چگونه از حملات Living-off-the-Land (LOTL) جلوگیری کنیم؟

چگونه از حملات Living-off-the-Land (LOTL) جلوگیری کنیم؟

6 دقیقه خواندن مبین 14 Views

حملات Living-off-the-Land با سوءاستفاده از ابزارهای قانونی سیستم انجام می‌شوند. در این مقاله با مفهوم LOTL، نمونه‌ها و روش‌های پیشگیری آشنا شوید.

مقدمه

حملات Living-off-the-Land یا به‌اختصار LOTL از قدیمی‌ترین و در عین حال خطرناک‌ترین تکنیک‌های نفوذ در دنیای امنیت سایبری محسوب می‌شوند. با وجود پیشرفت قابل‌توجه سامانه‌های دفاعی، این نوع حملات در سال‌های اخیر دوباره مورد توجه مهاجمان قرار گرفته‌اند؛ چرا که بدون استفاده از بدافزارهای سنتی و با تکیه بر ابزارهای قانونی سیستم‌عامل انجام می‌شوند و شناسایی آن‌ها بسیار دشوار است.

در این مقاله، ابتدا بررسی می‌کنیم حملات Living-off-the-Land دقیقاً چیستند، سپس نمونه‌های واقعی آن‌ها را مرور کرده و در نهایت، مهم‌ترین راهکارهای شناسایی و پیشگیری از این حملات را ارائه می‌دهیم.

حملات Living-off-the-Land (LOTL) چیست؟

حملات «زندگی خارج از زمین» (LOTL) چیز جدیدی نیستند؛ آنها از زمانی که سیستم‌های محاسباتی مدرن وجود داشته‌اند، وجود داشته‌اند. آنها نسخه دیجیتالی خانه‌داری یا زندگی خارج از شبکه در زندگی روزمره هستند. به همین منظور، حملات LOTL از ابزارها، نرم‌افزارها و سیستم‌عامل‌های داخلی قانونی برای ورود استفاده می‌کنند. مهاجمان به جای استفاده از بدافزارهای نفوذی و مستقیم‌تر، به بدافزارهای بدون فایل موجود و برنامه‌های قابل اعتماد برای سوءاستفاده از قربانیان خود متکی هستند. در نتیجه، این حملات استراتژیک اغلب بدون شناسایی ترکیب می‌شوند.

مهاجمان LOTL از طریق استفاده از کیت‌های بهره‌برداری، اعتبارنامه‌های سرقت شده و آسیب‌پذیری‌ها به شبکه دسترسی پیدا می‌کنند. این موارد را می‌توان از بازارهای وب تاریک جمع‌آوری کرد که در آنجا توسط سایر مهاجمان یا دلالان دسترسی اولیه فروخته می‌شوند. مهاجمان همچنین کمپین‌های مهندسی اجتماعی و فیشینگ را برای فریب کاربران جهت ارائه داده‌هایی که آنها را قادر به دسترسی غیرمجاز به محیط می‌کند، انجام می‌دهند.

هنگامی که مهاجمان وارد شبکه می‌شوند، با استفاده از برنامه‌های بومی مانند ابزار مدیریت ویندوز، ابزارهای CLI یا PowerShell، حملات مخربی را برای جلوگیری از شناسایی شدن، آغاز می‌کنند. برای جلوگیری از ردیابی شدن روی هارد دیسک‌ها، مهاجمان اسکریپت‌ها یا دستورات مخرب را مستقیماً در حافظه اجرا می‌کنند. تکنیک‌های دیگر LOTL شامل بدافزارهای فقط حافظه‌ای و استقرار باج‌افزار بدون فایل است که از دفاع‌های امنیتی عبور می‌کنند.

هدف این حملات، استخراج داده‌ها با فریب ابزارهای مورد اعتماد برای اجرای دستورات سیستم است. عوامل تهدید در پس‌زمینه کمین می‌کنند و از شناسایی و دفاع‌های امنیتی فرار می‌کنند. با افزایش سطح امتیاز و دسترسی، مهاجمان LOTL می‌توانند آسیب بیشتری وارد کنند.

