Ataki typu „Living off the Land” (LOTL)

Ataki Living Off the Land (LOL, LOTL, LOLbin, LOLBAS…) to rodzaj cyberataków, w których wykorzystywane są legalne, istniejące już w systemie pliki binarne, skrypty i biblioteki, ale w złych intencjach. Dzięki unikaniu wprowadzania zewnętrznych, potencjalnie wykrywalnych narzędzi, złośliwe działania mogą łatwo zlewać się z normalną aktywnością systemu. 

Mimo że zespoły bezpieczeństwa znają ataki LOTL, ich kluczowa rola we współczesnych naruszeniach jest wciąż bagatelizowana. Niemal każdy poważny incydent, który badamy – od ransomware po zaawansowane grupy APT – korzysta z tych technik. W przypadku ransomware, choć uwaga skupia się często na końcowym szyfrowaniu danych, sednem ataku jest ręczna operacja hakowania przeprowadzana przez tzw. afiliantów. Techniki LOTL stanowią podstawę tych działań – odpowiadają za eskalację uprawnień, przemieszczanie się w sieci, eksfiltrację danych czy masowe automatyczne wdrożenia, np. rozprzestrzenianie ransomware przez GPO. Grupy APT stosują podobne taktyki LOTL w celu utrzymania trwałego dostępu i szpiegostwa. LOTL to fundament współczesnego krajobrazu zagrożeń, codzienne narzędzie atakujących na każdym poziomie zaawansowania.

W tym artykule wyjaśniamy, dlaczego te ataki są tak popularne, jak działają i jakie są skuteczne metody obrony przed nimi.

Powody popularności ataków LOTL

Współczesne systemy operacyjne stały się niezwykle potężnymi platformami, oferującymi ogromną liczbę wbudowanych narzędzi i funkcjonalności. Trudno dziś wyobrazić sobie zarządzanie środowiskiem Windows bez możliwości, jakie daje PowerShell. To jednak nie jest problem wyłącznie Windowsa – wszystkie zaawansowane platformy, w tym Linux/UNIX i macOS, są podatne na ataki LOTL. Ale jakie są trzy główne powody rosnącej popularności tej techniki?

1. Wykorzystanie tego, co już jest dostępne

Ataki LOTL korzystają z gotowych, zaufanych narzędzi już obecnych w systemach. Wiele z nich, takich jak PsExec czy PowerShell, jest często jawnie dozwolonych, z otwartymi portami, dla celów administracyjnych. Co więcej, te narzędzia są zwykle podpisane przez Microsoft lub innych zaufanych dostawców. Ponieważ działają zgodnie z przeznaczeniem, nie ma mowy o ich „naprawie”.

Atakujący nie muszą inwestować w dodatkowe oprogramowanie – mają wszystko pod ręką. Dzięki dostępnej dokumentacji mogą łatwo nauczyć się ich używać. Dodatkowo, doświadczeni administratorzy, którzy mają głęboką znajomość tych narzędzi, stają się atrakcyjnymi kandydatami dla grup ransomware poszukujących współpracowników (afiliantów).

2. Narzędzia na każdy etap ataku

Techniki LOTL są niezwykle uniwersalne i można je wykorzystać na każdym etapie ataku – od wstępnego rozpoznania, przez przemieszczanie się w sieci, eksfiltrację danych, aż po szyfrowanie. Niektóre narzędzia, jak PowerShell, są szczególnie elastyczne i można je dostosować do różnych zadań. Czytelne, tekstowe polecenia pozwalają atakującym na bieżąco modyfikować swoje działania, dostosowując się do zmieniającego się środowiska.

Przykładowo, napastnik może użyć polecenia net, aby odkryć udziały sieciowe, następnie copy, aby przenieść pliki, a na końcu certutil, aby zakodować i wyeksfiltrować dane. Nasze badanie ShrinkLocker pokazuje, jak ransomware może sparaliżować całe firmy, używając wyłącznie wbudowanych narzędzi Windows.

