erid 2SDnje4KwUm

LoTL-атаки: как детектировать и защититься

Премия Securitymedia
LoTL-атаки: как детектировать и защититься
LoTL-атаки: как детектировать и защититься
15.02.2023

Количество распространяемых злоумышленников постоянно растет, как и библиотеки средств защиты, которые должны противостоять разного рода вирусам. Первейшее и самое массовое средство защиты – это антивирус. Но что, если сам антивирус или любое другое легальное ПО станет инструментом кибератаки?

На этом и строятся LoTL-атаки, задача которых – использовать легитимное ПО, которое уже есть внутри инфраструктуры, с целью реализации своих целей, повышения привилегий в системе или кражи пользовательских данных.

В этой статье будут разобраны основные особенности LoTL-атак, способы их вычисления и детектирования, защиты от этого типа атак и превентивные меры, которые могут помочь с атаками LotL.

Как устроены LotL-атаки

Living off the Land дословно переводится как «питание подножным кормом». Суть атаки заключается в использовании «белого» программного обеспечения, его полномочий и функций на ПК пользователя или внутри инфраструктуры.

Это позволяет сильно сократить риски того, что атака будет детектирована, поскольку большинство наиболее распространенных ИБ-инструментом ориентированы на отслеживание именно вредоносной активности и ее признаков. Программы, которые находятся в «белом» списке, при этом выпадают из поля зрения защитных механизмов.

Антон Кузнецов

Ведущий инженер информационной безопасности R-Vision

Применение злоумышленниками предустановленных в ОС инструментов и легитимных программ встречается практически во всех отчетах, посвященных расследованию компьютерных инцидентов с участием APT и Ransomware as a Service (программа-вымогатель как услуга).

Наиболее часто используемыми инструментами для атак в ОС Windows являются PowerShell и WMI, а также утилиты rundll32.exe, sc.exe, reg.exe, psexec.exe, wmic. В ОС Linux это многим известная утилита netcat, для закрепления часто используются cron jobs, rc.local & rc.common ,systemd и др.

Действительно, LoTL-атаки широко распространены, поскольку такой подход позволяет злоумышленникам обходить средства защиты и оставаться незамеченными продолжительное время. Реализация атак с применением легитимных утилит и предустановленных инструментов несколько увеличивает время их проведения, так как некоторые процессы хакерам приходится совершать вручную. Однако это не является для них стоп-фактором.

Использование легитимного ПО для решения вредоносных задач – это далеко не самый простой процесс. Иметь такой инструмент в арсенале могут только наиболее продвинутые хакерские группы, атаки которых носят системный, профессиональный характер.

Также, важно понимать, что LotL – это только один из элементов цепочки атаки, которая до этого должна каким-то образом начаться (преодоление внешнего контура) и чем-то завершиться (реализация недопустимого события).

Однако, LotL-атаки – это не ультимативное решение и не «придумка сегодняшнего дня» – они известны достаточно давно. Поэтому, существует целый ряд решений как для проактивной борьбы с такого типа атаками, так и для профилактики вероятности реализации LotL-атаки.

Чем защищаться от атак через легитимное ПО

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Так как подобные атаки производятся посредством использования легитимного в сети ПО, то обнаружить их можно только по аномальному поведению пользователя или рабочей станции. На этом этапе происходит невидимая битва между умами специалистов по безопасности и киберпреступников. Причем это происходит в пошаговом режиме. Первый ход всегда за специалистами по ИБ. Если специалисты по безопасности и администраторы хорошо и правильно настроили рабочее окружение, то вероятность детектирования аномального поведения будет выше после действий злоумышленника.

Дальше уже в дело вступает специальное ПО класса EDR, которое как раз занимается анализом активности на серверах и рабочих станциях. Если преступник очень аккуратен и опытен, то тут на помощь специалистам по ИБ приходит метод моделирования или поиска угроз у себя в инфраструктуре.


Как известно, абсолютной защиты не существует, и любая компания, рано или поздно, сталкивается с тем, что внутри ее инфраструктуры действует злоумышленник. В этом контексте, основная задача ИБ – создать такие условия, при которой цепочка атаки будет максимально длинной, и на каждом шаге злоумышленника риски «попасться» будут возрастать.

Поскольку основной признак LotL-атаки – это нетипичное поведение пользователя в работе с программой или использование функций ПО в «необычном» формате – для их детекции часто применяются средства и решения, направленные на поведенческий анализ и выявление аномалий.

