windows‏ ‎соответственно,‏ ‎которые ‎используются‏ ‎в ‎методах‏ ‎LOTL.

ПО ‎удалённого ‎доступа ‎сторонних ‎производителей

Помимо‏ ‎нативных‏ ‎инструментов,‏ ‎атакующие ‎также‏ ‎используют ‎ПО‏ ‎удалённого ‎доступа‏ ‎сторонних‏ ‎производителей ‎в‏ ‎следующих ‎категориях: ‎удалённый ‎мониторинг ‎и‏ ‎управление, ‎управление‏ ‎конфигурацией‏ ‎конечных ‎устройств, ‎EDR,‏ ‎управление ‎исправлениями,‏ ‎системы ‎управления ‎мобильными ‎устройствами‏ ‎и‏ ‎инструменты ‎управления‏ ‎базами ‎данных.‏ ‎Эти ‎инструменты, ‎предназначенные ‎для ‎администрирования‏ ‎и‏ ‎защиты ‎доменов,‏ ‎обладают ‎встроенной‏ ‎функциональностью, ‎которая ‎может ‎выполнять ‎команды‏ ‎на‏ ‎всех‏ ‎клиентских ‎узлах‏ ‎в ‎сети,‏ ‎включая ‎такие‏ ‎важные,‏ ‎как ‎контроллеры‏ ‎домена. ‎Также ‎стоит ‎обратить ‎внимание‏ ‎на ‎наборы‏ ‎привилегий,‏ ‎которые ‎требуются ‎этим‏ ‎инструментам ‎для‏ ‎системного ‎администрирования.

Читать: 3+ мин
logo Хроники кибер-безопасника

Обоюдоострый меч: Преимущества и недостатки методов LOTL

В ‎анализируемом‏ ‎документе ‎излагается ‎комплексный ‎подход ‎к‏ ‎усилению ‎защиты‏ ‎кибербезопасности‏ ‎от ‎тактики ‎LOTL.‏ ‎Этот ‎подход‏ ‎включает ‎рекомендации ‎по ‎обнаружению,‏ ‎централизованному‏ ‎протоколированию, ‎поведенческому‏ ‎анализу, ‎обнаружению‏ ‎аномалий ‎и ‎упреждающему ‎поиску.

Несмотря ‎на‏ ‎то,‏ ‎что ‎предлагаемые‏ ‎решения ‎обладают‏ ‎значительными ‎преимуществами, ‎организации ‎также ‎должны‏ ‎учитывать‏ ‎потенциальные‏ ‎недостатки ‎и‏ ‎ограничения. ‎Эффективное‏ ‎внедрение ‎требует‏ ‎тщательного‏ ‎планирования, ‎распределения‏ ‎ресурсов ‎и ‎постоянной ‎корректировки ‎с‏ ‎учётом ‎меняющегося‏ ‎ландшафта‏ ‎угроз.

Преимущества

📌 Расширенные ‎возможности ‎обнаружения:‏ ‎внедрение ‎комплексной‏ ‎и ‎детализированной ‎системы ‎регистрации‏ ‎событий‏ ‎наряду ‎с‏ ‎централизованным ‎управлением‏ ‎событиями ‎значительно ‎повышает ‎способность ‎организации‏ ‎обнаруживать‏ ‎вредоносные ‎действия.‏ ‎Такой ‎подход‏ ‎позволяет ‎анализировать ‎поведение, ‎обнаруживать ‎аномалии‏ ‎и‏ ‎осуществлять‏ ‎упреждающий ‎поиск,‏ ‎обеспечивая ‎надёжную‏ ‎защиту ‎от‏ ‎методов‏ ‎LOTL.

📌 Улучшенная ‎система‏ ‎безопасности: рекомендуются ‎различные ‎меры, ‎предоставляемые ‎поставщиком‏ ‎или ‎отраслевыми‏ ‎стандартами,‏ ‎сведение ‎к ‎минимуму‏ ‎запущенных ‎служб‏ ‎и ‎защита ‎сетевых ‎коммуникаций‏ ‎с‏ ‎целью ‎сокращения‏ ‎векторов ‎атаки.

📌 Повышенная‏ ‎прозрачность: централизованное ‎управление ‎событиями ‎позволяет ‎выявлять‏ ‎закономерности‏ ‎и ‎аномалии‏ ‎с ‎течением‏ ‎времени. ‎Такой ‎подход ‎в ‎отношении‏ ‎сетевых‏ ‎и‏ ‎системных ‎действий‏ ‎способствует ‎упреждающему‏ ‎обнаружению ‎потенциальных‏ ‎угроз.

📌 Эффективное‏ ‎использование ‎ресурсов:‏ ‎автоматизация ‎анализа ‎журналов ‎и ‎поиска‏ ‎информации ‎повышает‏ ‎эффективность‏ ‎этих ‎процессов, ‎позволяя‏ ‎организациям ‎лучше‏ ‎использовать ‎свои ‎ресурсы. ‎Автоматизированные‏ ‎системы‏ ‎могут ‎сравнивать‏ ‎текущие ‎действия‏ ‎с ‎установленными ‎показателями ‎поведения, ‎с‏ ‎учётом‏ ‎особого ‎внимания‏ ‎привилегированным ‎учётным‏ ‎записям ‎и ‎критически ‎важным ‎активам.

📌 Стратегическая‏ ‎сегментация‏ ‎сети:‏ ‎улучшение ‎сегментации‏ ‎сети ‎и‏ ‎мониторинга ‎ограничивает‏ ‎возможности‏ ‎распространения ‎угрозы,‏ ‎уменьшая ‎«радиус ‎поражения» ‎доступных ‎систем‏ ‎в ‎случае‏ ‎компрометации.‏ ‎Такой ‎стратегический ‎подход‏ ‎помогает ‎сдерживать‏ ‎угрозы ‎и ‎сводит ‎к‏ ‎минимуму‏ ‎потенциальный ‎ущерб.

Недостатки/Ограничения

📌 Ресурсоёмкость:‏ ‎реализация ‎рекомендуемых‏ ‎мер ‎по ‎обнаружению ‎и ‎усилению‏ ‎защиты‏ ‎может ‎требовать‏ ‎значительных ‎инвестиций‏ ‎в ‎технологии ‎и ‎обучение ‎персонала.‏ ‎Небольшим‏ ‎организациям‏ ‎будет ‎сложно‏ ‎выделить ‎необходимые‏ ‎ресурсы.

📌 Сложность ‎реализации:‏ ‎создание‏ ‎и ‎поддержание‏ ‎инфраструктуры ‎для ‎детальной ‎регистрации ‎событий‏ ‎и ‎анализа‏ ‎является‏ ‎сложной ‎задачей. ‎Организации‏ ‎могут ‎столкнуться‏ ‎с ‎трудностями ‎при ‎эффективной‏ ‎настройке‏ ‎этих ‎систем‏ ‎и ‎управлении‏ ‎ими, ‎особенно ‎в ‎разнообразных ‎и‏ ‎динамичных‏ ‎ИТ-средах.

📌 Снижение ‎эффективности‏ ‎от ‎систем‏ ‎оповещения: хотя ‎целью ‎предлагаемых ‎решений ‎является‏ ‎снижение‏ ‎избытка‏ ‎оповещений, ‎их‏ ‎огромный ‎объем,‏ ‎генерируемых ‎комплексными‏ ‎системами‏ ‎регистрации ‎и‏ ‎обнаружения ‎аномалий, ‎может ‎привести ‎к‏ ‎переутомлению ‎сотрудников‏ ‎службы‏ ‎безопасности ‎и ‎пропуску‏ ‎важных ‎оповещений.

📌 Ложноположительные‏ ‎и ‎отрицательные ‎результаты: системы ‎анализа‏ ‎поведения‏ ‎и ‎обнаружения‏ ‎аномалий ‎могут‏ ‎формировать ‎ложноположительные ‎и ‎отрицательные ‎результаты,‏ ‎что‏ ‎приводит ‎к‏ ‎ненужным ‎расследованиям‏ ‎инцидентов ‎или ‎пропущенным ‎угрозам. ‎Точная‏ ‎настройка‏ ‎этих‏ ‎систем ‎для‏ ‎сведения ‎к‏ ‎минимуму ‎неточностей‏ ‎требует‏ ‎постоянных ‎усилий‏ ‎и ‎опыта.

📌 Зависимость ‎от ‎поддержки ‎поставщиков:‏ ‎эффективность ‎мер‏ ‎по‏ ‎усилению ‎защиты ‎и‏ ‎безопасных ‎конфигураций‏ ‎часто ‎зависит ‎от ‎поддержки‏ ‎и‏ ‎рекомендаций, ‎предоставляемых‏ ‎поставщиками ‎программного‏ ‎обеспечения. ‎Организации ‎могут ‎столкнуться ‎с‏ ‎ограничениями,‏ ‎если ‎поставщики‏ ‎не ‎уделяют‏ ‎приоритетного ‎внимания ‎безопасности ‎или ‎не‏ ‎предоставляют‏ ‎адекватных‏ ‎рекомендаций ‎по‏ ‎усилению ‎защиты.

Читать: 3+ мин
logo Хроники кибер-безопасника

Выживание в цифровых джунглях: Введение в LOTL и LOLbins

Документ, ‎озаглавленный‏ ‎«Joint ‎Guidance: ‎Identifying ‎and ‎Mitigating‏ ‎LOTL ‎Techniques»,‏ ‎содержит‏ ‎рекомендации ‎о ‎том,‏ ‎как ‎организации‏ ‎могут ‎лучше ‎защитить ‎себя‏ ‎от‏ ‎методов ‎известных‏ ‎как ‎Living‏ ‎Off ‎The ‎Land ‎(LOTL). ‎Эти‏ ‎методы‏ ‎предполагают, ‎что‏ ‎атакующие ‎используют‏ ‎легитимные ‎инструменты ‎и ‎программное ‎обеспечение,‏ ‎присутствующие‏ ‎в‏ ‎среде ‎объекта,‏ ‎для ‎осуществления‏ ‎вредоносных ‎действий,‏ ‎что‏ ‎усложняет ‎обнаружение.‏ ‎Этот ‎подход ‎направлен ‎на ‎сокращение‏ ‎таких ‎легитимных‏ ‎инструментов‏ ‎операционной ‎системы ‎и‏ ‎приложений ‎для‏ ‎нецелевого ‎применения.

Руководство ‎основано ‎на‏ ‎практических‏ ‎результатах, ‎оценках‏ ‎red ‎team,‏ ‎отраслевых ‎практиках ‎и ‎практиках ‎по‏ ‎реагированию‏ ‎на ‎инциденты.‏ ‎Также ‎подчёркивается‏ ‎важность ‎создания ‎и ‎поддержания ‎инфраструктуры,‏ ‎которая‏ ‎собирает‏ ‎и ‎систематизирует‏ ‎данные, ‎помогающие‏ ‎правозащитникам ‎выявлять‏ ‎методы‏ ‎LOTL, ‎адаптированные‏ ‎к ‎ландшафту ‎рисков ‎каждой ‎организации‏ ‎и ‎её‏ ‎ресурсным‏ ‎возможностям.

