Искусство цифрового фуражирования: Глубокое погружение в LOTL
Методы LOTL представляют собой стратегию киберугроз, при которой злоумышленники используют нативные инструменты и процессы, уже присутствующие в среде атакуемой цели. Такой подход позволяет органично сочетаться с обычной деятельностью системы, значительно снижая вероятность обнаружения. Эффективность LOTL заключается в её способности использовать инструменты, которые не только уже развёрнуты, но и пользуются доверием в среде, тем самым обходя традиционные меры безопасности, которые могут блокировать или помечать незнакомое или вредоносное программное обеспечение.
Методы LOTL не ограничены каким-либо одним типом среды; они эффективно используются в локальных, облачных, гибридных средах Windows, Linux и macOS. Такая универсальность отчасти объясняется тем, что злоумышленники предпочитают избегать затрат и усилий, связанных с разработкой и развёртыванием пользовательских инструментов. Вместо этого упор делается на повсеместное применение и доверие к типовым, популярным и нативным инструментам.
В корпоративных Windows-средах, методы LOTL особенно распространены из-за широкого использования нативных инструментов, служб и функций операционной системы и доверия к ним.
В этом случае злоумышленники используют нативные скрипт-среды, встроенные инструменты, системные конфигурации и бинарные файлы. Стратегия аналогична стратегии в средах Windows, но адаптирована к уникальным аспектам macOS. В гибридных средах, сочетающих физические и облачные системы, злоумышленники все чаще применяют сложные методы LOTL для использования преимуществ систем обоих типов.
Репозиторий проекта LOLBAS на GitHub предлагает информацию о том, как жить за счёт обычных бинарных файлов, скриптов и библиотек.
Такие веб-сайты, как gtfobins.github.io, loobins.io и loldrivers.io, предоставляют списки бинарных файлов Unix, macOS и Windows соответственно, которые используются в методах LOTL.
ПО удалённого доступа сторонних производителей
Помимо нативных инструментов, атакующие также используют ПО удалённого доступа сторонних производителей в следующих категориях: удалённый мониторинг и управление, управление конфигурацией конечных устройств, EDR, управление исправлениями, системы управления мобильными устройствами и инструменты управления базами данных. Эти инструменты, предназначенные для администрирования и защиты доменов, обладают встроенной функциональностью, которая может выполнять команды на всех клиентских узлах в сети, включая такие важные, как контроллеры домена. Также стоит обратить внимание на наборы привилегий, которые требуются этим инструментам для системного администрирования.