Николай Перетягин

Менеджер по продукту NGR Softlab

Одним из наиболее информативных с точки зрения выявления подобных атак инструментом являются решения класса UEBA. Алгоритмы ML, если они используются в данном инструменте, могут выявить отклонения в действиях контролируемого ПО. Например, обращение к внешним ресурсам по нетиповым для себя протоколам передачи данных или в нетипичное время, или установление связи с нетипичными IP-назначения и т.д. Безусловно, можно реализовать механизмы ЗПС, но в таких условиях эффективность решения бизнес-задач будет крайне низкая.


Однако, очень небольшое количество атак может быть реализовано с помощью одних лишь легитимных программ. Как правило, хакеры используют комплексный подход, применяя LotL для перемещения в инфраструктуре, которое может быть как горизонтальным, так и вертикальным.

Соответственно, наиболее уязвим для детекции злоумышленник в момент нахождения «точки входа» в инфраструктуру, поскольку внешний контур, в большинстве случаев, один из самых защищенных элементов компании. Соответственно, выявить его и начать защищаться можно и традиционными инструментами « первого порядка», к которым часто относят межсетевые экраны, песочницы и антивирусы.

Павел Пугач

Cистемный аналитик «СерчИнформ»

Для распознавания атак работают любые инструменты защиты от внешних угроз. Например, чтобы получить доступ к целевой системе, злоумышленник может использовать фишинговое письмо. В этом случае поможет система защиты почты. Если письмо будет содержать скрипт, то его выявит антивирус. По скрипту может идти обращение на внешний IP-адрес из черного списка – тут уже нужен firewall. И чтобы иметь возможность связать такие мелкие события в один инцидент и опознать реальную атаку нужна SIEM-система.

А вот инструменты поведенческого анализа, на мой взгляд, наименее эффективны. Так как, в отличие от DDoS или Bruteforce-атаки, реализация LoTL может заключаться в каких-то единичных, а не массовых действиях. Например, в отправке одного письма или одном обращении на подозрительный IP – зачастую эти действия статистически не заметны на фоне стандартного поведения пользователя.

Но самый мощный инструмент в арсенале компании, который позволяет обеспечить высокий уровень безопасности – это порядок. Если в инфраструктуре прописаны четкие правила взаимодействия всех элементов, созданы правила поведения и системы детекции отклонений от основных паттерн – злоумышленнику будет кратно сложнее остаться незамеченным.

Превентивные методы борьбы с LotL-атаками

Как известно, лучшая защита от заболевания, в том числе и в киберпространстве – это профилактика. Применительно к ИБ, она может включать целый комплекс мероприятий, от обучения сотрудников до привлечения профильных специалистов для анализа защищенности.

В контесте LotL, одна из наиболее эффективных практик – это «бритва Оккама», с помощью которой доступ к системам сотрудников и устройств, для которых эти системы не являются целевыми, ограничивается. 

Сергей Белов

CEO, AtreIdea

Для предотвращения LoTL-атак и минимизации рисков компания может принимать следующие практики:

1. Ограничить доступ к утилитам командной строки и скриптам на необходимой основе, а также отключить поддержку скриптов на необходимых компьютерах.

2. Ограничить права доступа к важным системным ресурсам, файлам и папкам. Использовать привилегированные учетные записи только по необходимости.

3. Установить программное обеспечение для мониторинга и обнаружения инцидентов. Это поможет выявлять необычную активность и атаки.

4. Применять политику ограничения исполнения кода на клиентских компьютерах, запрещая запуск исполняемых файлов во временных каталогах.

5. Установить и настроить брандмауэр на компьютерах и сети, чтобы ограничить доступ исходящего и входящего трафика.

6. Использовать антивирусное ПО, которое обнаруживает не только вредоносное ПО, но и другие необычные виды активности.

7. Проводить регулярные обновления и патчи для операционной системы и установленного программного обеспечения, чтобы своевременно устранять уязвимости и поддерживать систему в актуальном состоянии.

8. Обучать сотрудников правильной информационной безопасности и предупреждать их об опасностях использования легитимных инструментов в нелегетимных целях.

9. Следить за новыми методами и инструментами злоумышленников и регулярно анализировать логи и события в системе на предмет необычной активности.

Эти практики могут помочь предотвратить и обнаружить LoTL-атаки и минимизировать риски для компании.

Помимо прочего, это сильно упрощает жизнь отделу ИБ, поскольку снижает количество детектируемых ложноположительных срабатываний. Экономия человеческого ресурса особенно важна в условиях, когда количество ИБ-специалистов в компании редко соответствует оптимальному для возложенных на ИБ-службу задач.



Читайте также


Комментарии 0