“Living off the land” (LOTL), hay còn gọi là “sống nhờ đất,” là một kỹ thuật tấn công mạng lợi dụng các công cụ và chương trình hợp pháp có sẵn trong hệ thống mục tiêu để thực hiện các hành vi xâm nhập. Kỹ thuật này đặc biệt nguy hiểm và khó phát hiện do không sử dụng các tệp tin độc hại truyền thống. Thay vào đó, kẻ tấn công “sống nhờ” các tài nguyên sẵn có, tạo ra một lớp ngụy trang hoàn hảo.
Cách Thức Hoạt Động Của Tấn Công Living Off The Land (LOTL)
Khác với các cuộc tấn công malware truyền thống dựa vào các tệp tin độc hại để thực thi kế hoạch tấn công, LOTL hoạt động “ẩn mình” – không yêu cầu kẻ tấn công cài đặt bất kỳ đoạn mã hoặc script nào vào hệ thống mục tiêu. Thay vào đó, kẻ tấn công sử dụng các công cụ vốn đã tồn tại trong môi trường, chẳng hạn như PowerShell, Windows Management Instrumentation (WMI) hoặc công cụ lưu mật khẩu Mimikatz, để thực hiện cuộc tấn công.
Ví dụ minh họa việc kẻ tấn công có thể tận dụng PowerShell, một công cụ quản trị hệ thống Windows hợp pháp, để thực hiện các hành vi độc hại trong tấn công Living off the Land.
Việc sử dụng các công cụ có sẵn khiến các cuộc tấn công LOTL trở nên khó bị phát hiện hơn rất nhiều, đặc biệt nếu tổ chức đang sử dụng các công cụ bảo mật truyền thống chỉ tìm kiếm các tập lệnh hoặc tệp tin malware đã biết. Chính vì lỗ hổng này trong bộ công cụ bảo mật, hacker thường có thể ẩn mình trong môi trường của nạn nhân trong nhiều tuần, nhiều tháng hoặc thậm chí nhiều năm.
Các Công Cụ LOTL Thường Được Sử Dụng
Nếu kẻ tấn công “sống nhờ đất” không cần cài đặt mã để khởi động một cuộc tấn công malware không tệp tin, thì làm thế nào chúng có thể truy cập vào môi trường để sửa đổi các công cụ có sẵn và phục vụ cho mục đích của chúng? Việc truy cập có thể được thực hiện theo nhiều cách, chẳng hạn như thông qua việc sử dụng:
Exploit Kits (Bộ Công Cụ Khai Thác Lỗ Hổng)
Exploit là các đoạn mã, chuỗi lệnh hoặc tập hợp dữ liệu; exploit kits là tập hợp các exploit. Kẻ tấn công sử dụng các công cụ này để khai thác các lỗ hổng đã biết tồn tại trong hệ điều hành hoặc một ứng dụng đã được cài đặt.
Exploit là một cách hiệu quả để khởi động một cuộc tấn công malware không tệp tin, chẳng hạn như một cuộc tấn công LOTL, bởi vì chúng có thể được chèn trực tiếp vào bộ nhớ mà không cần bất cứ thứ gì được ghi vào ổ đĩa. Kẻ tấn công có thể sử dụng chúng để tự động hóa các xâm nhập ban đầu ở quy mô lớn.
Một exploit bắt đầu theo cùng một cách, bất kể cuộc tấn công là không tệp tin hay sử dụng malware truyền thống. Thông thường, nạn nhân bị dụ dỗ thông qua một email lừa đảo hoặc kỹ thuật social engineering. Exploit kit thường bao gồm các exploit cho một số lỗ hổng và một bảng điều khiển quản lý mà kẻ tấn công có thể sử dụng để kiểm soát hệ thống. Trong một số trường hợp, exploit kit sẽ bao gồm khả năng quét hệ thống mục tiêu để tìm các lỗ hổng và sau đó tạo và khởi động một exploit tùy chỉnh ngay lập tức.
Công Cụ Nguyên Bản Bị Chiếm Đoạt hoặc Công Cụ Sử Dụng Kép
Trong các cuộc tấn công LOTL, kẻ tấn công thường chiếm đoạt các công cụ hợp pháp để leo thang đặc quyền, truy cập các hệ thống và mạng khác nhau, đánh cắp hoặc mã hóa dữ liệu, cài đặt malware, thiết lập các điểm truy cập backdoor hoặc thúc đẩy đường dẫn tấn công. Ví dụ về các công cụ nguyên bản hoặc sử dụng kép bao gồm:
- File transfer protocol (FTP) clients hoặc các chức năng hệ thống, chẳng hạn như PsExec.
- Các công cụ pháp y như công cụ trích xuất mật khẩu Mimikatz.
- PowerShell, một framework khởi chạy script cung cấp chức năng rộng rãi cho việc quản trị thiết bị Windows.
