Als je denkt aan een misdaadkiezen criminelen over het algemeen de weg van de minste weerstand. De weg die hen naar binnen en naar buiten leidt zonder op te vallen of bewijs achter te laten. Cybercriminelen zijn niet anders. Zodra ze lokaliseren doelwit hebben gevonden, gebruiken hackers eenvoudig in te zetten tactieken die onder de radar kunnen blijven. Ze hopen binnen te komen, gegevens te exfiltreren en zonder een spoor achter te laten voordat de onderneming doorheeft dat ze dat er is ingebroken. NextGen AV- en EDR-oplossingen zijn geëvolueerd om beter te reageren op malware, zijn er steeds meer cybercriminelen in plaats daarvan LOTL-aanvallen (living off the land) uit.
Wat is een LOTL-aanval?
Computers hebben krachtige ingebouwde tools die cruciaal zijn voor het functioneren van een besturingssysteem. Een LOTL-aanval is een aanval waarbij deze computertools of andere legitieme software voor kwaadaardige doeleinden worden gebruikt. Hackers manipuleren deze ingebouwde tools en gebruiken uw computer tegen u om hun doel te bereiken hun missie te volbrengen, wat meestal het stelen van uw gegevens is.
Welke tools gebruiken hackers bij LOTL-aanvallen?
87%Bij cyberaanvallen wordt tegenwoordig PowerShell gebruikt, waarmee het veruit de populairste LOTL-aanvalsvector is. PowerShell is een shell-interface die is ingebouwd in Windows om IT-beheerders een krachtig hulpmiddel te bieden voor interactie met het besturingssysteem en het automatiseren van taken. Hackers gebruiken PowerShell vaak om scripts uit te voeren in doelomgevingen die backdoors installeren, gegevens exfiltreren en ransomware installeren. Zodra een cybercrimineel toegang krijgt tot PowerShell op de computer van een slachtoffer, kan hij die computer controleren en mogelijk toegang krijgen tot elke computer die hetzelfde netwerk deelt.
Hoewel PowerShell misschien wel het populairste hulpmiddel is om te misbruiken, bevat elk besturingssysteem bevat veel andere krachtige ingebouwde tools die hackers kunnen misbruiken. Windows Management Instrumentation (WMI) wordt vaak gebruikt om volumeschaduwen te manipuleren, te bepalen welke antivirussoftware is geïnstalleerd en de endpoint firewallte stoppen. Rundll32 wordt vaak gebruikt om applicatiecontrole te omzeilen, legitieme DLL's te misbruiken en kwaadaardige DLL's uit te voeren. Cybercriminelen misbruiken zelfs het Windows-register door het wijzigen van specifieke registersleutels te wijzigen om inloggegevens te stelen en andere security te omzeilen. Helaas vinden cybercriminelen, zodra verdedigers een manier hebben gevonden om zich tegen een bepaalde aanvalsmethode te verdedigen, een nieuw hulpmiddel om misbruik van te maken om toegang te krijgen tot gegevens, en zo gaat de cyclus door.
Gerelateerd: ThreatLocker Webinar "Ingebouwde apps kunnen worden bewapend en tegen u worden gebruikt"
Waarom zijn LOTL-aanvallen populair?
De tools zijn direct beschikbaar.
LOTL-aanvallen zijn een populaire keuze voor cybercriminelen bij het plegen van hun misdaden. Deze ondertekende, legitieme tools zijn standaard in computers ingebouwd, dus ze zijn direct beschikbaar.LOTL-aanvallen zijn moeilijk te detecteren.
Aangezien computers voor hun normale werking afhankelijk zijn van deze native tools, is het moeilijk voor EDR's en NextGen AV's om onderscheid te maken tussen normaal, verwacht gebruik en een aanval waarbij dezelfde tool. De aanvallen die met LOTL-technieken worden gepleegd, worden beschouwd als "bestandsloos", wat helpt om ze te verbergen voor security .LOTL-aanvallen kunnen bedreigers in staat stellen om persistentie te bereiken.
Omdat ze moeilijk te detecteren zijn, kunnen cybercriminelen deze ingebouwde functies gebruiken om persistentie te bereiken, wat betekent dat de tegenstander voet aan de grond kan houden in een omgeving. Door persistentie te bereiken, kunnen cybercriminelen de en de doelomgeving gedurende langere tijd verkennen, en zo alle sleutels tot het koninkrijk ontdekken zonder te worden gedetecteerd.LOTL-aanvallen zijn moeilijk te voorkomen.
