Хроники кибер-безопасника

Хроники кибер-безопасника 

Ничто так не говорит о ИБ, как сотни ИБ продуктов

115subscribers

134posts

Искусство цифрового фуражирования: Глубокое погружение в LOTL

Методы LOTL представляют собой стратегию киберугроз, при которой злоумышленники используют нативные инструменты и процессы, уже присутствующие в среде атакуемой цели. Такой подход позволяет органично сочетаться с обычной деятельностью системы, значительно снижая вероятность обнаружения. Эффективность LOTL заключается в её способности использовать инструменты, которые не только уже развёрнуты, но и пользуются доверием в среде, тем самым обходя традиционные меры безопасности, которые могут блокировать или помечать незнакомое или вредоносное программное обеспечение.
Методы LOTL не ограничены каким-либо одним типом среды; они эффективно используются в локальных, облачных, гибридных средах Windows, Linux и macOS. Такая универсальность отчасти объясняется тем, что злоумышленники предпочитают избегать затрат и усилий, связанных с разработкой и развёртыванием пользовательских инструментов. Вместо этого упор делается на повсеместное применение и доверие к типовым, популярным и нативным инструментам.
Среды Windows
В корпоративных Windows-средах, методы LOTL особенно распространены из-за широкого использования нативных инструментов, служб и функций операционной системы и доверия к ним. 
macOS и гибридные среды
В этом случае злоумышленники используют нативные скрипт-среды, встроенные инструменты, системные конфигурации и бинарные файлы. Стратегия аналогична стратегии в средах Windows, но адаптирована к уникальным аспектам macOS. В гибридных средах, сочетающих физические и облачные системы, злоумышленники все чаще применяют сложные методы LOTL для использования преимуществ систем обоих типов.
Известные Эксплойты
Репозиторий проекта LOLBAS на GitHub предлагает информацию о том, как жить за счёт обычных бинарных файлов, скриптов и библиотек.
Такие веб-сайты, как gtfobins.github.io, loobins.io и loldrivers.io, предоставляют списки бинарных файлов Unix, macOS и Windows соответственно, которые используются в методах LOTL.
ПО удалённого доступа сторонних производителей
Помимо нативных инструментов, атакующие также используют ПО удалённого доступа сторонних производителей в следующих категориях: удалённый мониторинг и управление, управление конфигурацией конечных устройств, EDR, управление исправлениями, системы управления мобильными устройствами и инструменты управления базами данных. Эти инструменты, предназначенные для администрирования и защиты доменов, обладают встроенной функциональностью, которая может выполнять команды на всех клиентских узлах в сети, включая такие важные, как контроллеры домена. Также стоит обратить внимание на наборы привилегий, которые требуются этим инструментам для системного администрирования.
Creator has disabled comments for this post.
Subscription levels2

Постоянный читатель

$20.7$10.4 per month
-50%
Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Профессионал

$42 per month
Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A
Go up