A
Abraham54
Gast
Wat is Leven van het Land?
Leven van het land (LotL) is de laatste jaren een modewoord in cyber security - maar wat betekent het?
Leven van het land heeft niets te maken met de landbouw
Het gebruik van de tactieken en instrumenten van Living off the Land (LotL) door cybercriminelen is de laatste
tijd een groeiende trend in het cyberbeveiligingslandschap. Het concept van LotL is niet nieuw en bestaat al
25 jaar. Het gebruik van systeemtools als backdoors was vroeger gebruikelijk, en wordt al genoemd in diverse
artikelen en e-zines zoals Phrack. In de afgelopen jaren is het echter teruggekomen en in belang toegenomen.
Bestandsloze aanvallen, waar vaak over gesproken wordt, zijn een subset van LotL-aanvallen.
De exploitatie van tools voor tweeërlei gebruik en tools voor alleen het geheugen wordt ook vaak genoemd
onder de paraplu van LotL.
Aanvallers die gebruik maken van LotL-tactieken gebruiken vertrouwde en vooraf geïnstalleerde systeemtools
om hun werk uit te voeren. Het ligt misschien niet voor de hand, maar er zijn meer dan
100 Windows-systeemtools die door cyberaanvallers kunnen worden gebruikt voor snode doeleinden.
Cyberaanvallers gebruiken deze tools om een aantal redenen, vaak om hun activiteiten te verbergen:
ze hopen dat hun kwaadaardige activiteiten verborgen zullen zijn in een zee van legitieme processen.
Het gebruik van LotL-tools laat aanvallers niet alleen toe om heimelijk te werken, maar maakt het voor
onderzoekers vaak ook moeilijk om te bepalen wie er achter kwaadaardige activiteiten zit als ze die
ontdekken. Cyberaanvalsgroepen worden over het algemeen geïdentificeerd door de malware die ze
gebruiken, met geavanceerde cybercriminaliteitsgroepen en hackers die vaak gebruikmaken van
aangepaste malware, waardoor het gemakkelijk is om te bepalen of ze achter bepaalde activiteiten
zitten. Als een aanval echter wordt uitgevoerd met LotL-tools en niet-klantmalware is het veel moeilijker
om te bepalen wie er achter een dergelijke activiteit schuilgaat.
Een andere reden voor een groei van de LotL-activiteit van cybercriminelen is een verminderde
beschikbaarheid van zero-day kwetsbaarheden en de inspanning die nodig is om ze te vinden.
Verbeteringen in de beveiliging van de browser hebben dergelijke kwetsbaarheden moeilijker te
vinden gemaakt. Bugbounty programma's hebben de gemakkelijk te vinden kwetsbaarheden
geëlimineerd, zodat alleen de meest toegewijde onderzoekers en aanvallers in staat zijn om
kritieke kwetsbaarheden uit te roeien. In sommige scenario's worden systeemtools whitelisted
en zijn ze misschien het enige proces dat op een beveiligd systeem mag draaien,
waardoor ze de enige beschikbare tools zijn voor de aanvaller.
Deze redenen samen maken dat aanvallers vaak steeds vaker een beroep doen op LotL-tools
om hun activiteiten uit te voeren.
Legitieme tools die vaak door cybercriminelen worden gebruikt voor LotL-aanvallen zijn onder andere:
In het algemeen hebben al deze hulpmiddelen een legitiem gebruik op apparaten, zodat het voor
slachtoffers en beveiligingssoftware moeilijk kan zijn om te bepalen wanneer ze worden misbruikt
voor kwaadwillige doeleinden. Met alleen LotL-tools kunnen aanvallers op afstand toegang krijgen
tot een apparaat, gegevens stelen of de werking ervan verstoren -
zonder gebruik te hoeven maken van malware.
U kunt een meer gedetailleerd inzicht in LotL-aanvallen lezen in de white paper die Symantec
vorig jaar publiceerde: Leven van de land- en bestandsloze aanvalstechnieken
Petya/NotPetya
Een van de beroemdste recente voorbeelden van een cyberaanval waarbij LotL-tools zwaar werden uitgebuit,
was de Petya/NotPetya-aanval, die in 2017 wereldwijd de voorpagina's haalde. Petya gebruikte een aanval
op de software supply chain als eerste infectiedrager, waardoor het updateproces van een s
oftwareboekhoudprogramma dat bekend staat om zijn wijdverbreide gebruik in Oekraïne, waar veel van de
Petya/NotPetya-infecties optraden, in gevaar kwam.
Aanvallen op de toeleveringsketen van software, die we definiëren als het implanteren van een stuk malware
in een verder legitiem softwarepakket op de gebruikelijke plaats van distributie, zijn de laatste jaren ook
steeds vaker voorgekomen. We schreven hierover in ISTR 23.