3. Wtopienie się w normalną aktywność

Jedną z największych zalet ataków LOTL jest możliwość idealnego wmieszania się w standardową aktywność systemu. Dzięki wykorzystaniu legalnych narzędzi omijają tradycyjne rozwiązania bezpieczeństwa, które opierają się na wykrywaniu sygnatur i znanych złośliwych plików. Kluczowa różnica tkwi w intencji stojącej za ich użyciem.

Na przykład, atakujący może użyć PowerShell do utworzenia zaplanowanego zadania – co jest przecież typową czynnością administracyjną. Choć systemy EDR/XDR mogą to zarejestrować, samo wykrycie nie wystarczy, aby zablokować działanie. W efekcie, zamiast jednoznacznie „złośliwych” zachowań, mamy do czynienia z „podejrzanymi” – co wymaga bardziej zaawansowanej analizy.

To zmusza do odejścia od prostego wykrywania opartego na sygnaturach na rzecz analizy behawioralnej, threat intelligence i głębokiego zrozumienia typowych działań administracyjnych. Analitycy muszą badać kontekst działań, wykraczając poza automatyczne alerty.

Długi czas utrzymywania się ataków LOTL pozwala napastnikom na rozbudowę operacji i zadanie poważnych szkód. W przypadku ransomware, affiliates mogą spędzić tygodnie lub miesiące na penetracji sieci przed uruchomieniem szyfrowania, atakując całą infrastrukturę, a nie pojedyncze maszyny. Ta sama taktyka umożliwia też długotrwałe operacje szpiegowskie, w których atakujący utrzymują dostęp i stopniowo kradną dane.

Kategorie ataków LOTL

Istnieje wiele niejasnych informacji na temat ataków LOTL. Zanim przejdziemy do różnych typów, wyjaśnijmy kilka powszechnych nieporozumień i omówmy, czym one nie są.

Narzędzia takie jak Mimikatz, które są specjalnie zaprojektowane do złośliwych zadań, nie są uważane za LOTL. Jednak granica między LOTL a złośliwym oprogramowaniem może się zacierać. Na przykład, podczas gdy sideloading DLL wykorzystujący systemowe biblioteki jest zgodny z zasadami LOTL, użycie go do wykonania całkowicie niestandardowej, złośliwej biblioteki wkracza na teren tradycyjnego złośliwego oprogramowania. W tym scenariuszu źródło ładowania – legalna aplikacja – jest narzędziem systemowym, ale ładowany plik binarny to zazwyczaj zewnętrzna, złośliwa biblioteka. Zatem sam proces ładowania jest LOTL, ale ładowany moduł już nie. To ta sama sytuacja co użycie Rundll32.exe, narzędzia systemowego, do uruchomienia złośliwego zewnętrznego DLL.

Ważne jest również rozróżnienie LOTL od ataków bezplikowych (fileless), które, choć powiązane, nie są zamienne. LOTL podkreśla źródło narzędzi – nadużywanie legalnych funkcjonalności systemowych – podczas gdy ataki bezplikowe skupiają się na metodzie wykonania, mając na celu uniknięcie zapisu plików na dysku. Chociaż techniki LOTL często skutkują działaniami bezplikowymi, takimi jak wykonanie kodu PowerShell w pamięci, ich kluczowa różnica polega na głównym nacisku: pochodzenie narzędzia versus metoda wykonania.

Chociaż konsekwentnie podkreślamy wstępnie zainstalowany charakter narzędzi LOTL, istnieje jeden obszar, w którym robimy wyjątek. Uwzględniamy szeroko stosowane, zaufane i zazwyczaj whitelistowane narzędzia takie jak SysInternals’ Process Explorer (procexp.exe) czy PsExec (psexec.exe), mimo że nie są to domyślne komponenty. Uważamy, że ich uwzględnienie zapewnia bardziej zniuansowany i praktyczny obraz rzeczywistych wektorów ataków.