Ключевые ‎моменты

📌 Руководство ‎составлено‏ ‎крупнейшими ‎агентствами‏ ‎кибербезопасности ‎и ‎национальной ‎безопасности‏ ‎США,‏ ‎Австралии, ‎Канады,‏ ‎Соединённого ‎Королевства‏ ‎и ‎Новой ‎Зеландии ‎и ‎посвящено‏ ‎распространённым‏ ‎методам ‎LOTL‏ ‎и ‎пробелам‏ ‎в ‎возможностях ‎киберзащиты.

📌 LOTL ‎применяется ‎для‏ ‎компрометации‏ ‎и‏ ‎поддержания ‎доступа‏ ‎к ‎критически‏ ‎важной ‎инфраструктуре,‏ ‎путём‏ ‎использования ‎легитимных‏ ‎системных ‎инструментов ‎и ‎процессов, ‎чтобы‏ ‎«вписаться ‎в‏ ‎обычную‏ ‎активность» ‎и ‎избежать‏ ‎обнаружения.

📌 Многим ‎организациям‏ ‎трудно ‎обнаружить ‎вредоносную ‎активность‏ ‎LOTL‏ ‎из-за ‎неадекватных‏ ‎методов ‎обеспечения‏ ‎безопасности ‎и ‎управления ‎сетью, ‎отсутствия‏ ‎общепринятых‏ ‎индикаторов ‎компрометации‏ ‎и ‎сложности‏ ‎отличить ‎вредоносную ‎активность ‎от ‎легитимного‏ ‎поведения.

📌 Рекомендации‏ ‎включают‏ ‎использование ‎детализированного‏ ‎журнала ‎событий,‏ ‎установление ‎базовых‏ ‎показателей‏ ‎активности, ‎использование‏ ‎автоматизации ‎для ‎непрерывного ‎анализа, ‎снижение‏ ‎количества ‎оповещений‏ ‎и‏ ‎использование ‎аналитики ‎поведения‏ ‎пользователей ‎и‏ ‎объектов ‎(UEBA).

📌 Усиление ‎безопасности ‎включают‏ ‎применение‏ ‎рекомендаций ‎поставщика‏ ‎по ‎усилению‏ ‎безопасности, ‎внедрение ‎списка ‎разрешённых ‎приложений,‏ ‎улучшение‏ ‎сегментации ‎сети‏ ‎и ‎мониторинга,‏ ‎а ‎также ‎усиление ‎контроля ‎аутентификации‏ ‎и‏ ‎авторизации.

📌 Производителям‏ ‎программного ‎обеспечения‏ ‎рекомендуется ‎применять‏ ‎принципы ‎secure-by-design,‏ ‎чтобы‏ ‎уменьшить ‎количество‏ ‎уязвимостей, ‎которые ‎позволяют ‎использовать ‎методы‏ ‎LOTL, ‎что‏ ‎включает‏ ‎в ‎себя ‎отключение‏ ‎ненужных ‎протоколов,‏ ‎ограничение ‎доступности ‎сети, ‎ограничение‏ ‎повышенных‏ ‎привилегий, ‎включение‏ ‎по ‎умолчанию‏ ‎защищённого ‎от ‎фишинга ‎MFA, ‎обеспечение‏ ‎защищённости‏ ‎журнала ‎событий,‏ ‎устранение ‎паролей‏ ‎по ‎умолчанию ‎и ‎ограничение ‎динамического‏ ‎выполнения‏ ‎кода.

Вторичные‏ ‎моменты

📌 Направленность ‎на‏ ‎смягчение ‎последствий‏ ‎использования ‎LOTL-методов,‏ ‎когда‏ ‎нецелевым ‎образом‏ ‎применяются ‎легитимные ‎инструменты.

📌 Поставщики ‎должны ‎нести‏ ‎ответственность ‎за‏ ‎настройки‏ ‎своего ‎программного ‎обеспечения‏ ‎по ‎умолчанию‏ ‎и ‎соблюдение ‎принципа ‎наименьших‏ ‎привилегий.

📌 Производителям‏ ‎ПО ‎рекомендуется‏ ‎сокращать ‎количество‏ ‎уязвимостей, ‎которыми ‎можно ‎воспользоваться, ‎и‏ ‎брать‏ ‎на ‎себя‏ ‎ответственность ‎за‏ ‎обеспечение ‎безопасности ‎своих ‎клиентов.

📌 Стратегии ‎сетевой‏ ‎защиты‏ ‎включают‏ ‎мониторинг ‎необычных‏ ‎системных ‎взаимодействий,‏ ‎повышения ‎привилегий‏ ‎и‏ ‎отклонений ‎от‏ ‎обычных ‎административных ‎действий.

📌 Организациям ‎следует ‎создать‏ ‎и ‎поддерживать‏ ‎инфраструктуру‏ ‎для ‎сбора ‎и‏ ‎систематизации ‎данных‏ ‎для ‎обнаружения ‎методов ‎LOTL,‏ ‎адаптированную‏ ‎к ‎их‏ ‎конкретному ‎ландшафту‏ ‎рисков ‎и ‎ресурсным ‎возможностям

Читать: 2+ мин
logo Overkill Security

Building Resilient Software: Mitigating LOTL Risks

Recommendations ‎for‏ ‎Software ‎Manufacturers ‎is ‎crucial ‎in‏ ‎reducing ‎the‏ ‎prevalence‏ ‎of ‎exploitable ‎flaws‏ ‎that ‎enable‏ ‎LOTL ‎tactics.

📌Minimizing ‎Attack ‎Surfaces:‏ ‎Software‏ ‎manufacturers ‎are‏ ‎urged ‎to‏ ‎minimize ‎attack ‎surfaces ‎that ‎can‏ ‎be‏ ‎exploited ‎by‏ ‎cyber ‎threat‏ ‎actors ‎using ‎LOTL ‎techniques. ‎This‏ ‎includes‏ ‎disabling‏ ‎unnecessary ‎protocols‏ ‎by ‎default,‏ ‎limiting ‎the‏ ‎number‏ ‎of ‎processes‏ ‎and ‎programs ‎running ‎with ‎escalated‏ ‎privileges, ‎and‏ ‎taking‏ ‎proactive ‎steps ‎to‏ ‎limit ‎the‏ ‎ability ‎for ‎actors ‎to‏ ‎leverage‏ ‎native ‎functionality‏ ‎for ‎intrusions.

📌Embedding‏ ‎Security ‎in ‎the ‎SDLC: ‎Security‏ ‎should‏ ‎be ‎embedded‏ ‎into ‎the‏ ‎product ‎architecture ‎throughout ‎the ‎entire‏ ‎software‏ ‎development‏ ‎lifecycle ‎(SDLC).‏ ‎This ‎proactive‏ ‎integration ‎ensures‏ ‎that‏ ‎security ‎considerations‏ ‎are ‎not ‎an ‎afterthought ‎but‏ ‎a ‎fundamental‏ ‎component‏ ‎of ‎the ‎product‏ ‎from ‎inception‏ ‎to ‎deployment.

📌Mandating ‎Multi-Factor ‎Authentication‏ ‎(MFA):‏ ‎Manufacturers ‎should‏ ‎mandate ‎MFA,‏ ‎ideally ‎phishing-resistant ‎MFA, ‎for ‎privileged‏ ‎users‏ ‎and ‎make‏ ‎it ‎a‏ ‎default ‎feature ‎rather ‎than ‎an‏ ‎optional‏ ‎one.‏ ‎This ‎step‏ ‎significantly ‎enhances‏ ‎the ‎security‏ ‎of‏ ‎user ‎accounts,‏ ‎particularly ‎those ‎with ‎elevated ‎access.

📌Reducing‏ ‎Hardening ‎Guide‏ ‎Size:‏ ‎The ‎size ‎of‏ ‎hardening ‎guides‏ ‎that ‎accompany ‎products ‎should‏ ‎be‏ ‎tracked ‎and‏ ‎reduced. ‎As‏ ‎new ‎versions ‎of ‎the ‎software‏ ‎are‏ ‎released, ‎the‏ ‎aim ‎should‏ ‎be ‎to ‎shrink ‎the ‎size‏ ‎of‏ ‎these‏ ‎guides ‎over‏ ‎time ‎by‏ ‎integrating ‎their‏ ‎components‏ ‎as ‎the‏ ‎default ‎configuration ‎of ‎the ‎product.

📌Considering‏ ‎User ‎Experience:‏ ‎The‏ ‎user ‎experience ‎consequences‏ ‎of ‎security‏ ‎settings ‎must ‎be ‎considered.‏ ‎Ideally,‏ ‎the ‎most‏ ‎secure ‎setting‏ ‎should ‎be ‎integrated ‎into ‎the‏ ‎product‏ ‎by ‎default,‏ ‎and ‎when‏ ‎configuration ‎is ‎necessary, ‎the ‎default‏ ‎option‏ ‎should‏ ‎be ‎secure‏ ‎against ‎common‏ ‎threats. ‎This‏ ‎approach‏ ‎reduces ‎the‏ ‎cognitive ‎burden ‎on ‎end ‎users‏ ‎and ‎ensures‏ ‎broad‏ ‎protection.

📌Removing ‎Default ‎Passwords:‏ ‎Default ‎passwords‏ ‎should ‎be ‎eliminated ‎entirely‏ ‎or,‏ ‎where ‎necessary,‏ ‎be ‎generated‏ ‎or ‎set ‎upon ‎first ‎install‏ ‎and‏ ‎then ‎rotated‏ ‎periodically. ‎This‏ ‎practice ‎prevents ‎the ‎use ‎of‏ ‎default‏ ‎passwords‏ ‎as ‎an‏ ‎easy ‎entry‏ ‎point ‎for‏ ‎malicious‏ ‎actors.

📌Limiting ‎Dynamic‏ ‎Code ‎Execution: ‎Dynamic ‎code ‎execution,‏ ‎while ‎offering‏ ‎versatility,‏ ‎presents ‎a ‎vulnerable‏ ‎attack ‎surface.‏ ‎Manufacturers ‎should ‎limit ‎or‏ ‎remove‏ ‎the ‎capability‏ ‎for ‎dynamic‏ ‎code ‎execution ‎due ‎to ‎the‏ ‎high‏ ‎risk ‎and‏ ‎the ‎challenge‏ ‎of ‎detecting ‎associated ‎indicators ‎of‏ ‎compromise‏ ‎(IOCs).

📌Removing‏ ‎Hard-Coded ‎Credentials:‏ ‎Applications ‎and‏ ‎scripts ‎containing‏ ‎hard-coded‏ ‎plaintext ‎credentials‏ ‎pose ‎a ‎significant ‎security ‎risk.‏ ‎Removing ‎such‏ ‎credentials‏ ‎is ‎essential ‎to‏ ‎prevent ‎malicious‏ ‎actors ‎from ‎using ‎them‏ ‎to‏ ‎access ‎resources‏ ‎and ‎expand‏ ‎their ‎presence ‎within ‎a ‎network.