Petya gebruikte ook systeemcommando's tijdens het infectieproces. Eenmaal uitgevoerd, liet het een
hergecompileerde versie van LSADump van Mimikatz vallen, die wordt gebruikt om referenties uit het
Windows geheugen te dumpen. De accountgegevens werden vervolgens gebruikt om de dreiging te
kopiëren naar het Admin$ aandeel van alle computers die de dreiging op een netwerk vonden.
Zodra de bedreiging toegang tot een extern systeem het zelf uitgevoerd op afstand met behulp van
een drop-out van PsExec.exe en de Windows Management Instrumentation (WMI) command line tool.
Petya gebruikte LotL-tools om zich over netwerken te verspreiden, maar het is ook gebruikelijk dat
systeemtools worden gebruikt voor verkenning. Tien door Symantec onderzochte aanvalsgroepen,
waaronder Tick, Chafer en Greenbug, gebruikten allemaal systeemtools om de apparaten en
netwerken die ze hadden geïnfecteerd te verkennen.
Een recentere campagne die Symantec schreef over het feit dat LotL-tools met een grote
hefboomwerking werden gebruikt, was een cyberspionagecampagne die werd uitgevoerd door een
gerichte aanvalsgroep die wij Thrip noemen. Thrip gebruikte een combinatie van LotL-tools en
aangepaste malware om een cyberspionagecampagne uit te voeren gericht op doelen die actief
zijn in de telecommunicatie- en defensiesector. Tot de LotL-tools die door Thrip worden gebruikt,
behoorden PowerShell, PsExec en Mimikatz.
Bescherming
Neem de volgende stappen om de kans te verkleinen dat uw netwerk of apparaten worden blootgesteld aan cyberaanvallers:
- Monitor het gebruik van tools voor tweeërlei gebruik binnen uw netwerk
- Gebruik whitelisting van toepassingen waar mogelijk.
- Wees voorzichtig bij het ontvangen van ongevraagde, onverwachte of verdachte e-mails.
- Wees op uw hoede voor Microsoft Office-bijlagen die gebruikers ertoe aanzetten macro's in te schakelen
- Beveiligingssoftware en besturingssystemen up-to-date te houden
- Geavanceerde accountbeveiligingsfuncties, zoals 2FA- en inlogmeldingen, indien beschikbaar, inschakelen.
- Gebruik sterke wachtwoorden voor al uw accounts
- Altijd uitloggen uit uw sessie wanneer u klaar bent.
Bron (vertaald via DeepLinq):
Leven van het land (LotL) is de laatste jaren een modewoord in cyber security - maar wat betekent het?
Leven van het land heeft niets te maken met de landbouw
Het gebruik van de tactieken en instrumenten van Living off the Land (LotL) door cybercriminelen is de laatste
tijd een groeiende trend in het cyberbeveiligingslandschap. Het concept van LotL is niet nieuw en bestaat al
25 jaar. Het gebruik van systeemtools als backdoors was vroeger gebruikelijk, en wordt al genoemd in diverse
artikelen en e-zines zoals Phrack. In de afgelopen jaren is het echter teruggekomen en in belang toegenomen.
Bestandsloze aanvallen, waar vaak over gesproken wordt, zijn een subset van LotL-aanvallen.
De exploitatie van tools voor tweeërlei gebruik en tools voor alleen het geheugen wordt ook vaak genoemd
onder de paraplu van LotL.
Aanvallers die gebruik maken van LotL-tactieken gebruiken vertrouwde en vooraf geïnstalleerde systeemtools
om hun werk uit te voeren. Het ligt misschien niet voor de hand, maar er zijn meer dan
100 Windows-systeemtools die door cyberaanvallers kunnen worden gebruikt voor snode doeleinden.
Cyberaanvallers gebruiken deze tools om een aantal redenen, vaak om hun activiteiten te verbergen:
ze hopen dat hun kwaadaardige activiteiten verborgen zullen zijn in een zee van legitieme processen.
Het gebruik van LotL-tools laat aanvallers niet alleen toe om heimelijk te werken, maar maakt het voor
onderzoekers vaak ook moeilijk om te bepalen wie er achter kwaadaardige activiteiten zit als ze die
ontdekken. Cyberaanvalsgroepen worden over het algemeen geïdentificeerd door de malware die ze
gebruiken, met geavanceerde cybercriminaliteitsgroepen en hackers die vaak gebruikmaken van
aangepaste malware, waardoor het gemakkelijk is om te bepalen of ze achter bepaalde activiteiten
zitten. Als een aanval echter wordt uitgevoerd met LotL-tools en niet-klantmalware is het veel moeilijker
om te bepalen wie er achter een dergelijke activiteit schuilgaat.
Een andere reden voor een groei van de LotL-activiteit van cybercriminelen is een verminderde
beschikbaarheid van zero-day kwetsbaarheden en de inspanning die nodig is om ze te vinden.
Verbeteringen in de beveiliging van de browser hebben dergelijke kwetsbaarheden moeilijker te
vinden gemaakt. Bugbounty programma's hebben de gemakkelijk te vinden kwetsbaarheden
geëlimineerd, zodat alleen de meest toegewijde onderzoekers en aanvallers in staat zijn om
kritieke kwetsbaarheden uit te roeien. In sommige scenario's worden systeemtools whitelisted
en zijn ze misschien het enige proces dat op een beveiligd systeem mag draaien,
waardoor ze de enige beschikbare tools zijn voor de aanvaller.
Deze redenen samen maken dat aanvallers vaak steeds vaker een beroep doen op LotL-tools
om hun activiteiten uit te voeren.
Legitieme tools die vaak door cybercriminelen worden gebruikt voor LotL-aanvallen zijn onder andere:
· PowerShell scripts
· VB scripts
· WMI
· Mimikatz
· PsExec
In het algemeen hebben al deze hulpmiddelen een legitiem gebruik op apparaten, zodat het voor
slachtoffers en beveiligingssoftware moeilijk kan zijn om te bepalen wanneer ze worden misbruikt
voor kwaadwillige doeleinden. Met alleen LotL-tools kunnen aanvallers op afstand toegang krijgen
tot een apparaat, gegevens stelen of de werking ervan verstoren -
zonder gebruik te hoeven maken van malware.
U kunt een meer gedetailleerd inzicht in LotL-aanvallen lezen in de white paper die Symantec
vorig jaar publiceerde: Leven van de land- en bestandsloze aanvalstechnieken
Petya/NotPetya
Een van de beroemdste recente voorbeelden van een cyberaanval waarbij LotL-tools zwaar werden uitgebuit,
was de Petya/NotPetya-aanval, die in 2017 wereldwijd de voorpagina's haalde. Petya gebruikte een aanval
op de software supply chain als eerste infectiedrager, waardoor het updateproces van een s
oftwareboekhoudprogramma dat bekend staat om zijn wijdverbreide gebruik in Oekraïne, waar veel van de
Petya/NotPetya-infecties optraden, in gevaar kwam.
Aanvallen op de toeleveringsketen van software, die we definiëren als het implanteren van een stuk malware
in een verder legitiem softwarepakket op de gebruikelijke plaats van distributie, zijn de laatste jaren ook
steeds vaker voorgekomen. We schreven hierover in ISTR 23.
Petya gebruikte ook systeemcommando's tijdens het infectieproces. Eenmaal uitgevoerd, liet het een
hergecompileerde versie van LSADump van Mimikatz vallen, die wordt gebruikt om referenties uit het
Windows geheugen te dumpen. De accountgegevens werden vervolgens gebruikt om de dreiging te
kopiëren naar het Admin$ aandeel van alle computers die de dreiging op een netwerk vonden.
Zodra de bedreiging toegang tot een extern systeem het zelf uitgevoerd op afstand met behulp van
een drop-out van PsExec.exe en de Windows Management Instrumentation (WMI) command line tool.
Petya gebruikte LotL-tools om zich over netwerken te verspreiden, maar het is ook gebruikelijk dat
systeemtools worden gebruikt voor verkenning. Tien door Symantec onderzochte aanvalsgroepen,
waaronder Tick, Chafer en Greenbug, gebruikten allemaal systeemtools om de apparaten en
netwerken die ze hadden geïnfecteerd te verkennen.
Een recentere campagne die Symantec schreef over het feit dat LotL-tools met een grote
hefboomwerking werden gebruikt, was een cyberspionagecampagne die werd uitgevoerd door een
gerichte aanvalsgroep die wij Thrip noemen. Thrip gebruikte een combinatie van LotL-tools en
aangepaste malware om een cyberspionagecampagne uit te voeren gericht op doelen die actief
zijn in de telecommunicatie- en defensiesector. Tot de LotL-tools die door Thrip worden gebruikt,
behoorden PowerShell, PsExec en Mimikatz.
Bescherming
Neem de volgende stappen om de kans te verkleinen dat uw netwerk of apparaten worden blootgesteld aan cyberaanvallers:
- Monitor het gebruik van tools voor tweeërlei gebruik binnen uw netwerk
- Gebruik whitelisting van toepassingen waar mogelijk.
- Wees voorzichtig bij het ontvangen van ongevraagde, onverwachte of verdachte e-mails.
- Wees op uw hoede voor Microsoft Office-bijlagen die gebruikers ertoe aanzetten macro's in te schakelen
- Beveiligingssoftware en besturingssystemen up-to-date te houden
- Geavanceerde accountbeveiligingsfuncties, zoals 2FA- en inlogmeldingen, indien beschikbaar, inschakelen.
- Gebruik sterke wachtwoorden voor al uw accounts
- Altijd uitloggen uit uw sessie wanneer u klaar bent.
Bron (vertaald via DeepLinq):