1. Bezpośrednie nadużycie narzędzi systemowych

Atakujący wykorzystują narzędzia już obecne w systemie, wydając te same polecenia co legalni użytkownicy, ale ich cele są złośliwe. Na przykład mogą użyć Remote Desktop Protocol (RDP) do poruszania się po sieci, PowerShell do uruchomienia kodu rozpoznawczego lub WMIC do zdalnego dostępu do systemów. Czasami atakujący przynoszą legalne narzędzia z zaufanych źródeł, takich jak Microsoft Store. Chociaż nie są to ściśle „wstępnie istniejące” narzędzia, te działania są podobne do ataków LOTL. Na przykład mogą pobrać QuickAssist, aby przejąć kontrolę nad komputerem ofiary pod pretekstem pomocy technicznej.

W przypadku bezpośredniego nadużycia, kontekst jest kluczowy. Solidne platformy EDR/XDR, które zapewniają korelację i minimalizują szum, muszą współpracować z analitykami bezpieczeństwa (SOC lub MDR) w celu segregacji i priorytetyzacji tych alertów.

2. Wykorzystanie niezamierzonych funkcji

Wiele narzędzi systemowych obsługuje kombinacje parametrów, które, używane w określony sposób, mogą prowadzić do niezamierzonych i potencjalnie szkodliwych konsekwencji. Atakujący często wykorzystują te kombinacje do osiągnięcia swoich celów. Na przykład legalny Teams.exe wykonuje dowolne procesy pod zaufanym binarnym plikiem podpisanym przez Microsoft, wykorzystując argument –gpu-launcher. Podobnie certutil może pobierać pliki wykonywalne, omijając typowe ograniczenia pobierania.

Inną powszechną taktyką jest nadużywanie plików binarnych lub sterowników obsługujących sideloading DLL lub niezamierzone wykonanie poleceń. Na przykład BGInfo.exe, narzędzie często używane przez administratorów do zarządzania dużymi środowiskami, może zostać zmanipulowane do wykonania skryptu VBScript odwołującego się do określonego pliku .bgi.

Ta kategoria obejmuje również niezamierzone zachowania wynikające z błędnej konfiguracji lub ustawień domyślnych. Na przykład atakujący mogą nadpisać zabezpieczenia BitLockera lub podszywać się pod wsparcie IT, wykorzystując dozwolone zewnętrzne połączenia w Microsoft Teams.

Rozwiązania bezpieczeństwa często generują alerty dla tego typu ataków LOTL, ponieważ odbiegają one od typowych wzorców użycia. Jednak aby zminimalizować fałszywe pozytywy, zaawansowane rozwiązania bezpieczeństwa skupiają się na zachowaniu załadowanego implantu, a nie na samej technice. Na przykład mogą nie alertować o sideloadingu DLL w ogóle (stosunkowo powszechnym), ale zaalarmują, gdy załadowany DLL zacznie wykonywać podejrzane lub złośliwe działania.

Lista plików binarnych i skryptów LOTL

Zamiast przedstawiać wyczerpującą listę poszczególnych narzędzi, która wymagałaby ciągłych aktualizacji, przygotowaliśmy wybór wartościowych repozytoriów. Co więcej, zakres LOTL wykracza poza pojedyncze narzędzia. Podmioty zagrażające często nadużywają technologii wyższego poziomu, takich jak GPO i Active Directory.

• https://lolol.farm/ – Repozytorium repozytoriów zawierające różne zasoby LOTL.
• https://lolbas-project.github.io/ – System Windows.
• https://www.loldrivers.io/ – Sterowniki Windows.
• https://gtfobins.github.io/ – Systemy Unix/Linux.
• https://www.loobins.io/ – System macOS.

Chociaż te repozytoria wymieniają setki narzędzi, nie są one wyczerpujące. Celowo pomijają narzędzia używane głównie do bezpośredniego nadużycia, takie jak PsExec i podstawowe polecenia PowerShell. Repozytoria te koncentrują się na narzędziach posiadających nieoczekiwane funkcjonalności, często zaliczane do kategorii „Niezamierzone funkcje narzędzi” w atakach LOTL.