Читать: 14+ мин
logo Overkill Security

The Digital Hunt: Tracking LOTL in Your Network

It ‎advocates‏ ‎for ‎regular ‎system ‎inventory ‎audits‏ ‎to ‎catch‏ ‎adversary‏ ‎behavior ‎that ‎might‏ ‎be ‎missed‏ ‎by ‎event ‎logs ‎due‏ ‎to‏ ‎inadequate ‎logging‏ ‎configurations ‎or‏ ‎activities ‎occurring ‎before ‎logging ‎enhancements‏ ‎are‏ ‎deployed. ‎Organizations‏ ‎are ‎encouraged‏ ‎to ‎enable ‎comprehensive ‎logging ‎for‏ ‎all‏ ‎security-related‏ ‎events, ‎including‏ ‎shell ‎activities,‏ ‎system ‎calls,‏ ‎and‏ ‎audit ‎trails‏ ‎across ‎all ‎platforms, ‎to ‎improve‏ ‎the ‎detection‏ ‎of‏ ‎malicious ‎LOTL ‎activity.

Network‏ ‎Logs ‎

The‏ ‎detection ‎of ‎LOTL ‎techniques‏ ‎through‏ ‎network ‎logs‏ ‎presents ‎unique‏ ‎challenges ‎due ‎to ‎the ‎transient‏ ‎nature‏ ‎of ‎network‏ ‎artifacts ‎and‏ ‎the ‎complexity ‎of ‎distinguishing ‎malicious‏ ‎activity‏ ‎from‏ ‎legitimate ‎behavior.‏ ‎Network ‎defenders‏ ‎must ‎be‏ ‎vigilant‏ ‎and ‎proactive‏ ‎in ‎configuring ‎and ‎setting ‎up‏ ‎logs ‎to‏ ‎capture‏ ‎the ‎necessary ‎data‏ ‎for ‎identifying‏ ‎LOTL ‎activities. ‎Unlike ‎host‏ ‎artifacts,‏ ‎which ‎can‏ ‎often ‎be‏ ‎found ‎unless ‎deliberately ‎deleted ‎by‏ ‎a‏ ‎threat ‎actor,‏ ‎network ‎artifacts‏ ‎are ‎derived ‎from ‎network ‎traffic‏ ‎and‏ ‎are‏ ‎inherently ‎more‏ ‎difficult ‎to‏ ‎detect ‎and‏ ‎capture.‏ ‎Network ‎artifacts‏ ‎are ‎significantly ‎harder ‎to ‎detect‏ ‎than ‎host‏ ‎artifacts‏ ‎because ‎they ‎are‏ ‎largely ‎transient‏ ‎and ‎require ‎proper ‎configuration‏ ‎of‏ ‎logging ‎systems‏ ‎to ‎be‏ ‎captured. ‎Without ‎the ‎right ‎sensors‏ ‎in‏ ‎place ‎to‏ ‎record ‎network‏ ‎traffic, ‎there ‎is ‎no ‎way‏ ‎to‏ ‎observe‏ ‎LOTL ‎activity‏ ‎from ‎a‏ ‎network ‎perspective.‏ ‎

Indicators‏ ‎of ‎LOTL‏ ‎Activity

Detecting ‎LOTL ‎activity ‎involves ‎looking‏ ‎for ‎a‏ ‎collection‏ ‎of ‎possible ‎indicators‏ ‎that, ‎together,‏ ‎paint ‎a ‎picture ‎of‏ ‎the‏ ‎behavior ‎of‏ ‎network ‎traffic.

📌 Reviewing‏ ‎Firewall ‎Logs: Blocked ‎access ‎attempts ‎in‏ ‎firewall‏ ‎logs ‎can‏ ‎signal ‎compromise,‏ ‎especially ‎in ‎a ‎properly ‎segmented‏ ‎network.‏ ‎Network‏ ‎discovery ‎and‏ ‎mapping ‎attempts‏ ‎from ‎within‏ ‎the‏ ‎network ‎can‏ ‎also ‎be ‎indicative ‎of ‎LOTL‏ ‎activity. ‎It‏ ‎is‏ ‎crucial ‎to ‎differentiate‏ ‎between ‎normal‏ ‎network ‎management ‎tool ‎behavior‏ ‎and‏ ‎abnormal ‎traffic‏ ‎patterns.

📌 Investigating ‎Unusual‏ ‎Traffic ‎Patterns: ‎Specific ‎types ‎of‏ ‎traffic‏ ‎should ‎be‏ ‎scrutinized, ‎such‏ ‎as ‎LDAP ‎requests ‎from ‎non-domain‏ ‎joined‏ ‎Linux‏ ‎hosts, ‎SMB‏ ‎requests ‎across‏ ‎different ‎network‏ ‎segments,‏ ‎or ‎database‏ ‎access ‎requests ‎from ‎user ‎workstations‏ ‎that ‎should‏ ‎only‏ ‎be ‎made ‎by‏ ‎frontend ‎servers.‏ ‎Establishing ‎baseline ‎noise ‎levels‏ ‎can‏ ‎help ‎in‏ ‎distinguishing ‎between‏ ‎legitimate ‎applications ‎and ‎malicious ‎requests.

📌 Examining‏ ‎Logs‏ ‎from ‎Network‏ ‎Services ‎on‏ ‎Host ‎Machines: ‎Logs ‎from ‎services‏ ‎like‏ ‎Sysmon‏ ‎and ‎IIS‏ ‎on ‎host‏ ‎machines ‎can‏ ‎provide‏ ‎insights ‎into‏ ‎web ‎server ‎interactions, ‎FTP ‎transactions,‏ ‎and ‎other‏ ‎network‏ ‎activities. ‎These ‎logs‏ ‎can ‎offer‏ ‎valuable ‎context ‎and ‎details‏ ‎that‏ ‎may ‎not‏ ‎be ‎captured‏ ‎by ‎traditional ‎network ‎devices.

📌 Combining ‎Network‏ ‎Traffic‏ ‎Logs ‎with‏ ‎Host-based ‎Logs:‏ ‎This ‎approach ‎allows ‎for ‎the‏ ‎inclusion‏ ‎of‏ ‎additional ‎information‏ ‎such ‎as‏ ‎user ‎account‏ ‎and‏ ‎process ‎details.‏ ‎Discrepancies ‎between ‎the ‎destination ‎and‏ ‎on-network ‎artifacts‏ ‎could‏ ‎indicate ‎malicious ‎traffic.

Application,‏ ‎Security, ‎and‏ ‎System ‎Event ‎Logs

Default ‎logging‏ ‎configurations‏ ‎often ‎fail‏ ‎to ‎capture‏ ‎all ‎necessary ‎events, ‎potentially ‎leaving‏ ‎gaps‏ ‎in ‎the‏ ‎visibility ‎of‏ ‎malicious ‎activities. ‎Prioritizing ‎logs ‎and‏ ‎data‏ ‎sources‏ ‎that ‎are‏ ‎more ‎likely‏ ‎to ‎reveal‏ ‎malicious‏ ‎LOTL ‎activities‏ ‎is ‎crucial ‎for ‎effective ‎detection‏ ‎and ‎response.

Authentication‏ ‎Logs

📌Authentication‏ ‎logs ‎play ‎a‏ ‎vital ‎role‏ ‎in ‎identifying ‎unauthorized ‎access‏ ‎attempts‏ ‎and ‎tracking‏ ‎user ‎activities‏ ‎across ‎the ‎network. ‎The ‎guidance‏ ‎recommends‏ ‎ensuring ‎that‏ ‎logging ‎is‏ ‎enabled ‎for ‎all ‎control ‎plane‏ ‎operations,‏ ‎including‏ ‎API ‎calls‏ ‎and ‎end-user‏ ‎logins, ‎through‏ ‎services‏ ‎like ‎Amazon‏ ‎Web ‎Services ‎CloudTrail, ‎Azure ‎Activity‏ ‎Log, ‎and‏ ‎Google‏ ‎Cloud ‎Audit ‎Logs.‏ ‎These ‎logs‏ ‎can ‎provide ‎valuable ‎insights‏ ‎into‏ ‎potential ‎LOTL‏ ‎activities ‎by‏ ‎highlighting ‎unusual ‎access ‎patterns ‎or‏ ‎attempts‏ ‎to ‎exploit‏ ‎authentication ‎mechanisms.

📌A‏ ‎robust ‎strategy ‎for ‎the ‎separation‏ ‎of‏ ‎privileges‏ ‎is ‎essential‏ ‎for ‎identifying‏ ‎LOTL ‎techniques‏ ‎through‏ ‎authentication ‎logs.‏ ‎Practices ‎such ‎as ‎restricting ‎domain‏ ‎administrator ‎accounts‏ ‎to‏ ‎only ‎log ‎into‏ ‎domain ‎controllers‏ ‎and ‎using ‎Privileged ‎Access‏ ‎Workstations‏ ‎(PAWs) ‎in‏ ‎conjunction ‎with‏ ‎bastion ‎hosts ‎can ‎minimize ‎credential‏ ‎exposure‏ ‎and ‎reinforce‏ ‎network ‎segmentation.‏ ‎Multifactor ‎authentication ‎adds ‎an ‎additional‏ ‎layer‏ ‎of‏ ‎security.

Host-based ‎Logs

Sysmon‏ ‎and ‎other‏ ‎host-based ‎logging‏ ‎tools‏ ‎offer ‎granular‏ ‎visibility ‎into ‎system ‎activities ‎that‏ ‎can ‎indicate‏ ‎LOTL‏ ‎exploitation. ‎By ‎capturing‏ ‎detailed ‎information‏ ‎about ‎process ‎creations, ‎network‏ ‎connections,‏ ‎and ‎file‏ ‎system ‎changes,‏ ‎these ‎tools ‎can ‎help ‎organizations‏ ‎detect‏ ‎and ‎investigate‏ ‎suspicious ‎behavior‏ ‎that ‎might ‎otherwise ‎go ‎unnoticed.

Establishing‏ ‎Baselines‏ ‎and‏ ‎Secure ‎Logging

A‏ ‎foundational ‎step‏ ‎in ‎detecting‏ ‎abnormal‏ ‎or ‎potentially‏ ‎malicious ‎behavior ‎is ‎the ‎establishment‏ ‎of ‎baselines‏ ‎for‏ ‎running ‎tools ‎and‏ ‎activities. ‎This‏ ‎involves ‎understanding ‎the ‎normal‏ ‎operational‏ ‎patterns ‎of‏ ‎a ‎system‏ ‎to ‎identify ‎deviations ‎that ‎may‏ ‎indicate‏ ‎a ‎security‏ ‎threat. ‎It's‏ ‎also ‎essential ‎to ‎rely ‎on‏ ‎secure‏ ‎logs‏ ‎that ‎are‏ ‎less ‎susceptible‏ ‎to ‎tampering‏ ‎by‏ ‎adversaries. ‎For‏ ‎instance, ‎while ‎Linux ‎.bash_history ‎files‏ ‎can ‎be‏ ‎modified‏ ‎by ‎nonprivileged ‎users,‏ ‎system-level ‎auditd‏ ‎logs ‎are ‎more ‎secure‏ ‎and‏ ‎provide ‎a‏ ‎reliable ‎record‏ ‎of ‎activities.