De native tools die bij LOTL-aanvallen worden misbruikt, zijn vooraf geïnstalleerd op alle Windows-computers en zijn noodzakelijk voor normale beheertaken. Hierdoor kunnen de meeste omgevingen niet deze veelvoorkomende aanvalsvectoren deze veelvoorkomende aanvalsvectoren niet zomaar uitschakelen, verwijderen of blokkeren. Bestandsloze aanvallen kunnen worden voorkomen met traditionelesecurity, omdat ze door deze detectie- en respond tools.
Hoe kan ThreatLocker de risico's van LOTL-aanvallen helpen beperken?
U begrijpt dus waarom LOTL-aanvallen zo moeilijk te bestrijden zijn. Het goede nieuws is dat uitdagend niet onmogelijk, en ThreatLocker kan helpen om het risico van LOTL-aanvallen te beperken. ThreatLocker werkt anders dan traditionelesecurity en helpt bij het creëren van een Zero Trust-omgeving. ThreatLocker Application Allowlisting voorkomt dat ongeautoriseerde applicaties, scripts of DLL's worden uitgevoerd. Aangezien deze ingebouwde tools noodzakelijk zijn voor normale beheerfuncties, zal het opstellen van een regel om de uitvoering ervan te blokkeren in de meeste omgevingen niet werken. Hoewel u blokkeren blokkeren zonder een computer te beschadigen, kan een kwaadwillende persoon toegang krijgen tot een van deze native Windows-tools en probeert een ongeautoriseerd script uit te voeren, wordt het script geblokkeerd.
Om het risico verder te beperken, ThreatLocker ontwikkeldRingfencing™technologie ontwikkeld. Ringfencing™ creëert grenzen rond toegestane toepassingen om te dicteren waar die toegestane toepassingen mee kunnen interageren, waardoor niet-geautoriseerde interacties met andere toepassingen, het register, je bestanden en het internet worden geblokkeerd. Blokkeer toepassingen voor interactie met PowerShell, WMI, Rundll32 en alle andere toepassingen die ze niet mogen gebruiken. niet Dit helpt voorkomen dat een kwaadwillende toegang krijgt tot PowerShell via een andere toepassing, zoals het gebruik van een kwaadaardig Word-document om een PowerShell-script uit te voeren. Stel dat een cybercrimineel toegang krijgt tot PowerShell. Met Ringfencing kan PowerShell geen het internet niet bereiken om meer instructies te krijgen van een command-and-control center of uw bestanden te kopiëren naar een schadelijke URL.
Samenvatting
LOTL-aanvallen bieden cybercriminelen een effectieve manier om waardevolle gegevens te stelen zonder dat beveiligingsprogramma's dit opmerken. Deze ingebouwde tools zijn noodzakelijke onderdelen van Windows, wat betekent dat ze niet worden verwijderd of geblokkeerd. Hoewel LOTL-aanvallen een uitdaging vormen voor cyberbeveiligers, kunnen de risico's ervan worden beperkt met de juiste tools. ThreatLocker Allowlisting ondersteunt een Zero Trust-omgeving en alle ongeautoriseerde apps, scripts en bibliotheken worden standaard geblokkeerd, waardoor bescherming wordt geboden tegen kwaadaardige scripts. ThreatLocker Met Ringfencing™ kunt u beschermingsmaatregelen instellen rond uw toegestane applicaties en native tools om te voorkomen dat applicaties ongeoorloofde interacties aangaan met andere applicaties en de krachtige native tools. De ThreatLocker Endpoint Protection Platform kunt u de risico's van LOTL-aanvallen beperken.
Hoewel geen enkel product alle risico's kan voorkomen of beperken, kan de ThreatLocker Endpoint Protection Platform biedt tal van tools om u te helpen de controle over uw omgeving te behouden. Plan vandaag nog een live productdemonstratie en ontdek zelf hoe ThreatLocker beschermt tegen LOTL-aanvallen en andere cyberkwetsbaarheden beperkt.
Dit is een gesponsorde blogpost.
