Sikkerhetsblogg

Lev av landet

«Lev av landet» er en taktikk som benyttes av de fleste trusselaktører i dag. - Vi tenker det er på tide å brenne jorda med «Brent jords taktikk».

La oss starte med en forklaring:
LOTL eller «Living of the land» er en avansert angrepsmetode hvor cyberkriminelle utnytter eksisterende og lovlige ressurser, verktøy og protokoller for å utføre sine ondsinnede handlinger. Dette gir dem muligheten til å operere uten å utløse mistanke da deres aktiviteter ligner på normale og legitime operasjoner.

Mer detaljert baserer «Living of the land» taktikken seg på å benytte legitime binærfiler og verktøy som allerede finnes i nettverket. I motsetning til tradisjonelle angrep som ofte benytter malware som en viktig del av angrepet, bruker man med «Living of the land» nesten utelukkende binærfiler og verktøy som allerede eksisterer. Det finnes en rekke kilder som gir deg oversikt over kjente applikasjoner og filer som utnyttes i «Living of the land». Lobas Project har en veldig god oversikt over skript, og binærfiler som benyttes.

Vice Society – En beryktet ransomware-gruppe som vi har sett operere i Norge, er en aktør som aktivt benytter «Living of the land» i forbindelse med sine angrep. Vår SOC har observert Vice Society bruke verktøy som PSexec, PowerShell, WMI , NETSH, CMD, Remote Desktop og VPN applikasjoner etter å først ha infiltrert virksomheters nettverk.

Årsaken til økt bruk av «Living of the land» teknikker er rett å slett for å unngå oppdagelse fra tradisjonelle sikkerhetsverktøy og fordi det er overraskende enkelt. WMI og PowerShell finnes allerede i nettverket og er på en måte «safelistet» for administrativ bruk. Dette gir en perfekt forkledning for angripere, som gjør de vanskeligere å skille fra normal administrator aktivitet. PowerShell alene eller i kombinasjon av andre binærfiler benyttes for å kartlegge nettverket, øke egne rettigheter, bevege seg sidelengs mellom maskiner og for å oppnå vedvarende tilgang til det kompromitterte nettverket.

Hvordan er det angripere utnytter «Living of the land»?

Angripere som benytter «Living of the land» benytter ofte andre metoder for å få innledende tilgang til et nettverk. Innledende tilgang — Initial Access — innebærer utnyttelse av sårbarheter eksponert på Internett. Dette kan være alt fra kjente sårbarheter i f.eks. Exchange og autentisering mot VPN-løsninger eller 0-dags sårbarheter tilsvarende Ivanti Endpoint Manager som ble utnyttet mot Departementenes sikkerhets- og serviceorganisasjon (DSS) i sommer. Men felles for de fleste angrep vi detekterer og håndterer i dag er at de benytter seg av «Living of the land» i de resterende stegene av angrepet.

Eksempler på verktøy og hvordan de kan benyttes:

1. PowerShell
:
;

Angripere kan bruke PowerShell, et Windows-skriptspråk, til å kjøre skadelige kommandoer uten å etterlate seg mistenkelige filer. For eksempel kan de bruke PowerShell til å laste ned og kjøre skadelig kode direkte i minnet. Dette gjør det vanskeligere å oppdage angrepet.

Eksempel: Angriperen bruker PowerShell til å laste ned og utføre ransomware-kode uten å lagre noe på disken.

2. Windows Management Instrumentation (WMI)
:
;

WMI er et administrativt verktøy for å administrere Windows-systemkomponenter. Angripere kan utnytte dette for å utføre skadelige handlinger, som å samle inn data, eskalere privilegier eller endre systeminnstillinger.

Eksempel: Angriperen bruker WMI til å samle passord fra lokale og nettverkssystemer for senere bruk.

3. PsExec
:
;

PsExec er et kommandolinjeverktøy for å utføre prosesser på fjernsystemer. Angripere kan bruke det til å kjøre skadelig kode på kompromitterte systemer, ofte uten å installere noe.

Eksempel: Angriperen bruker PsExec til å eksekvere skadelig kode på en målrettet maskin og opprettholder tilgang.

Sikkerhetstiltak for å beskytte seg mot «Living of the land». – På tide å brenne jorda «Brent jords taktikk»

Å forhindre angripere fra å utnytte «Living off the Land» taktikken krever en grundig tilnærming til IT-sikkerhet. Følgende tiltak vil redusere mulighetene og begrense landskapet de kriminelle ønsker utnytte.

Eksempler på verktøy og hvordan de kan benyttes:

1. Applikasjonskontroll
:
;

Implementer en policy som begrenser hvilke applikasjoner og kommandoer som kan kjøres på arbeidsstasjonene og serverne dine. Dette kan gjøres ved hjelp av applikasjonskontroll- og hvitelisteringsverktøy. Vurder å bruke løsninger som gir deg muligheten til å godkjenne spesifikke kjøringsskript eller kommandoer på forhånd.

2. Prinsippet om minste privilegium
:
;

Reduser tilgangsnivået for brukerkontoer, slik at de kun har de nødvendige rettighetene for å utføre jobben sin. Dette begrenser muligheten for angriperne til å utnytte administrative verktøy.

3. Active Directory
:
;

Sørg for å begrense bruk av domene administrator, beskytte administrator kontoer med sterke passord eller MFA. Skru på LSA Protection for beskyttelse av passord i minne. Generelt følge Microsoft sine veiledninger for sikring av AD / Azure.

4. Segmentering og isolering
:
;

Opprett ulike nettverkssegmenter basert på ulike type enheter, sørg for skille mellom klienter, servere, IoT og internett tilgjengelige servere. Begrense hvilken trafikk som er tillatt imellom klienter og servere i ulike soner, og hva som er tillatt mot Internett. Blokker SMB, WinRM, SSH, DNS med fler.

5. Endepunktssikkerhet
:
;

Implementer en endepunkts sikkerhetsløsning som kan oppdage og blokkere uønsket aktivitet, endepunktenes integritet og varsle om uautoriserte endringer med mer.

6. Overvåkning
:
;

Implementer en omfattende logging- og overvåkningsløsning som kan fange opp mistenkelig aktivitet, inkludert uvanlige kommandoer og prosesser. Analyser loggene regelmessig for å oppdage avvik og angrepsforsøk.

7. Sårbarhetsadministrasjon
:
;

Løpende håndter interne og eksterne sårbarheter, med dette mener vi kontroll på åpne tjenester mellom soner, fra Internett, sørge for løpende oppdatering av OS og applikasjoner. Avdekk sårbarheter i applikasjoner, sårbarheter i OS, i konfigurasjon, i AD, eller i Microsoft 365 konfigurasjon.

Husk at ingen sikkerhetsløsning er 100%, så det er viktig å benytte flere lag av sikkerhet og kontinuerlig overvåke og tilpasse forsvarstiltakene dine etter hvert som trusselbildet utvikler seg. Å være proaktiv og godt forberedt er nøkkelen til å beskytte organisasjonen din. I Fence fokuserer vi utelukkende på å bistå våre kunder med å forhindre, oppdage og håndtere dataangrep. Vi tror dette gjøres best ved å levere avanserte sikkerhetstjenester på en enkel men effektiv måte.

Vil du ta en prat med oss? Fyll ut skjema så tar vi kontakt med deg