حملات Living-off-the-Land (LOTL) چیست؟
حملات Living-off-the-Land (LOTL) چیست؟

نمونه‌هایی از حملات LOTL

حملات LOTL مؤثر هستند زیرا به عوامل مخرب اجازه می‌دهند – بدون جلب توجه – به صورت جانبی حرکت کنند و به عمق بیشتری از زیرساخت‌های سیستم نفوذ کنند. برخلاف حملات بدافزار یا باج‌افزار سنتی، این نفوذها، به دلیل استفاده از ابزارهای بومی، بلافاصله توسط ابزارهای آنتی‌ویروس و ضدبدافزار قابل شناسایی نیستند.

دو مورد از قابل توجه‌ترین حوادث LOTL شامل NotPetya و Volt Typhoon می‌شود.

  • نات‌پتیا. حمله نات‌پتیا در سال ۲۰۱۷ که اوکراین را هدف قرار داد، خسارات گسترده‌ای به زیرساخت‌های دیجیتال این کشور وارد کرد. پس از استقرار این بدافزار، فایل‌های حیاتی و رکوردهای بوت کنترل‌شده را رمزگذاری کرد و سیستم‌های حیاتی را از کار انداخت. بیش از ۳۰۰ شرکت اوکراینی تحت تأثیر قرار گرفتند، از جمله مراکز درمانی، شرکت‌های خدماتی، فرودگاه‌ها و سازمان‌های دولتی. این حمله همچنین شرکت‌های جهانی مانند FedEx و Merck را تحت تأثیر قرار داد و باعث اختلالات و قطعی‌های گسترده شد.
  • ولت تایفون. ولت تایفون یک گروه هکری تحت حمایت دولت چین است که از سال ۲۰۲۱ به طور مداوم از حملات LOTL برای هدف قرار دادن زیرساخت‌های حیاتی مستقر در ایالات متحده استفاده کرده است. این گروه معمولاً سیستم‌های هدف خود را با استفاده از دستورات بومی روی سیستم‌های قابل اعتماد، مانند Active Directory یا پیکربندی‌های شبکه، رصد می‌کند. مهاجمان آن مانند برخی دیگر از حملات LOTL به بدافزارهای تخصصی متکی نیستند. در عوض، آنها از پروتکل‌ها و سرویس‌های شبکه قانونی برای استخراج اطلاعات حساس استفاده می‌کنند. این رویکرد احتمال شناسایی را کاهش می‌دهد.

بیشتر بخوانید:

 

نحوه شناسایی و جلوگیری از حملات LOTL

از آنجا که حملات LOTL محیط موجود سیستم و ابزارهای قابل اعتماد را هدف قرار می‌دهند، شناسایی و جلوگیری از آنها می‌تواند دشوار باشد. با این حال، گام‌هایی وجود دارد که شرکت‌ها می‌توانند برای محافظت از شبکه‌های خود در برابر این حملات بردارند.