Chociaż istnieje wiele narzędzi, które mogą być nadużywane, te 10 najczęściej używanych narzędzi Windows obserwujemy podczas naszych rzeczywistych dochodzeń:

• Remote Desktop Protocol (RDP): Zaprojektowany do legalnego dostępu zdalnego, często jest przejmowany w celu uzyskania kontroli nad systemami i przemieszczania się w sieci.
• PowerShell (+ VBScript): Potężne języki skryptowe są ulubionym narzędziem administratorów (i atakujących) ze względu na ich wszechstronność. Złożoność wynika z kilku czynników. Po pierwsze, wykonanie kodu PowerShell w domyślnej instalacji Windows może być osiągnięte na wiele sposobów. Po drugie, PowerShell wykracza poza swoje natywne polecenia, pozwalając na interakcję z obiektami COM, frameworkiem .NET, API Win32 i innymi.

  
  Podobne złożoności istnieją w przypadku VBScript i pokrewnych technologii. Makra Office, cscript.exe/wscript.exe i bardziej egzotyczne metody jak mshta.exe (HTA) oferują mnóstwo opcji wykonania kodu.

• WMI + WMIC.exe: Pozwala na zdalne wykonanie poleceń i zarządzanie systemem. Atakujący używają go do przemieszczania się, utrzymywania dostępu i zbierania informacji o systemie.
• Certutil.exe: To narzędzie wiersza poleceń może pobierać i kodować/dekodować pliki, pozwalając atakującym omijać ograniczenia pobierania i eksfiltrować dane.
• Regsvr32.exe: Używane do rejestrowania i wykonywania obiektów COM, często ze zdalnych lokalizacji, omijając typowe ograniczenia wykonania.
• Rundll32.exe: Wykonuje DLL, pozwalając atakującym uruchamiać złośliwy kod w ramach legalnych procesów.
• Bitsadmin.exe: Usługa BITS używana jest do pobierania plików w tle dla dyskretnego dostarczania złośliwego oprogramowania.
• SchTasks.exe: Atakujący nadużywają zaplanowanych zadań do utrzymywania dostępu i automatycznego wykonywania złośliwych skryptów.
• Net.exe + Net1.exe: Używane do rozpoznania sieciowego, zarządzania użytkownikami i innych zadań związanych z systemem i siecią.
• MSBuild.exe: Zaprojektowany do budowania aplikacji, może być nadużywany do wykonania kodu w pamięci z złośliwych plików projektu.

Jak bronić się przed atakami LOTL

Najskuteczniejszą strategią jest wielowarstwowa obrona. Kluczowe jest utwardzanie systemów, w tym rygorystyczne utwardzanie Active Directory, ścisłe stosowanie zasady najmniejszych uprawnień i regularne ćwiczenia red team. Chociaż strategie takie jak whitelisting aplikacji brzmią obiecująco, ich praktyczna implementacja jest często trudna.

Solidne platformy ochrony punktów końcowych, takie jak Bitdefender GravityZone, zawierają wiele warstw zaprojektowanych do blokowania lub wykrywania ataków LOTL. Na przykład Process Protection monitoruje anomalie w zachowaniu procesów, a Anomaly Detection używa modeli ML do identyfikacji anomalii.

Dobrze zaprojektowany system EDR/XDR wykorzystuje wykrywanie anomalii, korelację zdarzeń oraz zaawansowane algorytmy, aby jak najdokładniej określić poziom podejrzanego zachowania, przypisując mu wynik prawdopodobieństwa wskazujący na złośliwe intencje. Kluczowe znaczenie ma dedykowany zespół SOC (lub MDR), który monitoruje i analizuje zgłoszone podejrzane zdarzenia. Celem jest dostarczenie analitykom bezpieczeństwa wystarczającego kontekstu, aby mogli ocenić, czy dane działanie jest złośliwe, czy nieszkodliwe. Ocena ta ma charakter probabilistyczny, a nie deterministyczny, ponieważ intencje związane z użyciem legalnych narzędzi często znajdują się w szarej strefie. Analitycy muszą rozważyć dostępne dowody i kontekst, aby skutecznie priorytetyzować i reagować na najpoważniejsze zagrożenia.