Факты
August 6

Искусство цифрового фуражирования: Глубокое погружение в LOTL

Методы LOTL представляют собой стратегию киберугроз, при которой злоумышленники используют нативные инструменты и процессы, уже присутствующие в среде атакуемой цели. Такой подход позволяет органично сочетаться с обычной деятельностью системы, значительно снижая вероятность обнаружения. Эффективность LOTL заключается в её способности использовать инструменты, которые не только уже развёрнуты, но и пользуются доверием в среде, тем самым обходя традиционные меры безопасности, которые могут блокировать или помечать незнакомое или вредоносное программное обеспечение.

Методы LOTL не ограничены каким-либо одним типом среды; они эффективно используются в локальных, облачных, гибридных средах Windows, Linux и macOS. Такая универсальность отчасти объясняется тем, что злоумышленники предпочитают избегать затрат и усилий, связанных с разработкой и развёртыванием пользовательских инструментов. Вместо этого упор делается на повсеместное применение и доверие к типовым, популярным и нативным инструментам.

Среды Windows

В корпоративных Windows-средах, методы LOTL особенно распространены из-за широкого использования нативных инструментов, служб и функций операционной системы и доверия к ним.

macOS и гибридные среды

В этом случае злоумышленники используют нативные скрипт-среды, встроенные инструменты, системные конфигурации и бинарные файлы. Стратегия аналогична стратегии в средах Windows, но адаптирована к уникальным аспектам macOS. В гибридных средах, сочетающих физические и облачные системы, злоумышленники все чаще применяют сложные методы LOTL для использования преимуществ систем обоих типов.

Известные Эксплойты

Репозиторий проекта LOLBAS на GitHub предлагает информацию о том, как жить за счёт обычных бинарных файлов, скриптов и библиотек.

Такие веб-сайты, как gtfobins.github.io, loobins.io и loldrivers.io, предоставляют списки бинарных файлов Unix, macOS и Windows соответственно, которые используются в методах LOTL.

ПО удалённого доступа сторонних производителей

Помимо нативных инструментов, атакующие также используют ПО удалённого доступа сторонних производителей в следующих категориях: удалённый мониторинг и управление, управление конфигурацией конечных устройств, EDR, управление исправлениями, системы управления мобильными устройствами и инструменты управления базами данных. Эти инструменты, предназначенные для администрирования и защиты доменов, обладают встроенной функциональностью, которая может выполнять команды на всех клиентских узлах в сети, включая такие важные, как контроллеры домена. Также стоит обратить внимание на наборы привилегий, которые требуются этим инструментам для системного администрирования.