  • نظارت و تحلیل رفتار را به طور مداوم انجام دهید. شناسایی مهاجمان LOTL دشوار است زیرا آنها فقط از ابزارهای قابل اعتماد برای جلوگیری از شناسایی استفاده می‌کنند. استقرار نظارت و تحلیل رفتاری مداوم، مانند تشخیص و پاسخ به نقاط پایانی، می‌تواند به مبارزه با این حملات مخرب کمک کند. ابزارهای EDR، نقاط پایانی را برای فعالیت‌های مشکوک رصد می‌کنند و از تحلیل‌های رفتاری برای شناسایی الگوهای سوءاستفاده استفاده می‌کنند.
  • ثبت دقیق‌تر رویدادها را ایجاد کنید. متمرکز کردن و جمع‌آوری گزارش‌های رویداد برای تشخیص حملات خارج از کشور بسیار مهم است. یک مخزن متمرکز، تیم‌های امنیتی را قادر می‌سازد تا از اقدامات دیگری، از جمله جستجوهای گذشته‌نگر و شکار تهدید هدفمند، برای شناسایی فعالیت‌های غیرمعمول ثبت شده استفاده کنند. ثبت رویدادها همچنین یک نشانگر دیجیتالی ارائه می‌دهد که می‌تواند برای کمک به یک سازمان در برنامه‌ریزی استراتژی واکنش به حادثه خود در حین عبور از یک خطر یا حمله استفاده شود.
  • اقدامات شکار تهدید پیشگیرانه را اتخاذ کنید. ضعیف‌ترین نقاط حمله احتمالی یک سازمان، نیاز به دفاع پیشگیرانه بیشتری برای مقابله با آنها دارد. تیم‌ها باید شکار تهدید مداوم را برای جستجوی نشانه‌هایی از خطر با سیستم و شبکه‌ها انجام دهند. این رویکرد نه تنها معیارهای پیشرفته‌تری را در اختیار تیم‌های امنیتی قرار می‌دهد که می‌توانند الگوهای غیرعادی ظریف را مشخص کنند، بلکه به تیم‌ها اجازه می‌دهد تا بر اساس روندها و روش‌های نوظهور تهدیدات سایبری، دفاع خود را به دقت تنظیم کنند.
  • کنترل‌های دسترسی و احراز هویت قوی‌تری را پیاده‌سازی کنید. امتیازات کاربر را از طریق کنترل‌های دسترسی قوی‌تر محدود کنید تا به جلوگیری از حرکت جانبی و افزایش امتیاز کمک کنید. کنترل‌های دسترسی را پیاده‌سازی کنید که به طور خاص از نقش کاربر محافظت می‌کنند. این امر به جلوگیری از دسترسی اضافی در صورت به خطر افتادن حساب کمک می‌کند. کنترل‌های امنیتی که نیاز به احراز هویت اضافی دارند، مانند MFA، به محافظت از حساب‌هایی که ممکن است به خطر افتاده باشند نیز کمک می‌کنند. اتخاذ یک چارچوب اعتماد صفر و اصل حداقل امتیاز نیز به جلوگیری از دسترسی غیرمجاز کمک می‌کند.
  • به‌روزرسانی‌ها و وصله‌های سیستم را به طور مداوم حفظ کنید. به‌روزرسانی و وصله‌های منظم سیستم به رفع آسیب‌پذیری‌هایی که می‌توانند سیستم‌ها را در معرض حمله قرار دهند کمک می‌کند و سنگ بنای جلوگیری از حملات LOTL هستند. سازمان‌هایی که از فناوری‌های قدیمی استفاده می‌کنند که نمی‌توان آنها را به طور منظم به‌روزرسانی کرد، باید اقدامات امنیتی دیگری را برای کمک به محافظت در برابر به خطر افتادن به کار گیرند.
  • تقسیم‌بندی شبکه و نظارت بر ترافیک داخلی را فعال کنید. بخش‌بندی – که در کنار سایر ویژگی‌ها، به سازمان‌ها اجازه می‌دهد بخش‌های شبکه حاوی تهدید را جدا کنند – به ویژه در سازمان‌هایی با سیستم‌های قدیمی که ممکن است به‌روزرسانی‌ها و وصله‌ها در دسترس نباشند، مفید است. ابزارهای تشخیص و پاسخ شبکه، تیم‌ها را قادر می‌سازد تا فعالیت شبکه را ردیابی کرده و حرکات غیرمعمول را در شبکه شناسایی کنند.

جمع‌بندی

حملات Living-off-the-Land یکی از پیچیده‌ترین تهدیدات امنیت سایبری مدرن هستند؛ زیرا با استفاده از ابزارهای قانونی سیستم اجرا می‌شوند و به‌راحتی از دید راهکارهای سنتی مخفی می‌مانند. مقابله مؤثر با این حملات نیازمند ترکیبی از پایش رفتاری، ثبت دقیق لاگ‌ها، threat hunting فعال، کنترل دسترسی سخت‌گیرانه و معماری امنیتی مدرن است. سازمان‌هایی که این رویکرد جامع را اتخاذ می‌کنند، شانس بسیار بیشتری برای شناسایی و مهار حملات LOTL خواهند داشت.

بیشتر بخوانید:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *