84% атак используют легитимный софт

[MaFio]

Согласно исследованию Bitdefender, проанализировавшему 700,000+ реальных атак, 84% из них были реализованы через "Living Off the Land" (LOTL) технику - когда атакующий не тащит малварь, а юзает то, что уже есть в системе.

Это значит: ни сигнатур, ни скачиваний, ни подозрительных payload - только родные netsh.exe, powershell.exe, wmic.exe и прочий "мусор", давно забытый администраторами, но горячо любимый реверс-инженерами и red team.

Инструменты:

• netsh.exe - лучший для тихих атак. Используется в трети всех high-severity инцидентов. Особенно для сетевых проксей, обхода firewall и создания скрытых туннелей.
• powershell.exe, pwsh.exe - швейцарский нож пентестера. Используется практически повсеместно, особенно в корпоративных доменах. Разворотка C2, импланты, сбор данных, lateral movement - всё в одном.
• wscript.exe, cscript.exe - старички не сдают позиций. Поднимают payload’ы на VBS, часто обходят EDR за счёт легитимного использования в старом софте.
• mshta.exe, bitsadmin.exe, regsvr32.exe - каноничные LOLBin’ы. Отличные в Initial Access фазе: позволяют исполнить код с удалённого ресурса или регистрировать DLL без создания файла.
• wmic.exe тоже жив. Используется в кейсах с постэксплуатацией для сбора инфы о системе, запущенных процессах и конфигурации.

Гео-стата:

• EMEA (Европа, Ближний Восток, Африка): PowerShell используется в 97.3% организаций.
• APAC: Только 53.3%, из-за других архитектур и софта.

В общем tсли ты до сих пор пихаешь .exe и ждёшь, что сработает - ты в прошлом. LOTL - это про то, чтобы расствориться в потоке нормальной активности. Время уметь использовать regsvr32, собирать C2 на mshta, и всегда иметь Invoke-Obfuscation под рукой.

 

[waahoo]

Да, да. Расскажи об этом синим типам которые умеют в доменные политики и SOC.

 

[asifiknow]

Так даже параноидальный дефендер банит много легитимного, psexec как красная тряпка давно уже.

 

[xChimera]

Так даже параноидальный дефендер банит много легитимного, psexec как красная тряпка давно уже.

А с каких пор это легитимная утилита, установленная в системе?
В посте идет речь о предустановленном софте, который изначально задумывался не как инструмент поднятия привилегий, исполнения вредоносного кода и тд

 

[asifiknow]

А с каких пор это легитимная утилита, установленная в системе?

Окей возможно не так выразился, psexec не предустановлена да, но тем не менее один из легит инструментов майкрософта.

 

[xChimera]

Окей возможно не так выразился, psexec не предустановлена да, но тем не менее один из легит инструментов майкрософта.

Нет ни 1 ситуации где бы юзеру он потребовался, в отличии от павершела

 

[proexp]

Да, да. Расскажи об этом синим типам которые умеют в доменные политики и SOC.

Синим типам в баре? )

 

[waahoo]

Синим типам в баре?

Ну конечно жеж в баре) Иначе и не может быть. Какие сетки? Какие еще легитимными инструменты в домене? Эй мальчик! Водочки мне принеси!

 

[merdock]

натыкался на АВ которые EDR к примеру повершелла сканируют и часто еще в облако кусок памяти выделенной отправляют на анализ, так что по поводу простоты использования не все так просто, АВ компании давно уже смотрят за узкими местами(сразу вспомнил порно) и накидывают детекты. Т.е. моя мысль такая -нет там панацеи.