Leveraging ‎Sysmon ‎in ‎Windows‏ ‎Environments

📌Sysmon,‏ ‎a ‎Windows‏ ‎system ‎monitoring‏ ‎tool, ‎offers ‎granular ‎insights ‎into‏ ‎activities‏ ‎such‏ ‎as ‎process‏ ‎creations, ‎network‏ ‎connections, ‎and‏ ‎registry‏ ‎modifications. ‎This‏ ‎detailed ‎logging ‎is ‎invaluable ‎for‏ ‎security ‎teams‏ ‎in‏ ‎hunting ‎for ‎and‏ ‎detecting ‎the‏ ‎misuse ‎of ‎legitimate ‎tools‏ ‎and‏ ‎utilities. ‎Key‏ ‎strategies ‎include:

📌Using‏ ‎the ‎OriginalFileName ‎property ‎to ‎identify‏ ‎renamed‏ ‎files, ‎which‏ ‎may ‎indicate‏ ‎malicious ‎activity. ‎For ‎most ‎Microsoft‏ ‎utilities,‏ ‎the‏ ‎original ‎filenames‏ ‎are ‎stored‏ ‎in ‎the‏ ‎PE‏ ‎header, ‎providing‏ ‎a ‎method ‎to ‎detect ‎file‏ ‎tampering.

📌Implementing ‎detection‏ ‎techniques‏ ‎to ‎identify ‎the‏ ‎malicious ‎use‏ ‎of ‎command-line ‎and ‎scripting‏ ‎utilities,‏ ‎especially ‎those‏ ‎exploiting ‎Alternate‏ ‎Data ‎Streams ‎(ADS). ‎Monitoring ‎specific‏ ‎command-line‏ ‎arguments ‎or‏ ‎syntax ‎used‏ ‎to ‎interact ‎with ‎ADS ‎can‏ ‎reveal‏ ‎attempts‏ ‎to ‎execute‏ ‎or ‎interact‏ ‎with ‎hidden‏ ‎payloads.

Targeted‏ ‎Detection ‎Strategies

Enhancing‏ ‎Sysmon ‎configurations ‎to ‎log ‎and‏ ‎scrutinize ‎command-line‏ ‎executions,‏ ‎with ‎a ‎focus‏ ‎on ‎patterns‏ ‎indicative ‎of ‎obfuscation, ‎can‏ ‎help‏ ‎identify ‎attempts‏ ‎by ‎cyber‏ ‎threat ‎actors ‎to ‎bypass ‎security‏ ‎monitoring‏ ‎tools. ‎Examples‏ ‎include ‎the‏ ‎extensive ‎use ‎of ‎escape ‎characters,‏ ‎concatenation‏ ‎of‏ ‎commands, ‎and‏ ‎the ‎employment‏ ‎of ‎Base64‏ ‎encoding.

Monitoring‏ ‎Suspicious ‎Process‏ ‎Chains

Monitoring ‎for ‎suspicious ‎process ‎chains,‏ ‎such ‎as‏ ‎Microsoft‏ ‎Office ‎documents ‎initiating‏ ‎scripting ‎processes,‏ ‎is ‎a ‎key ‎indicator‏ ‎of‏ ‎LOTL ‎activity.‏ ‎It's ‎uncommon‏ ‎for ‎Office ‎applications ‎to ‎launch‏ ‎scripting‏ ‎processes ‎like‏ ‎cmd.exe, ‎PowerShell,‏ ‎wscript.exe, ‎or ‎cscript.exe. ‎Tracking ‎these‏ ‎process‏ ‎creations‏ ‎and ‎the‏ ‎execution ‎of‏ ‎unusual ‎commands‏ ‎from‏ ‎Office ‎applications‏ ‎can ‎signal ‎a ‎red ‎flag‏ ‎and ‎warrants‏ ‎further‏ ‎investigation.

Integrating ‎Logs ‎with‏ ‎SIEM ‎Systems

Integrating‏ ‎Sysmon ‎logs ‎with ‎Security‏ ‎Information‏ ‎and ‎Event‏ ‎Management ‎(SIEM)‏ ‎systems ‎and ‎applying ‎correlation ‎rules‏ ‎can‏ ‎significantly ‎enhance‏ ‎the ‎detection‏ ‎of ‎advanced ‎attack ‎scenarios. ‎This‏ ‎integration‏ ‎allows‏ ‎for ‎the‏ ‎automation ‎of‏ ‎the ‎detection‏ ‎process‏ ‎and ‎the‏ ‎application ‎of ‎analytics ‎to ‎identify‏ ‎complex ‎patterns‏ ‎of‏ ‎malicious ‎activity.

Linux ‎and‏ ‎macOS ‎Considerations

On‏ ‎Linux ‎machines, ‎enabling ‎Auditd‏ ‎or‏ ‎Sysmon ‎for‏ ‎Linux ‎logging‏ ‎and ‎integrating ‎these ‎logs ‎with‏ ‎an‏ ‎SIEM ‎platform‏ ‎can ‎greatly‏ ‎improve ‎the ‎detection ‎of ‎anomalous‏ ‎activities.‏ ‎For‏ ‎macOS, ‎utilizing‏ ‎tools ‎like‏ ‎Santa, ‎an‏ ‎open-source‏ ‎binary ‎authorization‏ ‎system, ‎can ‎help ‎monitor ‎process‏ ‎executions ‎and‏ ‎detect‏ ‎abnormal ‎behavior ‎by‏ ‎productivity ‎applications

Review‏ ‎Configurations

Regularly ‎reviewing ‎and ‎updating‏ ‎system‏ ‎configurations ‎is‏ ‎essential ‎to‏ ‎ensure ‎that ‎security ‎measures ‎remain‏ ‎effective‏ ‎against ‎evolving‏ ‎threats. ‎This‏ ‎includes ‎verifying ‎that ‎logging ‎settings‏ ‎are‏ ‎appropriately‏ ‎configured ‎to‏ ‎capture ‎relevant‏ ‎data ‎and‏ ‎that‏ ‎security ‎controls‏ ‎are ‎aligned ‎with ‎current ‎best‏ ‎practices. ‎Organizations‏ ‎should‏ ‎also ‎assess ‎the‏ ‎use ‎of‏ ‎allowlists ‎and ‎other ‎access‏ ‎control‏ ‎mechanisms ‎to‏ ‎prevent ‎the‏ ‎misuse ‎of ‎legitimate ‎tools ‎by‏ ‎malicious‏ ‎actors.

Regular ‎reviews‏ ‎of ‎host‏ ‎configurations ‎against ‎established ‎baselines ‎are‏ ‎essential‏ ‎for‏ ‎catching ‎indicators‏ ‎of ‎compromise‏ ‎(IOCs) ‎that‏ ‎may‏ ‎not ‎be‏ ‎reverted ‎through ‎regular ‎group ‎policy‏ ‎updates. ‎This‏ ‎includes‏ ‎changes ‎to ‎installed‏ ‎software, ‎firewall‏ ‎configurations, ‎and ‎updates ‎to‏ ‎core‏ ‎files ‎such‏ ‎as ‎the‏ ‎Hosts ‎file, ‎which ‎is ‎used‏ ‎for‏ ‎DNS ‎resolution.‏ ‎Such ‎reviews‏ ‎can ‎reveal ‎discrepancies ‎that ‎signal‏ ‎unauthorized‏ ‎modifications‏ ‎or ‎the‏ ‎presence ‎of‏ ‎malicious ‎software.

📌 Bypassing‏ ‎Standard‏ ‎Event ‎Logs: Cyber‏ ‎threat ‎actors ‎have ‎been ‎known‏ ‎to ‎bypass‏ ‎standard‏ ‎event ‎logs ‎by‏ ‎directly ‎writing‏ ‎to ‎the ‎registry ‎to‏ ‎register‏ ‎services ‎and‏ ‎scheduled ‎tasks.‏ ‎This ‎method ‎does ‎not ‎create‏ ‎standard‏ ‎system ‎events,‏ ‎making ‎it‏ ‎a ‎stealthy ‎way ‎to ‎establish‏ ‎persistence‏ ‎or‏ ‎execute ‎tasks‏ ‎without ‎triggering‏ ‎alerts. ‎

📌 System‏ ‎Inventory‏ ‎Audits: ‎Conducting‏ ‎regular ‎system ‎inventory ‎audits ‎is‏ ‎a ‎proactive‏ ‎measure‏ ‎to ‎catch ‎adversary‏ ‎behavior ‎that‏ ‎may ‎have ‎been ‎missed‏ ‎by‏ ‎event ‎logs,‏ ‎whether ‎due‏ ‎to ‎incorrect ‎event ‎capture ‎or‏ ‎activities‏ ‎that ‎occurred‏ ‎before ‎logging‏ ‎enhancements ‎were ‎deployed. ‎These ‎audits‏ ‎help‏ ‎ensure‏ ‎that ‎any‏ ‎changes ‎to‏ ‎the ‎system‏ ‎are‏ ‎authorized ‎and‏ ‎accounted ‎for.

Behavioral ‎Analysis

Comparing ‎activity ‎against‏ ‎normal ‎user‏ ‎behavior‏ ‎is ‎key ‎to‏ ‎detecting ‎anomalies.‏ ‎Unusual ‎behaviors ‎to ‎look‏ ‎out‏ ‎for ‎include‏ ‎odd ‎login‏ ‎hours, ‎access ‎outside ‎of ‎expected‏ ‎work‏ ‎schedules ‎or‏ ‎holiday ‎breaks,‏ ‎rapid ‎succession ‎or ‎high ‎volume‏ ‎of‏ ‎access‏ ‎attempts, ‎unusual‏ ‎access ‎paths,‏ ‎concurrent ‎sign-ins‏ ‎from‏ ‎multiple ‎locations,‏ ‎and ‎instances ‎of ‎impossible ‎time‏ ‎travel.

NTDSUtil.exe ‎and‏ ‎PSExec.exe

Specific‏ ‎attention ‎is ‎given‏ ‎to ‎detecting‏ ‎misuse ‎of ‎NTDSUtil.exe ‎and‏ ‎PSExec.exe,‏ ‎tools ‎that,‏ ‎while ‎legitimate,‏ ‎are ‎often ‎leveraged ‎by ‎attackers‏ ‎for‏ ‎malicious ‎purposes,‏ ‎such ‎as‏ ‎attempts ‎to ‎dump ‎credentials ‎or‏ ‎move‏ ‎laterally‏ ‎across ‎the‏ ‎network. ‎By‏ ‎focusing ‎on‏ ‎the‏ ‎behavioral ‎context‏ ‎of ‎these ‎tools' ‎usage, ‎organizations‏ ‎can ‎more‏ ‎effectively‏ ‎distinguish ‎between ‎legitimate‏ ‎and ‎malicious‏ ‎activities.

The ‎Exploitation ‎Process

A ‎common‏ ‎tactic‏ ‎involves ‎creating‏ ‎a ‎volume‏ ‎shadow ‎copy ‎of ‎the ‎system‏ ‎drive,‏ ‎typically ‎using‏ ‎vssadmin.exe ‎with‏ ‎commands ‎like ‎Create ‎Shadow ‎/for=C:.‏ ‎This‏ ‎action‏ ‎captures ‎a‏ ‎snapshot ‎of‏ ‎the ‎system's‏ ‎current‏ ‎state, ‎including‏ ‎the ‎Active ‎Directory ‎database. ‎Following‏ ‎this, ‎ntdsutil.exe‏ ‎is‏ ‎employed ‎to ‎interact‏ ‎with ‎this‏ ‎shadow ‎copy ‎through ‎a‏ ‎specific‏ ‎command ‎sequence‏ ‎(ntdsutil ‎snapshot‏ ‎“activate ‎instance ‎ntds” ‎create ‎quit‏ ‎quit).‏ ‎The ‎attackers‏ ‎then ‎access‏ ‎the ‎shadow ‎copy ‎to ‎extract‏ ‎the‏ ‎ntds.dit‏ ‎file ‎from‏ ‎a ‎specified‏ ‎directory. ‎This‏ ‎sequence‏ ‎aims ‎to‏ ‎retrieve ‎sensitive ‎credentials, ‎such ‎as‏ ‎hashed ‎passwords,‏ ‎from‏ ‎the ‎Active ‎Directory,‏ ‎enabling ‎full‏ ‎domain ‎compromise.

