leven van het landblog

Wat zijn aanvallen buiten het land en hoe kunt u ze stoppen?

Living-off-the-land (LOTL)-hacktechnieken zijn niet bepaald nieuw, maar a recent advies uit de VS en hun Five Eyes-bondgenoten heeft de ernstige dreiging benadrukt die zij vormen voor regeringen en organisaties over de hele wereld.

Het primaire doel van LOTL-technieken is om hackers te helpen IT-systemen te compromitteren en kwaadaardige cyberactiviteiten tegen organisaties uit te voeren zonder te worden betrapt door tools voor beveiligingsmonitoring. Welke best practices kunnen organisaties, met dit in gedachten, toepassen om LOTL-aanvallen te identificeren en te beperken?

Wat het advies zegt

Het recente Five Eyes-advies is uitgebracht door Amerikaanse overheidsinstanties, waaronder de Cybersecurity and Infrastructure Security Agency (CISA), de NSA en de FBI, in samenwerking met internationale partners zoals het UK National Cyber ​​Security Centre (NCSC) en het Canadian Centre for Cyber ​​Security. Beveiliging (CCS). Het waarschuwt dat LOTL-strategieën Chinese staatshackers hebben geholpen verwoestende cyberaanvallen uit te voeren op Amerikaanse aanbieders van kritieke infrastructuur (CNI).

De Chinese hackgroep Volt Typhoon gebruikte LOTL om verborgen te blijven in kritieke IT-netwerken in CNI-sectoren zoals communicatie, energie, transport en water en afvalwater. De motivatie lijkt een voorpositionering te zijn in het geval van een mogelijk conflict met de VS en zijn bondgenoten.

“De groep vertrouwt ook op geldige accounts en maakt gebruik van sterke operationele beveiliging, die samen onontdekte persistentie op de lange termijn mogelijk maakt”, luidt het. “In feite hebben de Amerikaanse auteursbureaus onlangs aanwijzingen waargenomen dat Volt Typhoon-acteurs gedurende minstens vijf jaar toegang en voet aan de grond behouden binnen sommige IT-omgevingen van slachtoffers.”

Een diepe duik in LOTL

Bij het uitvoeren van LOTL-aanvallen maken cybercriminelen doorgaans gebruik van authentieke tools die al op besmette computers zijn geïnstalleerd. Hierdoor kunnen ze kwaadwillige activiteiten tegen organisaties uitvoeren zonder dat hun beveiligingsteams erachter komen en ingrijpen.

Cybercriminelen vinden deze aanpak vaak eenvoudiger en heimelijker dan het downloaden van nieuwe tools of applicaties op een gehackt systeem, aldus Michael Clark, directeur dreigingsonderzoek bij Sysdig.

“De tools die door aanvallers worden gebruikt, worden in veel gevallen ook als vertrouwd beschouwd, omdat ze codeondertekening kunnen implementeren”, vertelt hij aan ISMS.online. “Als de tool vaak wordt gebruikt in de omgeving van het slachtoffer, kan het gebruik ervan samengaan met al het legitieme gebruik.”

Kennet Harpsoe, senior cyberanalist bij Logpoint, legt aan ISMS.online uit dat cybercriminelen die LOTL-aanvallen lanceren gemotiveerd worden door de wens om hun snode doelstellingen te bevorderen met behulp van legitieme, ingebouwde en ondertekende binaire bestanden die al aanwezig zijn op de computersystemen van het doelwit. Hij waarschuwt dat ze dit tijdens elke fase van de cyber-kill-keten kunnen doen, inclusief ontdekking, volharding, zijwaartse beweging of commando en controle.

Er zijn een aantal factoren die LOTL-aanvallen zeer gevaarlijk maken voor organisaties. Ten eerste waarschuwt Harpsoe dat conventionele antivirus- en inbraakdetectiesystemen ze mogelijk niet identificeren, omdat ze legitieme applicaties en tools gebruiken die door organisaties worden gebruikt.

“Dit maakt ze tot een waardevol en sluipend hulpmiddel voor kwaadwillende actoren om detectie te omzeilen”, legt hij uit.

Ten tweede stellen LOTL-strategieën hackers in staat kwaadaardige digitale activiteiten tegen hun slachtoffers uit te voeren zonder een spoor achter te laten. Deze methode is “ongelooflijk veelzijdig”, waardoor ze meerdere manieren hebben om aanvallen uit te voeren. Deze omvatten het uitvoeren van code en de mogelijkheid om bestanden te downloaden, uploaden of kopiëren.

LOTL-aanvallen blootleggen

Hoewel het voor organisaties moeilijk kan zijn om LOTL-aanvallen te detecteren, kunnen ze verschillende best practices toepassen om de cyberverdediging te versterken.

Jake Moore, mondiaal cybersecurityadviseur bij ESET, raadt bedrijven aan hun systemen te beveiligen door strenge beheercontroles te implementeren, regelmatig software-updates en patches uit te voeren en netwerkactiviteiten in realtime te volgen.

Hij vertelt ISMS.online dat op gedrag gebaseerde veiligheidscontroles ook een nuttige techniek kunnen zijn om LOTL-aanvallen te beperken, door onregelmatige digitale activiteiten te benadrukken die erop kunnen wijzen dat een cybercrimineel een legitiem hulpmiddel zoals het register van een computer misbruikt.

Hij moedigt werkgevers ook aan om hun personeel te trainen in het opsporen en beperken van online veiligheidsbedreigingen, aangezien LOTL-aanvallen vaak beginnen via social engineering-tactieken zoals phishing-e-mails.

Sean Wright, hoofd applicatiebeveiliging bij Featurespace, geeft toe dat het beperken van LOTL-aanvallen niet eenvoudig is, maar zegt dat patch- en kwetsbaarheidsbeheerprogramma's, monitoringoplossingen en anomaliewaarschuwingen een extra laag cyberbescherming kunnen bieden.

Harpsoe van Logpoint wijst op de voordelen van het bouwen van een verdedigbaar, gescheiden netwerk als onderdeel van een passieve beveiligingsstrategie. Eenvoudige stappen zoals het verwijderen van ongebruikte accounts, services of poorten, het implementeren van tweefactorauthenticatie, het beperken van beheerdersrechten en netwerksegregatie kunnen organisaties ook helpen het aanvalsoppervlak van hun IT-netwerken en -systemen te minimaliseren, voegt hij eraan toe.

Yossi Rachman, directeur beveiligingsonderzoek bij Semperis, zegt dat de eerste stap in de aanpak van LOTL-aanvallen het opzetten van een proces is voor het identificeren van systeemonregelmatigheden die op verdachte activiteiten wijzen.

“Besteed speciale aandacht aan eindpuntprocessen en drivers. Houd ook voortdurend toezicht op de uitvoering van processen, vooral voor veelgebruikte LOLBin (Living off the Land Binaries) zoals PowerShell, WMIC en certutil”, vertelt hij aan ISMS.online. “Bekijk de openbaar beschikbare en voortdurend onderhouden LOLLabs-project voor een lijst met veelgebruikte binaire bestanden.”

Hij voegt eraan toe dat het monitoren van opdrachtregelactiviteiten, evenals het gebruik van identiteitsdetectie- en responssystemen, netwerkmonitoringtools en gedragsanalyses, bedrijven ook kan helpen verdacht gedrag te identificeren dat erop wijst dat er een LOTL-aanval plaatsvindt.

Kelly Indah, een technologie-expert en beveiligingsanalist bij Increditools, benadrukt het belang van het delen van informatie bij de aanpak van dit mondiale probleem.

“Internationale samenwerking bij het documenteren van de evoluerende speelboeken van staatstegenstanders is van onschatbare waarde voor het verhogen van de verdediging overal waar dergelijke groepen hun blik vervolgens kunnen richten”, vertelt ze aan ISMS.online. “Samen kunnen we ons schild versterken tegen zelfs de meest sluipende bedreigingen.”

LOTL-hacktechnieken vormen een aanzienlijke bedreiging voor organisaties over de hele wereld, of ze nu worden gebruikt door natiestaten of financieel gemotiveerde hackgroepen. Hoewel deze aanvallen bedrieglijk van opzet zijn, kunnen bedrijven ze aanpakken door de cyberhygiëne te verbeteren en de best practices uit de sector te volgen.

Auteur

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Bekijk alle berichten van Nicholas Fearn

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie