Сквозь шум: Установление базовых линий обнаружения LOTL
Одной из основных выявленных проблем является отсутствие базовых параметров безопасности в организациях, что приводит к выполнению LOLBin без обнаружения аномальной активности. Кроме того, организациям часто не удаётся корректно настроить инструменты обнаружения, что приводит к огромному количеству оповещений, которыми трудно управлять и на которые трудно реагировать. Это усугубляется автоматизированными системами, выполняющими действия с высокими привилегиями, которые могут завалить аналитиков событиями журнала, если их не классифицировать должным образом.
Проблемы с распознаванием вредоносной активности
📌 Даже организациям со зрелыми передовыми практиками бывает трудно отличить вредоносную активность LOTL от легитимного поведения:
📌 LOLBins обычно используются ИТ-администраторами и поэтому являются доверительными, что может приводить к заблуждению безопасности для всех пользователей.
📌 Существует ошибочное представление о том, что легитимные инструменты ИТ-администрирования безопасны априори, что приводит к политикам "разрешения", которые расширяют возможности атаки.
📌 Исключения для таких инструментов, как PsExec, из-за их регулярного использования администраторами могут быть использованы злоумышленниками для скрытого распространения.
Разрозненные операции и ненастроенные системы EDR
📌 Информация складывается из опыта redteam и групп реагирования на инциденты в отношении специалистов по сетевой безопасности:
📌 Обособленная работа от других ИТ-команд препятствует формированию поведенческих пользовательских признаков, устранению уязвимостей и расследования аномального поведения.
📌 Использование ненастроенных систем обнаружения и EDR и индикаторов компрометации (IOCs), которые могут приводить к отсутствию оповещений о действиях злоумышленников для предотвращения обнаружения.
Конфигурации системы регистрации событий и политики внесения в разрешённые списки
📌 Недостатки в конфигурациях систем регистрации событий и политиках управления списками разрешений ещё больше усложняют обнаружение действий LOTL:
📌 Конфигурации систем регистрации событий по умолчанию часто не позволяют фиксировать все соответствующие действия, и журналы из многих приложений требуют дополнительной обработки.
📌 Политика списков разрешений для диапазонов IP-адресов, принадлежащих хостинг-провайдерам и облачным провайдерам, может непреднамеренно обеспечить «прикрытие для злоумышленников».
Несмотря на то, что устройства macOS изначально считаются безопасности, они также требуют настройки:
📌 В macOS отсутствуют стандартизированные рекомендации по повышению надёжности системы, что приводит к развёртываниям с настройками по умолчанию, которые могут быть небезопасными.
📌 Презумпция безопасности macOS может привести к отмене приоритетов стандартных мер безопасности и внесение приложений в списки разрешённых.
📌 В средах со смешанными операционными системами низкая представленность устройств macOS может привести к недостаточному вниманию к их безопасности, что делает их более уязвимыми для вторжений.