Detection ‎and ‎Response

To‏ ‎detect‏ ‎and ‎respond‏ ‎to ‎such‏ ‎exploitation, ‎it's ‎crucial ‎to ‎understand‏ ‎the‏ ‎context ‎of‏ ‎ntdsutil.exe ‎activities‏ ‎and ‎differentiate ‎between ‎legitimate ‎administrative‏ ‎use‏ ‎and‏ ‎potential ‎malicious‏ ‎exploitation. ‎Key‏ ‎log ‎sources‏ ‎and‏ ‎monitoring ‎strategies‏ ‎include:

📌 Command-line ‎and ‎Process ‎Creation ‎Logs:‏ ‎Security ‎logs‏ ‎(Event‏ ‎ID ‎4688) ‎and‏ ‎Sysmon ‎logs‏ ‎(Event ‎ID ‎1) ‎provide‏ ‎insights‏ ‎into ‎the‏ ‎execution ‎of‏ ‎ntdsutil.exe ‎commands. ‎Unusual ‎or ‎infrequent‏ ‎use‏ ‎of ‎ntdsutil.exe‏ ‎for ‎snapshot‏ ‎creation ‎might ‎indicate ‎suspicious ‎activity.

📌 File‏ ‎Creation‏ ‎and‏ ‎Access ‎Logs:‏ ‎Monitoring ‎file‏ ‎creation ‎events‏ ‎(Sysmon’s‏ ‎Event ‎ID‏ ‎11) ‎and ‎attempts ‎to ‎access‏ ‎sensitive ‎files‏ ‎like‏ ‎NTDS.dit ‎(security ‎logs‏ ‎with ‎Event‏ ‎ID ‎4663) ‎can ‎offer‏ ‎additional‏ ‎context ‎to‏ ‎the ‎snapshot‏ ‎creation ‎and ‎access ‎process.

📌 Privilege ‎Use‏ ‎Logs:‏ ‎Event ‎ID‏ ‎4673 ‎in‏ ‎security ‎logs, ‎indicating ‎the ‎use‏ ‎of‏ ‎privileged‏ ‎services, ‎can‏ ‎signal ‎potential‏ ‎misuse ‎when‏ ‎correlated‏ ‎with ‎the‏ ‎execution ‎of ‎ntdsutil.exe ‎commands.

📌 Network ‎Activity‏ ‎and ‎Authentication‏ ‎Logs:‏ ‎These ‎logs ‎can‏ ‎provide ‎context‏ ‎about ‎concurrent ‎remote ‎connections‏ ‎or‏ ‎data ‎transfers,‏ ‎potentially ‎indicating‏ ‎data ‎exfiltration ‎attempts. ‎Authentication ‎logs‏ ‎are‏ ‎also ‎crucial‏ ‎for ‎identifying‏ ‎the ‎executor ‎of ‎the ‎ntdsutil.exe‏ ‎command‏ ‎and‏ ‎assessing ‎whether‏ ‎the ‎usage‏ ‎aligns ‎with‏ ‎typical‏ ‎administrative ‎behavior.

Comprehensive‏ ‎Analysis ‎of ‎PSExec.exe ‎in ‎LOTL‏ ‎Tactics

PSExec.exe, ‎a‏ ‎component‏ ‎of ‎the ‎Microsoft‏ ‎PsTools ‎suite,‏ ‎is ‎a ‎powerful ‎utility‏ ‎for‏ ‎system ‎administrators,‏ ‎offering ‎the‏ ‎capability ‎to ‎remotely ‎execute ‎commands‏ ‎across‏ ‎networked ‎systems,‏ ‎often ‎with‏ ‎elevated ‎SYSTEM ‎privileges. ‎Its ‎versatility,‏ ‎however,‏ ‎also‏ ‎makes ‎it‏ ‎a ‎favored‏ ‎tool ‎in‏ ‎Living‏ ‎Off ‎the‏ ‎Land ‎(LOTL) ‎tactics ‎employed ‎by‏ ‎cyber ‎threat‏ ‎actors.

The‏ ‎Role ‎of ‎PSExec.exe‏ ‎in ‎Cyber‏ ‎Threats

PSExec.exe ‎is ‎commonly ‎utilized‏ ‎for‏ ‎remote ‎administration‏ ‎and ‎the‏ ‎execution ‎of ‎processes ‎across ‎systems,‏ ‎such‏ ‎as ‎execute‏ ‎one-off ‎commands‏ ‎aimed ‎at ‎modifying ‎system ‎configurations,‏ ‎such‏ ‎as‏ ‎removing ‎port‏ ‎proxy ‎configurations‏ ‎on ‎a‏ ‎remote‏ ‎host ‎with‏ ‎commands ‎like:

"C:\pstools\psexec.exe" ‎{REDACTED} ‎-s ‎cmd‏ ‎/c ‎"cmd.exe‏ ‎/c‏ ‎netsh ‎interface ‎portproxy‏ ‎delete ‎v4tov4‏ ‎listenaddress=0.0.0.0 ‎listenport=9999"

Detection ‎and ‎Contextualization‏ ‎Strategies

To‏ ‎effectively ‎counter‏ ‎the ‎malicious‏ ‎use ‎of ‎PSExec.exe, ‎network ‎defenders‏ ‎must‏ ‎leverage ‎a‏ ‎variety ‎of‏ ‎logs ‎that ‎provide ‎insights ‎into‏ ‎the‏ ‎execution‏ ‎of ‎commands‏ ‎and ‎the‏ ‎broader ‎context‏ ‎of‏ ‎the ‎operation:

📌 Command-line‏ ‎and ‎Process ‎Creation ‎Logs: ‎Security‏ ‎logs ‎(Event‏ ‎ID‏ ‎4688) ‎and ‎Sysmon‏ ‎logs ‎(Event‏ ‎ID ‎1) ‎are ‎invaluable‏ ‎for‏ ‎tracking ‎the‏ ‎execution ‎of‏ ‎PSExec.exe ‎and ‎associated ‎commands. ‎These‏ ‎logs‏ ‎detail ‎the‏ ‎command ‎line‏ ‎used, ‎shedding ‎light ‎on ‎the‏ ‎process's‏ ‎nature‏ ‎and ‎intent.

📌 Privilege‏ ‎Use ‎and‏ ‎Explicit ‎Credential‏ ‎Logs:‏ ‎Security ‎logs‏ ‎(Event ‎ID ‎4672) ‎document ‎instances‏ ‎where ‎special‏ ‎privileges‏ ‎are ‎assigned ‎to‏ ‎new ‎logons,‏ ‎crucial ‎when ‎PSExec ‎is‏ ‎executed‏ ‎with ‎the‏ ‎-s ‎switch‏ ‎for ‎SYSTEM ‎privileges. ‎Event ‎ID‏ ‎4648‏ ‎captures ‎explicit‏ ‎credential ‎use,‏ ‎indicating ‎when ‎PSExec ‎is ‎run‏ ‎with‏ ‎specific‏ ‎user ‎credentials.

📌 Sysmon‏ ‎Logs ‎for‏ ‎Network ‎Connections‏ ‎and‏ ‎Registry ‎Changes: Sysmon's‏ ‎Event ‎ID ‎3 ‎logs ‎network‏ ‎connections, ‎central‏ ‎to‏ ‎PSExec’s ‎remote ‎execution‏ ‎functionality. ‎Event‏ ‎IDs ‎12, ‎13, ‎and‏ ‎14‏ ‎track ‎registry‏ ‎changes, ‎including‏ ‎deletions ‎(Event ‎ID ‎14) ‎of‏ ‎registry‏ ‎keys ‎associated‏ ‎with ‎the‏ ‎executed ‎Netsh ‎command, ‎providing ‎evidence‏ ‎of‏ ‎modifications‏ ‎to ‎the‏ ‎system's ‎configuration.

📌 Windows‏ ‎Registry ‎Audit‏ ‎Logs:‏ ‎If ‎enabled,‏ ‎these ‎logs ‎record ‎modifications ‎to‏ ‎registry ‎keys,‏ ‎offering‏ ‎detailed ‎information ‎such‏ ‎as ‎the‏ ‎timestamp ‎of ‎changes, ‎the‏ ‎account‏ ‎under ‎which‏ ‎changes ‎were‏ ‎made ‎(often ‎the ‎SYSTEM ‎account‏ ‎due‏ ‎to ‎PSExec's‏ ‎-s ‎switch),‏ ‎and ‎the ‎specific ‎registry ‎values‏ ‎altered‏ ‎or‏ ‎deleted.

📌 Network ‎and‏ ‎Firewall ‎Logs: Analysis‏ ‎of ‎network‏ ‎traffic,‏ ‎especially ‎SMB‏ ‎traffic ‎characteristic ‎of ‎PSExec ‎use,‏ ‎and ‎firewall‏ ‎logs‏ ‎on ‎the ‎target‏ ‎system ‎can‏ ‎reveal ‎connections ‎to ‎administrative‏ ‎shares‏ ‎and ‎changes‏ ‎to ‎the‏ ‎system's ‎network ‎configuration. ‎These ‎logs‏ ‎can‏ ‎correlate ‎with‏ ‎the ‎timing‏ ‎of ‎command ‎execution, ‎providing ‎further‏ ‎context‏ ‎to‏ ‎the ‎activity.

Читать: 4 мин
logo Overkill Security

Fortifying the Fort: System Hardening Against LOTL Threats

Hardening ‎strategies‏ ‎are ‎aimed ‎at ‎reducing ‎the‏ ‎attack ‎surface‏ ‎and‏ ‎enhancing ‎the ‎security‏ ‎posture ‎of‏ ‎organizations ‎and ‎their ‎critical‏ ‎infrastructure.

Hardening‏ ‎Guidance

📌 Vendor ‎and‏ ‎Industry ‎Hardening‏ ‎Guidance: Organizations ‎should ‎strengthen ‎software ‎and‏ ‎system‏ ‎configurations ‎based‏ ‎on ‎vendor-provided‏ ‎or ‎industry, ‎sector, ‎or ‎government‏ ‎hardening‏ ‎guidance,‏ ‎such ‎as‏ ‎those ‎from‏ ‎NIST, ‎to‏ ‎reduce‏ ‎the ‎attack‏ ‎surface.

Platform-Specific ‎Hardening:

📌 Windows: ‎Apply ‎security ‎updates‏ ‎and ‎patches‏ ‎from‏ ‎Microsoft, ‎follow ‎Windows‏ ‎Security ‎Baselines‏ ‎Guide ‎or ‎CIS ‎Benchmarks,‏ ‎harden‏ ‎commonly ‎exploited‏ ‎services ‎like‏ ‎SMB ‎and ‎RDP, ‎and ‎disable‏ ‎unnecessary‏ ‎services ‎and‏ ‎features.