 

[xargs]

84% из них были реализованы

ну реализованы и прошли успешно разные вещи) я думаю даже во всех 99% могли быть использваны LOLBAS'ы но на очень многие техники уже давным давно все реагирует. Даже на каскадные загрузки DLL через rundll32 уже давно детектит, хоть какие цепочки ты делай, хоть там отвязывай от процесса, от потока, хоть фиберы хоть xуиберы)) Настала новая эпоха инсайдерского хека)

 

[propensity]

Настала новая эпоха инсайдерского хека

Инсайдерский хек - неужто это об засланном казачке или пропаленном админе, сотруднике? Мне казалось, это что-то почти из рода небылиц) Сама попытка подкупить кого-то - это уже обычно алерт в корпе, что готовится атака. А наткнуться на кого-то, кто не побежит всем об этом рассказывать - так редкость, как золото найти, разве нет?

 

[proexp]

ну реализованы и прошли успешно разные вещи) я думаю даже во всех 99% могли быть использваны LOLBAS'ы но на очень многие техники уже давным давно все реагирует. Даже на каскадные загрузки DLL через rundll32 уже давно детектит, хоть какие цепочки ты делай, хоть там отвязывай от процесса, от потока, хоть фиберы хоть xуиберы)) Настала новая эпоха инсайдерского хека)

Далеко не на все каскадные загрузки DLL реагирует, ну конечно публично если дрочить инструмент, конечно умрет, ну вы спасибо скажите в первую очередь локерам, они причина прогресирушего роста безопасников и индустрии.

 

[MaFio]

Инсайдерский хек - неужто это об засланном казачке или пропаленном админе, сотруднике? Мне казалось, это что-то почти из рода небылиц) Сама попытка подкупить кого-то - это уже обычно алерт в корпе, что готовится атака. А наткнуться на кого-то, кто не побежит всем об этом рассказывать - так редкость, как золото найти, разве нет?

Сегодняшний инсайдер - это не столько пропаленный админ или купленный сотрудник, сколько тщательно подготовленный внешний агент, легально внедряющийся в штат. И это вовсе не небылица на сейчас, а вполне набирающий обороты вектор атак.

Инсайдерская угроза (5%): Неожиданный рост, связанный с деятельностью IT-специалистов из Северной Кореи (DPRK, группа UNC5267), которые внедряются в компании под вымышленными именами.

Это свежие данные из отчёта по киберугрозам за 2024 год: Куда бьют хакеры и где твой доступ

 

[propensity]

Инсайдерская угроза (5%): Неожиданный рост, связанный с деятельностью IT-специалистов из Северной Кореи (DPRK, группа UNC5267), которые внедряются в компании под вымышленными именами.

Статистика интересная, но не в претензию ТС, а тем, кто эти статистики делает. Почему бы не указать гео расположение тех компаний, в которые внедряются эти корейцы. И мне кажется, у корейцев цели то и слегка другие

Устроиться в крупную западную компанию непросто иногда уже и реальным профессионалам, учитывая последнюю тенденцию на замену высококвалифицированных сотрудников ИИ. Более того, любая уважающая себя компания делает проверку данных новоприбывшего перед тем как дать ему доступ к какой-либо инфре компании. Как по мне, такая схема трудна и временезатратна, учитывая, что на выходе ты возможно получишь доступ к всего одной корпе.

Не исключаю такой возможности, конечно же, просто эти 5%, если брать их в разрезе стран тир 1 - явно преувеличены (но это все имхо).

 

[GhostNova]

Иногда кажется, что все стандартные методы уже не так эффективны, и такие инструменты как LOTL могут реально помочь понять, как обходить защиты. В любом случае, всегда есть чему поучиться.

 

[belogwardeets]

Да, да. Расскажи об этом синим типам которые умеют в доменные политики и SOC.

Вообще, всё из того, что написал ТС, уже в помойке, но не стоит недооценивать всякие "безвредные" штуки типа DumpIt или dokany. Их, правда, нужно тащить на тачку, но это всяко легче чем тащить на неё же мимикац

 

[blackhand]

Вообще, всё из того, что написал ТС, уже в помойке, но не стоит недооценивать всякие "безвредные" штуки типа DumpIt или dokany. Их, правда, нужно тащить на тачку, но это всяко легче чем тащить на неё же мимикац

А как dokany используют?