- WMI, một giao diện để truy cập vào các thành phần Windows khác nhau.
Hình ảnh minh họa công cụ Mimikatz, thường được tin tặc lợi dụng trong các cuộc tấn công Living off the Land (LOTL) để trích xuất thông tin đăng nhập và mật khẩu từ hệ thống.
Malware Thường Trú Trong Registry
Malware thường trú trong registry là malware tự cài đặt vào Windows registry để duy trì hoạt động và trốn tránh việc bị phát hiện.
Thông thường, các hệ thống Windows bị nhiễm thông qua việc sử dụng một chương trình dropper tải xuống một tệp tin độc hại. Tệp tin độc hại này vẫn hoạt động trên hệ thống mục tiêu, điều này khiến nó dễ bị phát hiện bởi phần mềm diệt virus. Malware không tệp tin cũng có thể sử dụng một chương trình dropper, nhưng nó không tải xuống một tệp tin độc hại. Thay vào đó, chương trình dropper tự viết mã độc hại trực tiếp vào Windows registry.
Mã độc hại có thể được lập trình để khởi chạy mỗi khi hệ điều hành được khởi động, và không có tệp tin độc hại nào có thể được phát hiện — mã độc hại được ẩn trong các tệp tin nguyên bản không bị phát hiện bởi AV.
Biến thể lâu đời nhất của loại tấn công này là Poweliks, nhưng nhiều biến thể khác đã xuất hiện kể từ đó, bao gồm Kovter và GootKit. Malware sửa đổi các khóa registry rất có khả năng vẫn còn ở đó mà không bị phát hiện trong thời gian dài.
Malware Chỉ Tồn Tại Trong Bộ Nhớ
Malware chỉ tồn tại trong bộ nhớ chỉ tồn tại trong bộ nhớ. Một ví dụ về malware chỉ tồn tại trong bộ nhớ là worm Duqu, có thể không bị phát hiện vì nó chỉ tồn tại trong bộ nhớ. Duqu 2.0 có hai phiên bản; phiên bản đầu tiên là một backdoor cho phép kẻ tấn công có được chỗ đứng trong một tổ chức. Kẻ tấn công sau đó có thể sử dụng phiên bản nâng cao của Duqu 2.0, cung cấp các tính năng bổ sung như trinh sát, di chuyển ngang và lọc dữ liệu. Duqu 2.0 đã được sử dụng để xâm nhập thành công vào các công ty trong ngành viễn thông và ít nhất một nhà cung cấp phần mềm bảo mật nổi tiếng.
Ransomware Không Tệp Tin
Kẻ tấn công không giới hạn bản thân vào một loại tấn công. Chúng sử dụng bất kỳ công nghệ nào giúp chúng chiếm được payload của chúng. Ngày nay, kẻ tấn công ransomware đang sử dụng các kỹ thuật không tệp tin để nhúng mã độc hại vào tài liệu thông qua việc sử dụng các ngôn ngữ scripting nguyên bản như macros hoặc để viết mã độc hại trực tiếp vào bộ nhớ thông qua việc sử dụng một exploit. Ransomware sau đó chiếm đoạt các công cụ nguyên bản như PowerShell để mã hóa các tệp tin con tin mà không cần phải ghi bất kỳ dòng nào vào ổ đĩa.
Thông Tin Đăng Nhập Bị Đánh Cắp
Kẻ tấn công có thể bắt đầu một cuộc tấn công không tệp tin thông qua việc sử dụng thông tin đăng nhập bị đánh cắp để chúng có thể truy cập mục tiêu của chúng dưới vỏ bọc của một người dùng hợp pháp. Khi đã vào bên trong, kẻ tấn công có thể sử dụng các công cụ nguyên bản như WMI hoặc PowerShell để tiến hành cuộc tấn công của chúng. Chúng có thể thiết lập sự bền bỉ bằng cách ẩn mã trong registry hoặc kernel, hoặc bằng cách tạo các tài khoản người dùng cho phép chúng truy cập vào bất kỳ hệ thống nào chúng chọn.
Tại Sao Các Cuộc Tấn Công Living Off The Land Lại Phổ Biến?
Dữ liệu từ Báo Cáo Mối Đe Dọa Toàn Cầu năm 2023, phân tích hàng năm của CrowdStrike về bối cảnh mối đe dọa và vũ trụ đối thủ, cho thấy rằng 6 trên 10 phát hiện (62%) được lập chỉ mục bởi CrowdStrike Security Cloud trong quý cuối cùng của năm 2021 là không có malware. Thay vào đó, kẻ tấn công đang tận dụng thông tin đăng nhập hợp pháp và các công cụ tích hợp — một dấu hiệu của các cuộc tấn công living off the land — để thúc đẩy đường dẫn tấn công.