📌 Linux: ‎Check‏ ‎binary ‎permissions ‎and ‎adhere ‎to‏ ‎CIS’s‏ ‎Red‏ ‎Hat ‎Enterprise‏ ‎Linux ‎Benchmarks.

📌 macOS: Regularly‏ ‎update ‎and‏ ‎patch‏ ‎the ‎system,‏ ‎use ‎built-in ‎security ‎features ‎like‏ ‎Gatekeeper, ‎XProtect,‏ ‎and‏ ‎FileVault, ‎and ‎follow‏ ‎the ‎macOS‏ ‎Security ‎Compliance ‎Project's ‎guidelines.

Cloud‏ ‎Infrastructure‏ ‎Hardening:

📌 Microsoft ‎Cloud: Refer‏ ‎to ‎CISA’s‏ ‎Microsoft ‎365 ‎security ‎configuration ‎baseline‏ ‎guides‏ ‎for ‎secure‏ ‎configuration ‎baselines‏ ‎across ‎various ‎Microsoft ‎cloud ‎services.

📌 Google‏ ‎Cloud:‏ ‎Consult‏ ‎CISA’s ‎Google‏ ‎Workspace ‎security‏ ‎configuration ‎baseline‏ ‎guides‏ ‎for ‎secure‏ ‎configuration ‎baselines ‎across ‎Google ‎cloud‏ ‎services.

📌 Universal ‎Hardening‏ ‎Measures:‏ ‎Minimize ‎running ‎services,‏ ‎apply ‎the‏ ‎principle ‎of ‎least ‎privilege,‏ ‎and‏ ‎secure ‎network‏ ‎communications.

📌 Critical ‎Asset‏ ‎Security: ‎Apply ‎vendor ‎hardening ‎measures‏ ‎for‏ ‎critical ‎assets‏ ‎like ‎ADFS‏ ‎and ‎ADCS ‎and ‎limit ‎the‏ ‎applications‏ ‎and‏ ‎services ‎that‏ ‎can ‎be‏ ‎used ‎or‏ ‎accessed‏ ‎by ‎them.

📌 Administrative‏ ‎Tools: ‎Use ‎tools ‎that ‎do‏ ‎not ‎cache‏ ‎credentials‏ ‎on ‎the ‎remote‏ ‎host ‎to‏ ‎prevent ‎threat ‎actors ‎from‏ ‎reusing‏ ‎compromised ‎credentials.

Application‏ ‎Allowlisting

📌 Constrain ‎Execution‏ ‎Environment: ‎Implement ‎application ‎allowlisting ‎to‏ ‎channel‏ ‎user ‎and‏ ‎administrative ‎activity‏ ‎through ‎a ‎narrow ‎path, ‎enhancing‏ ‎monitoring‏ ‎and‏ ‎reducing ‎alert‏ ‎volume.

Platform-Specific ‎Allowlisting:

📌 macOS:‏ ‎Configure ‎Gatekeeper‏ ‎settings‏ ‎to ‎prevent‏ ‎execution ‎of ‎unsigned ‎or ‎unauthorized‏ ‎applications.

📌 Windows: ‎Use‏ ‎AppLocker‏ ‎and ‎Windows ‎Defender‏ ‎Application ‎Control‏ ‎to ‎regulate ‎executable ‎files,‏ ‎scripts,‏ ‎MSI ‎files,‏ ‎DLLs, ‎and‏ ‎packaged ‎app ‎formats.

Network ‎Segmentation ‎and‏ ‎Monitoring

📌 Limit‏ ‎Lateral ‎Movement:‏ ‎Implement ‎network‏ ‎segmentation ‎to ‎limit ‎the ‎access‏ ‎of‏ ‎users‏ ‎to ‎the‏ ‎minimum ‎necessary‏ ‎applications ‎and‏ ‎services,‏ ‎reducing ‎the‏ ‎impact ‎of ‎compromised ‎credentials.

📌 Network ‎Traffic‏ ‎Analysis: ‎Use‏ ‎tools‏ ‎to ‎monitor ‎traffic‏ ‎between ‎segments‏ ‎and ‎place ‎network ‎sensors‏ ‎at‏ ‎critical ‎points‏ ‎for ‎comprehensive‏ ‎traffic ‎analysis.

📌 Network ‎Traffic ‎Metadata ‎Parsing:‏ ‎Utilize‏ ‎parsers ‎like‏ ‎Zeek ‎and‏ ‎integrate ‎NIDS ‎like ‎Snort ‎or‏ ‎Suricata‏ ‎to‏ ‎detect ‎LOTL‏ ‎activities.

Authentication ‎Controls

📌 Phishing-Resistant‏ ‎MFA: Enforce ‎MFA‏ ‎across‏ ‎all ‎systems,‏ ‎especially ‎for ‎privileged ‎accounts.

📌 Privileged ‎Access‏ ‎Management ‎(PAM):‏ ‎Deploy‏ ‎robust ‎PAM ‎solutions‏ ‎with ‎just-in-time‏ ‎access ‎and ‎time-based ‎controls,‏ ‎complemented‏ ‎by ‎role-based‏ ‎access ‎control‏ ‎(RBAC).

📌 Cloud ‎Identity ‎and ‎Credential ‎Access‏ ‎Management‏ ‎(ICAM): Enforce ‎strict‏ ‎ICAM ‎policies,‏ ‎audit ‎configurations, ‎and ‎rotate ‎access‏ ‎keys.

📌 Sudoers‏ ‎File‏ ‎Review: ‎For‏ ‎macOS ‎and‏ ‎Unix, ‎regularly‏ ‎review‏ ‎the ‎sudoers‏ ‎file ‎for ‎misconfigurations ‎and ‎adhere‏ ‎to ‎the‏ ‎principle‏ ‎of ‎least ‎privilege.

Zero‏ ‎Trust ‎Architecture

As‏ ‎a ‎long-term ‎strategy, ‎the‏ ‎guidance‏ ‎recommends ‎implementing‏ ‎zero ‎trust‏ ‎architectures ‎to ‎ensure ‎that ‎binaries‏ ‎and‏ ‎accounts ‎are‏ ‎not ‎automatically‏ ‎trusted ‎and ‎their ‎use ‎is‏ ‎restricted‏ ‎and‏ ‎examined ‎for‏ ‎trustworthy ‎behavior.

Additional‏ ‎Recommendations

📌 Due ‎Diligence‏ ‎in‏ ‎Vendor ‎Selection: Choose‏ ‎vendors ‎with ‎secure ‎by ‎design‏ ‎principles ‎and‏ ‎hold‏ ‎them ‎accountable ‎for‏ ‎their ‎software’s‏ ‎default ‎configurations.

📌 Audit ‎Remote ‎Access‏ ‎Software: Identify‏ ‎authorized ‎remote‏ ‎access ‎software‏ ‎and ‎apply ‎best ‎practices ‎for‏ ‎securing‏ ‎remote ‎access.

📌 Restrict‏ ‎Outbound ‎Internet‏ ‎Connectivity: ‎Limit ‎internet ‎access ‎for‏ ‎back-end‏ ‎servers‏ ‎and ‎monitor‏ ‎outbound ‎connectivity‏ ‎for ‎essential‏ ‎services.

Читать: 2+ мин
logo Overkill Security

Unveiling the Invisible: LOTL and LOLbins Detection Techniques

Comprehensive ‎and‏ ‎Detailed ‎Logging

📌 Implementation ‎of ‎Comprehensive ‎Logging:‏ ‎Establishing ‎extensive‏ ‎and‏ ‎detailed ‎logging ‎mechanisms‏ ‎is ‎crucial.‏ ‎This ‎includes ‎enabling ‎logging‏ ‎for‏ ‎all ‎security-related‏ ‎events ‎across‏ ‎platforms ‎and ‎ensuring ‎that ‎logs‏ ‎are‏ ‎aggregated ‎in‏ ‎a ‎secure,‏ ‎centralized ‎location ‎to ‎prevent ‎tampering‏ ‎by‏ ‎adversaries.

📌 Cloud‏ ‎Environment ‎Logging: For‏ ‎cloud ‎environments,‏ ‎it's ‎essential‏ ‎to‏ ‎enable ‎logging‏ ‎for ‎control ‎plane ‎operations ‎and‏ ‎configure ‎logging‏ ‎policies‏ ‎for ‎all ‎cloud‏ ‎services, ‎even‏ ‎those ‎not ‎actively ‎used,‏ ‎to‏ ‎detect ‎potential‏ ‎unauthorized ‎activities.

📌 Verbose‏ ‎Logging ‎for ‎Security ‎Events: ‎Enabling‏ ‎verbose‏ ‎logging ‎for‏ ‎events ‎such‏ ‎as ‎command ‎lines, ‎PowerShell ‎activities,‏ ‎and‏ ‎WMI‏ ‎event ‎tracing‏ ‎provides ‎deeper‏ ‎visibility ‎into‏ ‎tool‏ ‎usage ‎within‏ ‎the ‎environment, ‎aiding ‎in ‎the‏ ‎detection ‎of‏ ‎malicious‏ ‎LOTL ‎activities.

Establishing ‎Behavioral‏ ‎Baselines

📌 Maintaining ‎Baselines: Continuously‏ ‎maintaining ‎a ‎baseline ‎of‏ ‎installed‏ ‎tools, ‎software,‏ ‎account ‎behavior,‏ ‎and ‎network ‎traffic ‎allows ‎defenders‏ ‎to‏ ‎identify ‎deviations‏ ‎that ‎may‏ ‎indicate ‎malicious ‎activity.

📌 Network ‎Monitoring ‎and‏ ‎Threat‏ ‎Hunting:‏ ‎Enhancing ‎network‏ ‎monitoring, ‎extending‏ ‎log ‎storage,‏ ‎and‏ ‎deepening ‎threat‏ ‎hunting ‎tactics ‎are ‎vital ‎for‏ ‎uncovering ‎prolonged‏ ‎adversary‏ ‎presence ‎leveraging ‎LOTL‏ ‎techniques.

Automation ‎and‏ ‎Efficiency

📌 Leveraging ‎Automation: Using ‎automation ‎to‏ ‎review‏ ‎logs ‎continually‏ ‎and ‎compare‏ ‎current ‎activities ‎against ‎established ‎behavioral‏ ‎baselines‏ ‎increases ‎the‏ ‎efficiency ‎of‏ ‎hunting ‎activities, ‎especially ‎focusing ‎on‏ ‎privileged‏ ‎accounts‏ ‎and ‎critical‏ ‎assets.

Reducing ‎Alert‏ ‎Noise

📌 Refining ‎Monitoring‏ ‎Tools: It's‏ ‎important ‎to‏ ‎refine ‎monitoring ‎tools ‎and ‎alerting‏ ‎mechanisms ‎to‏ ‎differentiate‏ ‎between ‎typical ‎administrative‏ ‎actions ‎and‏ ‎potential ‎threat ‎behavior, ‎thus‏ ‎focusing‏ ‎on ‎alerts‏ ‎that ‎most‏ ‎likely ‎indicate ‎suspicious ‎activities.

