Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
A B C D E F G H I J K L Ł M N O P R S T U V W X Z INNE

Atak Living off the Land (LotL)


Atak Living off the Land (LotL) oznacza działania, w których cyberprzestępcy korzystają z legalnego oprogramowania i funkcji dostępnych w systemie do prowadzania szkodliwych operacji.

W tym kontekście angielska fraza "living off the land" oznacza przetrwanie z użyciem tego, co jest już dostępne. Operatorzy ataków LotL przeglądają atakowane systemy w poszukiwaniu narzędzi, które można wykorzystać do osiągnięcia określonych celów. Ataki LotL często określane są mianem bezplikowych, ponieważ nie pozostawiają po sobie żadnych śladów na maszynach ofiar.

Narzędzia LotL

W większości ataków LotL cyberprzestępcy korzystają z następujących legalnych narzędzi:

  • PowerShell - platforma do uruchamiania skryptów, oferująca szeroką funkcjonalność w zakresie zarządzania systemem Windows. Atakujący używają PowerShella do uruchamiania szkodliwych skryptów, podnoszenia uprawnień, instalowania backdoorów itd.
  • WMI (Windows Management Instrumentation) - interfejs umożliwiający uzyskiwanie dostępu do komponentów systemu Windows. Dla cyberprzestępców szczególnie cenna jest możliwość pobierania informacji o danych logowania, obchodzenia systemów bezpieczeństwa (takich jak kontrola konta użytkownika i ochrona antywirusowa), wykradania plików i przeszukiwania sieci.
  • PsExec - narzędzie zdalnego wykonywania poleceń, które może zostać wykorzystane przez atakujących do zagnieżdżenia w systemie szkodliwego kodu.
  • Mimikatz - narzędzie do skanowania zabezpieczeń w systemie Windows, które zapisuje w logu dane logowania użytkowników.

Ryzyko związane z atakami LotL

Ze względu na to, że podczas przeprowadzania ataków LotL cyberprzestępcy nie zostawiają żadnych śladów na dyskach ofiar, nie można ich wykryć poprzez porównywanie sygnatur szkodliwych plików.

Ponadto, narzędzia systemu operacyjnego - takie jak PowerShell oraz WMI, zwykle znajdują się na listach dozwolonego oprogramowania, w związku z czym ich działanie może nie być interpretowane jako niebezpieczne przez system ochrony.

Wreszcie, fakt, że cyberprzestępcy korzystają z legalnych narzędzi utrudnia pracę badaczom ds. bezpieczeństwa.

Ochrona przed atakami LotL

Aby skutecznie walczyć z atakami LotL, eksperci ds. cyberbezpieczeństwa korzystają z rozwiązań opartych na analizie behawioralnej. Pozwala to na wykrywanie anomalii w działaniu programów i aktywności użytkownika.

Do narzędzi wykorzystywanych podczas walki a atakami LotL należą rozwiązania EDR oraz techniki polowania na zagrożenia.