Các cuộc tấn công living off the land đang trở nên phổ biến hơn vì chúng có xu hướng hiệu quả hơn các cuộc tấn công malware truyền thống. Điều này là do chúng khó bị phát hiện hơn nhiều với các công cụ bảo mật cũ, điều này làm tăng khả năng thành công và cho phép kẻ tấn công có nhiều thời gian hơn để leo thang đặc quyền, đánh cắp dữ liệu và thiết lập backdoor để truy cập trong tương lai.
Biểu đồ thể hiện sự gia tăng trong việc sử dụng các kỹ thuật Living off the Land (LOTL) trong các cuộc tấn công mạng, nhấn mạnh tầm quan trọng của việc hiểu và phòng ngừa loại hình tấn công này.
Các lý do khác khiến các cuộc tấn công LOTL hấp dẫn đối với tội phạm mạng:
- Nhiều phương tiện tấn công LOTL phổ biến, chẳng hạn như WMI và PowerShell, nằm trong danh sách “cho phép” của mạng nạn nhân, điều này tạo ra một vỏ bọc hoàn hảo cho kẻ tấn công khi chúng thực hiện các hoạt động độc hại — các hoạt động thường bị bỏ qua bởi trung tâm điều hành an ninh (SOC) của nạn nhân và các biện pháp bảo mật khác.
- Các cuộc tấn công LOTL không sử dụng tệp tin hoặc chữ ký, điều này có nghĩa là các cuộc tấn công không thể được so sánh hoặc kết nối, gây khó khăn hơn cho việc ngăn chặn trong tương lai và cho phép tội phạm tái sử dụng các chiến thuật theo ý muốn.
- Việc sử dụng các công cụ hợp pháp và thiếu chữ ký gây khó khăn cho việc quy kết các cuộc tấn công LOTL, do đó thúc đẩy chu kỳ tấn công.
- Thời gian ẩn mình kéo dài, không bị làm phiền cho phép kẻ tấn công thiết lập và thực hiện các cuộc tấn công phức tạp, tinh vi. Đến thời điểm nạn nhân nhận thức được vấn đề, thường có rất ít thời gian để ứng phó hiệu quả.
Phòng Ngừa và Phát Hiện Các Cuộc Tấn Công Living Off The Land
Ransomware không tệp tin và các cuộc tấn công LOTL cực kỳ khó phát hiện bằng các phương pháp dựa trên chữ ký, AV cũ, allowlisting, sandboxing hoặc thậm chí phân tích dựa trên machine learning. Vậy làm thế nào các tổ chức có thể tự bảo vệ mình khỏi loại tấn công phổ biến và có khả năng tàn phá này?
Dưới đây là một danh sách ngắn các biện pháp bảo mật, khi được thực hiện cùng nhau như một cách tiếp cận tích hợp, có thể giúp ngăn ngừa và phát hiện LOTL, malware không tệp tin, ransomware không xác định và các phương pháp tấn công tương tự:
Chỉ Số Tấn Công (IOAs)
Một trong những cách hiệu quả nhất để giảm thiểu rủi ro của các cuộc tấn công LOTL là dựa vào chỉ số tấn công (IOAs) thay vì chỉ dựa vào chỉ số xâm phạm (IOCs).
Chỉ số tấn công là một khả năng phát hiện chủ động hơn, tìm kiếm các dấu hiệu cho thấy một cuộc tấn công có thể đang diễn ra. IOAs bao gồm các dấu hiệu như thực thi mã, di chuyển ngang và các hành động dường như có ý định che giấu ý định thực sự của kẻ xâm nhập.
IOAs có hiệu quả trong việc phát hiện các cuộc tấn công không tệp tin vì chúng không tập trung vào cách các bước được khởi chạy hoặc thực thi. Không quan trọng liệu hành động có được khởi xướng từ một tệp trên ổ cứng hay từ một kỹ thuật không tệp tin. Điều quan trọng duy nhất là hành động được thực hiện, cách nó liên quan đến các hành động khác, vị trí của nó trong một chuỗi và các hành động phụ thuộc của nó. Các chỉ số này tiết lộ ý định và mục tiêu thực sự đằng sau các hành vi và các sự kiện xung quanh chúng.
Bởi vì các cuộc tấn công không tệp tin khai thác các ngôn ngữ scripting hợp pháp như PowerShell và không bao giờ được ghi vào ổ đĩa, chúng không bị phát hiện bởi các phương pháp dựa trên chữ ký, allowlisting và sandboxing. Ngay cả các phương pháp machine learning cũng không phân tích được malware không tệp tin. Nhưng IOAs tìm kiếm các chuỗi sự kiện mà ngay cả malware không tệp tin cũng phải thực thi để đạt được nhiệm vụ của nó.
Và bởi vì IOAs kiểm tra ý định, bối cảnh và chuỗi, chúng thậm chí có thể phát hiện và chặn các hoạt động độc hại được thực hiện bằng một tài khoản hợp pháp, điều này thường xảy ra khi kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp hoặc chiếm đoạt các chương trình hợp pháp.