Leveraging ‎UEBA

📌 User‏ ‎and‏ ‎Entity ‎Behavior‏ ‎Analytics ‎(UEBA):‏ ‎Employing ‎UEBA ‎to ‎analyze ‎and‏ ‎correlate‏ ‎activities‏ ‎across ‎multiple‏ ‎data ‎sources‏ ‎helps ‎identify‏ ‎potential‏ ‎security ‎incidents‏ ‎that ‎may ‎be ‎missed ‎by‏ ‎traditional ‎tools‏ ‎and‏ ‎profiles ‎user ‎behavior‏ ‎to ‎detect‏ ‎insider ‎threats ‎or ‎compromised‏ ‎accounts.

Cloud-Specific‏ ‎Considerations

📌 Cloud ‎Environment‏ ‎Architecting: Architecting ‎cloud‏ ‎environments ‎to ‎ensure ‎proper ‎separation‏ ‎of‏ ‎enclaves ‎and‏ ‎enabling ‎additional‏ ‎logs ‎within ‎the ‎environment ‎provide‏ ‎more‏ ‎insight‏ ‎into ‎potential‏ ‎LOTL ‎activities.

Читать: 3 мин
logo Overkill Security

The Art of Digital Foraging: Deep Dive into LOTL

Living ‎Off‏ ‎the ‎Land ‎(LOTL) ‎techniques ‎represent‏ ‎a ‎sophisticated‏ ‎cyber‏ ‎threat ‎strategy ‎where‏ ‎attackers ‎exploit‏ ‎native ‎tools ‎and ‎processes‏ ‎already‏ ‎present ‎within‏ ‎a ‎target's‏ ‎environment. ‎This ‎approach ‎allows ‎them‏ ‎to‏ ‎blend ‎seamlessly‏ ‎with ‎normal‏ ‎system ‎activities, ‎significantly ‎reducing ‎the‏ ‎likelihood‏ ‎of‏ ‎detection. ‎The‏ ‎effectiveness ‎of‏ ‎LOTL ‎lies‏ ‎in‏ ‎its ‎ability‏ ‎to ‎utilize ‎tools ‎that ‎are‏ ‎not ‎only‏ ‎already‏ ‎deployed ‎but ‎are‏ ‎also ‎trusted‏ ‎within ‎the ‎environment, ‎thereby‏ ‎circumventing‏ ‎traditional ‎security‏ ‎measures ‎that‏ ‎might ‎block ‎or ‎flag ‎unfamiliar‏ ‎or‏ ‎malicious ‎software.

LOTL‏ ‎techniques ‎are‏ ‎not ‎confined ‎to ‎a ‎single‏ ‎type‏ ‎of‏ ‎environment; ‎they‏ ‎are ‎effectively‏ ‎used ‎across‏ ‎on-premises,‏ ‎cloud, ‎hybrid,‏ ‎Windows, ‎Linux, ‎and ‎macOS ‎environments.‏ ‎This ‎versatility‏ ‎is‏ ‎partly ‎due ‎to‏ ‎the ‎attackers'‏ ‎preference ‎to ‎avoid ‎the‏ ‎costs‏ ‎and ‎efforts‏ ‎associated ‎with‏ ‎developing ‎and ‎deploying ‎custom ‎tools.‏ ‎Instead,‏ ‎they ‎leverage‏ ‎the ‎ubiquity‏ ‎and ‎inherent ‎trust ‎of ‎native‏ ‎tools‏ ‎to‏ ‎carry ‎out‏ ‎their ‎operations.

Windows‏ ‎Environments

In ‎Windows‏ ‎environments,‏ ‎which ‎are‏ ‎prevalent ‎in ‎corporate ‎and ‎enterprise‏ ‎settings, ‎LOTL‏ ‎techniques‏ ‎are ‎particularly ‎observed‏ ‎due ‎to‏ ‎the ‎widespread ‎use ‎and‏ ‎trust‏ ‎in ‎the‏ ‎operating ‎system's‏ ‎native ‎tools, ‎services, ‎and ‎features.‏ ‎Attackers‏ ‎exploit ‎these‏ ‎components, ‎knowing‏ ‎they ‎are ‎ubiquitous ‎and ‎generally‏ ‎trusted,‏ ‎making‏ ‎their ‎malicious‏ ‎activities ‎less‏ ‎likely ‎to‏ ‎be‏ ‎detected.

macOS ‎and‏ ‎Hybrid ‎Environments

In ‎macOS ‎environments, ‎the‏ ‎concept ‎of‏ ‎LOTL‏ ‎is ‎often ‎referred‏ ‎to ‎as‏ ‎"living ‎off ‎the ‎orchard."‏ ‎Here,‏ ‎attackers ‎exploit‏ ‎native ‎scripting‏ ‎environments, ‎built-in ‎tools, ‎system ‎configurations,‏ ‎and‏ ‎binaries, ‎known‏ ‎as ‎"LOOBins."‏ ‎The ‎strategy ‎is ‎similar ‎to‏ ‎that‏ ‎in‏ ‎Windows ‎environments‏ ‎but ‎tailored‏ ‎to ‎the‏ ‎unique‏ ‎aspects ‎of‏ ‎macOS. ‎In ‎hybrid ‎environments, ‎which‏ ‎combine ‎physical‏ ‎and‏ ‎cloud-based ‎systems, ‎attackers‏ ‎are ‎increasingly‏ ‎leveraging ‎sophisticated ‎LOTL ‎techniques‏ ‎to‏ ‎exploit ‎both‏ ‎types ‎of‏ ‎systems.

Resources ‎and ‎Known ‎Exploits

There ‎are‏ ‎several‏ ‎resources ‎provide‏ ‎comprehensive ‎lists‏ ‎and ‎information ‎to ‎understand ‎the‏ ‎specific‏ ‎tools‏ ‎and ‎binaries‏ ‎exploited ‎by‏ ‎attackers:

📌The ‎LOLBAS‏ ‎project’s‏ ‎GitHub ‎repository‏ ‎offers ‎insights ‎into ‎Living ‎Off‏ ‎The ‎Land‏ ‎Binaries,‏ ‎Scripts, ‎and ‎Libraries.

📌Websites‏ ‎like ‎http://gtfobins.github.io, http://loobins.io, and‏ ‎http://loldrivers.io provide ‎lists ‎of ‎Unix,‏ ‎macOS,‏ ‎and ‎Windows‏ ‎binaries, ‎respectively,‏ ‎known ‎to ‎be ‎used ‎in‏ ‎LOTL‏ ‎techniques.

Third-Party ‎Remote‏ ‎Access ‎Software

Beyond‏ ‎native ‎tools, ‎cyber ‎threat ‎actors‏ ‎also‏ ‎exploit‏ ‎third-party ‎remote‏ ‎access ‎software,‏ ‎such ‎as‏ ‎remote‏ ‎monitoring ‎and‏ ‎management, ‎endpoint ‎configuration ‎management, ‎EDR,‏ ‎patch ‎management,‏ ‎mobile‏ ‎device ‎management ‎systems,‏ ‎and ‎database‏ ‎management ‎tools. ‎These ‎tools,‏ ‎designed‏ ‎to ‎administer‏ ‎and ‎protect‏ ‎domains, ‎possess ‎built-in ‎functionality ‎that‏ ‎can‏ ‎execute ‎commands‏ ‎across ‎all‏ ‎client ‎hosts ‎in ‎a ‎network,‏ ‎including‏ ‎critical‏ ‎hosts ‎like‏ ‎domain ‎controllers.‏ ‎The ‎high‏ ‎privileges‏ ‎these ‎tools‏ ‎require ‎for ‎system ‎administration ‎make‏ ‎them ‎attractive‏ ‎targets‏ ‎for ‎attackers ‎looking‏ ‎to ‎exploit‏ ‎them ‎for ‎LOTL ‎techniques.

Читать: 3+ мин
logo Overkill Security

Double-Edged Sword: Pros and Cons of LOTL Techniques

The ‎document‏ ‎"Joint ‎Guidance: ‎Identifying ‎and ‎Mitigating‏ ‎LOTL ‎Techniques"‏ ‎outlines‏ ‎a ‎comprehensive ‎approach‏ ‎to ‎enhance‏ ‎cybersecurity ‎defenses ‎against ‎LOTL‏ ‎tactics.‏ ‎This ‎approach‏ ‎includes ‎recommendations‏ ‎for ‎detection ‎and ‎logging, ‎centralized‏ ‎logging,‏ ‎behavior ‎analytics,‏ ‎anomaly ‎detection,‏ ‎and ‎proactive ‎hunting. ‎

While ‎the‏ ‎proposed‏ ‎solutions‏ ‎offer ‎significant‏ ‎benefits ‎in‏ ‎enhancing ‎cybersecurity‏ ‎defenses‏ ‎against ‎LOTL‏ ‎tactics, ‎organizations ‎must ‎also ‎consider‏ ‎the ‎potential‏ ‎drawbacks‏ ‎and ‎limitations. ‎Effective‏ ‎implementation ‎requires‏ ‎careful ‎planning, ‎resource ‎allocation,‏ ‎and‏ ‎continuous ‎adjustment‏ ‎to ‎address‏ ‎the ‎evolving ‎threat ‎landscape.

Benefits

📌 Enhanced ‎Detection‏ ‎Capabilities:‏ ‎Implementing ‎comprehensive‏ ‎and ‎verbose‏ ‎logging, ‎along ‎with ‎centralized ‎logging,‏ ‎significantly‏ ‎enhances‏ ‎an ‎organization's‏ ‎ability ‎to‏ ‎detect ‎malicious‏ ‎activities.‏ ‎This ‎approach‏ ‎enables ‎behavior ‎analytics, ‎anomaly ‎detection,‏ ‎and ‎proactive‏ ‎hunting,‏ ‎providing ‎a ‎robust‏ ‎defense ‎against‏ ‎LOTL ‎techniques.

📌 Improved ‎Security ‎Posture: The‏ ‎guidance‏ ‎recommends ‎hardening‏ ‎measures ‎such‏ ‎as ‎applying ‎vendor-provided ‎or ‎industry-standard‏ ‎hardening‏ ‎guidance, ‎minimizing‏ ‎running ‎services,‏ ‎and ‎securing ‎network ‎communications. ‎These‏ ‎measures‏ ‎reduce‏ ‎the ‎attack‏ ‎surface ‎and‏ ‎improve ‎the‏ ‎overall‏ ‎security ‎posture‏ ‎of ‎organizations.

📌 Increased ‎Visibility: Centralized ‎logging ‎allows‏ ‎for ‎the‏ ‎maintenance‏ ‎of ‎longer ‎log‏ ‎histories, ‎which‏ ‎is ‎crucial ‎for ‎identifying‏ ‎patterns‏ ‎and ‎anomalies‏ ‎over ‎time.‏ ‎This ‎increased ‎visibility ‎into ‎network‏ ‎and‏ ‎system ‎activities‏ ‎aids ‎in‏ ‎the ‎early ‎detection ‎of ‎potential‏ ‎threats.

📌 Efficient‏ ‎Use‏ ‎of ‎Resources:‏ ‎Automation ‎of‏ ‎log ‎review‏ ‎and‏ ‎hunting ‎activities‏ ‎increases ‎the ‎efficiency ‎of ‎these‏ ‎processes, ‎enabling‏ ‎organizations‏ ‎to ‎better ‎utilize‏ ‎their ‎resources.‏ ‎Automated ‎systems ‎can ‎compare‏ ‎current‏ ‎activities ‎against‏ ‎established ‎behavioral‏ ‎baselines, ‎focusing ‎on ‎privileged ‎accounts‏ ‎and‏ ‎critical ‎assets.

📌 Strategic‏ ‎Network ‎Segmentation:‏ ‎Enhancing ‎network ‎segmentation ‎and ‎monitoring‏ ‎limits‏ ‎lateral‏ ‎movement ‎possibilities‏ ‎for ‎threat‏ ‎actors, ‎reducing‏ ‎the‏ ‎"blast ‎radius"‏ ‎of ‎accessible ‎systems ‎in ‎the‏ ‎event ‎of‏ ‎a‏ ‎compromise. ‎This ‎strategic‏ ‎approach ‎helps‏ ‎contain ‎threats ‎and ‎minimizes‏ ‎potential‏ ‎damage.

Drawbacks/Limitations

📌 Resource ‎Intensiveness: Implementing‏ ‎the ‎recommended‏ ‎detection ‎and ‎hardening ‎measures ‎can‏ ‎be‏ ‎resource-intensive, ‎requiring‏ ‎significant ‎investment‏ ‎in ‎technology ‎and ‎personnel ‎training.‏ ‎Smaller‏ ‎organizations‏ ‎may ‎find‏ ‎it ‎challenging‏ ‎to ‎allocate‏ ‎the‏ ‎necessary ‎resources.

📌 Complexity‏ ‎of ‎Implementation: Establishing ‎and ‎maintaining ‎the‏ ‎infrastructure ‎for‏ ‎comprehensive‏ ‎logging ‎and ‎analysis‏ ‎can ‎be‏ ‎complex. ‎Organizations ‎may ‎face‏ ‎challenges‏ ‎in ‎configuring‏ ‎and ‎managing‏ ‎these ‎systems ‎effectively, ‎especially ‎in‏ ‎diverse‏ ‎and ‎dynamic‏ ‎IT ‎environments.

📌 Potential‏ ‎for ‎Alert ‎Fatigue: While ‎reducing ‎alert‏ ‎noise‏ ‎is‏ ‎a ‎goal‏ ‎of ‎the‏ ‎proposed ‎solutions,‏ ‎the‏ ‎sheer ‎volume‏ ‎of ‎logs ‎and ‎alerts ‎generated‏ ‎by ‎comprehensive‏ ‎logging‏ ‎and ‎anomaly ‎detection‏ ‎systems ‎can‏ ‎lead ‎to ‎alert ‎fatigue‏ ‎among‏ ‎security ‎personnel,‏ ‎potentially ‎causing‏ ‎critical ‎alerts ‎to ‎be ‎overlooked.

📌 False‏ ‎Positives‏ ‎and ‎Negatives:‏ ‎Behavior ‎analytics‏ ‎and ‎anomaly ‎detection ‎systems ‎may‏ ‎generate‏ ‎false‏ ‎positives ‎and‏ ‎negatives, ‎leading‏ ‎to ‎unnecessary‏ ‎investigations‏ ‎or ‎missed‏ ‎threats. ‎Fine-tuning ‎these ‎systems ‎to‏ ‎minimize ‎inaccuracies‏ ‎requires‏ ‎ongoing ‎effort ‎and‏ ‎expertise.

📌 Dependence ‎on‏ ‎Vendor ‎Support: ‎The ‎effectiveness‏ ‎of‏ ‎hardening ‎measures‏ ‎and ‎secure‏ ‎configurations ‎often ‎depends ‎on ‎the‏ ‎support‏ ‎and ‎guidance‏ ‎provided ‎by‏ ‎software ‎vendors. ‎Organizations ‎may ‎face‏ ‎limitations‏ ‎if‏ ‎vendors ‎do‏ ‎not ‎prioritize‏ ‎security ‎or‏ ‎provide‏ ‎adequate ‎hardening‏ ‎guidelines.

Читать: 3+ мин
logo Overkill Security

Surviving the Digital Wilderness: An Introduction to LOTL and LOLbins

The ‎document‏ ‎titled ‎"Joint ‎Guidance: ‎Identifying ‎and‏ ‎Mitigating ‎LOTL‏ ‎Techniques"‏ ‎provides ‎guidance ‎on‏ ‎how ‎organizations‏ ‎can ‎better ‎protect ‎themselves‏ ‎against‏ ‎Living ‎Off‏ ‎the ‎Land‏ ‎(LOTL) ‎techniques. ‎These ‎techniques ‎involve‏ ‎cyber‏ ‎threat ‎actors‏ ‎leveraging ‎legitimate‏ ‎tools ‎and ‎software ‎present ‎within‏ ‎the‏ ‎target's‏ ‎environment ‎to‏ ‎conduct ‎malicious‏ ‎activities, ‎making‏ ‎detection‏ ‎more ‎challenging.‏ ‎This ‎approach ‎aims ‎to ‎reduce‏ ‎the ‎availability‏ ‎of‏ ‎legitimate ‎operating ‎system‏ ‎and ‎application‏ ‎tools ‎(LOLBins) ‎that ‎threat‏ ‎actors‏ ‎can ‎exploit.

The‏ ‎guidance ‎is‏ ‎based ‎on ‎insights ‎from ‎a‏ ‎joint‏ ‎advisory, ‎red‏ ‎team ‎assessments‏ ‎by ‎the ‎authoring ‎agencies, ‎authoring‏ ‎agency‏ ‎incident‏ ‎response ‎engagements‏ ‎and ‎collaborative‏ ‎efforts ‎with‏ ‎the‏ ‎industry. ‎It‏ ‎stresses ‎the ‎importance ‎of ‎establishing‏ ‎and ‎maintaining‏ ‎an‏ ‎infrastructure ‎that ‎collects‏ ‎and ‎organizes‏ ‎data ‎to ‎help ‎defenders‏ ‎detect‏ ‎LOTL ‎techniques,‏ ‎tailored ‎to‏ ‎each ‎organization's ‎risk ‎landscape ‎and‏ ‎resource‏ ‎capabilities.

Main ‎keypoints

📌 Authoring‏ ‎Agencies: The ‎guide‏ ‎is ‎authored ‎by ‎major ‎cybersecurity‏ ‎and‏ ‎national‏ ‎security ‎agencies‏ ‎from ‎the‏ ‎U.S., ‎Australia,‏ ‎Canada,‏ ‎the ‎United‏ ‎Kingdom, ‎and ‎New ‎Zealand, ‎focusing‏ ‎on ‎common‏ ‎LOTL‏ ‎techniques ‎and ‎gaps‏ ‎in ‎cyber‏ ‎defense ‎capabilities.

📌 LOTL ‎Techniques: Cyber ‎threat‏ ‎actors‏ ‎use ‎LOTL‏ ‎techniques ‎to‏ ‎compromise ‎and ‎maintain ‎access ‎to‏ ‎critical‏ ‎infrastructure, ‎leveraging‏ ‎legitimate ‎system‏ ‎tools ‎and ‎processes ‎to ‎blend‏ ‎in‏ ‎with‏ ‎normal ‎activities‏ ‎and ‎evade‏ ‎detection.

📌 Challenges ‎in‏ ‎Detection: Many‏ ‎organizations ‎struggle‏ ‎to ‎detect ‎malicious ‎LOTL ‎activity‏ ‎due ‎to‏ ‎inadequate‏ ‎security ‎and ‎network‏ ‎management ‎practices,‏ ‎lack ‎of ‎conventional ‎indicators‏ ‎of‏ ‎compromise, ‎and‏ ‎the ‎difficulty‏ ‎of ‎distinguishing ‎malicious ‎activity ‎from‏ ‎legitimate‏ ‎behavior.

📌 Detection ‎Best‏ ‎Practices: Recommendations ‎include‏ ‎implementing ‎detailed ‎logging, ‎establishing ‎activity‏ ‎baselines,‏ ‎utilizing‏ ‎automation ‎for‏ ‎continuous ‎review,‏ ‎reducing ‎alert‏ ‎noise,‏ ‎and ‎leveraging‏ ‎user ‎and ‎entity ‎behavior ‎analytics‏ ‎(UEBA).

📌 Hardening ‎Best‏ ‎Practices: Suggestions‏ ‎involve ‎applying ‎vendor-recommended‏ ‎security ‎hardening‏ ‎guidance, ‎implementing ‎application ‎allowlisting,‏ ‎enhancing‏ ‎network ‎segmentation‏ ‎and ‎monitoring,‏ ‎and ‎enforcing ‎authentication ‎and ‎authorization‏ ‎controls.

📌 Software‏ ‎Manufacturer ‎Recommendations: The‏ ‎guide ‎urges‏ ‎software ‎manufacturers ‎to ‎adopt ‎secure‏ ‎by‏ ‎design‏ ‎principles ‎to‏ ‎reduce ‎exploitable‏ ‎flaws ‎that‏ ‎enable‏ ‎LOTL ‎techniques.‏ ‎This ‎includes ‎disabling ‎unnecessary ‎protocols,‏ ‎limiting ‎network‏ ‎reachability,‏ ‎restricting ‎elevated ‎privileges,‏ ‎enabling ‎phishing-resistant‏ ‎MFA ‎by ‎default, ‎providing‏ ‎secure‏ ‎logging, ‎eliminating‏ ‎default ‎passwords,‏ ‎and ‎limiting ‎dynamic ‎code ‎execution.

Secondary‏ ‎keypoints

📌 The‏ ‎guidance ‎is‏ ‎aimed ‎at‏ ‎helping ‎organizations ‎mitigate ‎Living ‎Off‏ ‎The‏ ‎Land‏ ‎(LOTL) ‎techniques,‏ ‎where ‎threat‏ ‎actors ‎use‏ ‎legitimate‏ ‎tools ‎within‏ ‎the ‎environment ‎for ‎malicious ‎purposes.

📌 Organizations‏ ‎are ‎advised‏ ‎to‏ ‎exercise ‎due ‎diligence‏ ‎when ‎selecting‏ ‎software, ‎devices, ‎cloud ‎service‏ ‎providers,‏ ‎and ‎managed‏ ‎service ‎providers,‏ ‎choosing ‎those ‎with ‎secure ‎by‏ ‎design‏ ‎principles.

📌 Vendors ‎should‏ ‎be ‎held‏ ‎accountable ‎for ‎their ‎software's ‎default‏ ‎configurations‏ ‎and‏ ‎adherence ‎to‏ ‎the ‎principle‏ ‎of ‎least‏ ‎privilege.

📌 Software‏ ‎manufacturers ‎are‏ ‎encouraged ‎to ‎reduce ‎exploitable ‎flaws‏ ‎and ‎take‏ ‎ownership‏ ‎of ‎their ‎customers'‏ ‎security ‎outcomes.

📌 Network‏ ‎defense ‎strategies ‎include ‎monitoring‏ ‎for‏ ‎unusual ‎system‏ ‎interactions, ‎privilege‏ ‎escalations, ‎and ‎deviations ‎from ‎normal‏ ‎administrative‏ ‎actions.

📌 Organizations ‎should‏ ‎establish ‎and‏ ‎maintain ‎an ‎infrastructure ‎for ‎collecting‏ ‎and‏ ‎organizing‏ ‎data ‎to‏ ‎detect ‎LOTL‏ ‎techniques, ‎tailored‏ ‎to‏ ‎their ‎specific‏ ‎risk ‎landscape ‎and ‎resource ‎capabilities

Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048