Pulkstenis ir 3:37 svētdienā Losandželosā, un viena no vadošajām finanšu pakalpojumu firmām Rietumkrastā piedzīvo otro nedēļu. uzbrukums dzīvošanai ārpus zemes (LOTL).. Nacionālās valsts kiberuzbrukumu grupa ir mērķējusi uz firmas cenu noteikšanas, tirdzniecības un vērtēšanas algoritmiem, lai iegūtu kriptovalūtu. Izmantojot kopīgus rīkus, nacionālā valsts ir iekļuvusi firmas infrastruktūrā un lēnām ieroci to savā labā.
Saskaņā ar CrowdStrike’s 2025. gada globālo draudu ziņojumsgandrīz 80% mūsdienu uzbrukumu, tostarp finanšu jomā, tagad ir bez ļaunprātīgas programmatūras, paļaujoties uz pretiniekiem, kuri izmanto derīgus akreditācijas datus, attālās uzraudzības rīkus un administratīvās utilītas ar izlaušanās laiku (dažreiz mazāk nekā minūti).
Nevienam SOC vai kiberdrošības vadības komandā nav aizdomas, ka kaut kas nav kārtībā. Taču ir nepārprotami signāli, ka notiek uzbrukums.
Akreditācijas datu zādzības, biznesa e-pasta kompromitēšanas un nulles dienas ievainojamību izmantošanas pieaugums rada ideālus apstākļus LOTL uzbrukumu izplatībai. Bitdefender’s jaunākie pētījumi atklāja, ka 84% mūsdienu uzbrukumu izmanto LOTL metodes, apejot tradicionālās noteikšanas sistēmas. Gandrīz 1 no 5 gadījumiemuzbrucēji, kuriem arvien vairāk palīdz automatizācija un racionalizētie rīku komplekti, izfiltrēja sensitīvus datus jau pirmajā stundā pēc kompromisa.
Uz LOTL balstīta taktika tagad veido lielāko daļu mūsdienu kiberielaušanās gadījumu, un uzlabotie pastāvīgie apdraudējumi (APT) bieži paliek neatklāti nedēļas vai mēnešus, pirms hakeri izfiltrē vērtīgus datus. IBM X-Force 2025. gada draudu izlūkošanas indekss.
Finansiālās sekas ir satriecošas. CrowdStrike 2025. gada draudu izpēte nosaka, ka ar izspiedējprogrammatūru saistītās dīkstāves vidējās izmaksas par katru incidentu ir 1,7 miljoni USD, kas publiskajā sektorā var palielināties līdz 2,5 miljoniem USD. Nozares līderiem likmes ir tik augstas, ka drošības budžeti tagad konkurē ar galveno peļņas centru budžetiem.
Jūsu uzticamākie rīki ir uzbrucēja arsenāls
"Šie ir rīki, kurus nevarat atspējot, jo tos izmanto jūsu administratori, tos izmanto jūsu lietojumprogrammas, jūsu [employees] izmanto tos, wager uzbrucēji [are using them, too]," Martins Zugecs, tehnisko risinājumu direktors plkst Bitdefenderteica RSAC-2025 šā gada sākumā. "Jūs nevarat tos atspējot, jo tas ietekmēs uzņēmējdarbību."
CrowdStrike 2025. gada pārskats apstiprina, ka pretinieki regulāri izmanto tādas utilītas kā PowerShell, Home windows pārvaldības instrumentācijas (WMI), PsExec, attālās darbvirsmas protokols (RDP), Microsoft Fast Help, Certutil, Bitsadmin, MSBuild un citas, lai turpinātu darboties uzņēmumos un izvairītos no atklāšanas. Tirdzniecības LOTL rīki neatstāj digitālo izplūdi, tāpēc ir ārkārtīgi grūti pamanīt notiekošo uzbrukumu.
“Draudu dalībnieki arvien vairāk izmanto metodes, piemēram, ienesiet savu neaizsargāto draiveri (BYOVD) un LOTL, lai atspējotu galapunktu noteikšanas un reaģēšanas (EDR) aģentus un slēptu ļaunprātīgu darbību likumīgās sistēmas darbībās," Gartner atzīmē a nesenais ziņojums. "Izmantojot tādus izplatītus OS rīkus kā PowerShell, MSHTA un Certutil, tie sarežģī atklāšanu un slēpjas EDR brīdinājumu trokšņos."
CrowdStrike aptauja par izpirkuma programmatūru atklāj, ka 31% izspiedējvīrusu incidentu sākas ar likumīgu attālinātās uzraudzības un pārvaldības rīku ļaunprātīgu izmantošanu, pierādot, ka uzbrucēji ātri iznīcina pat uzņēmumu IT pakalpojumus.
CrowdStrike ziņojumos dokumentētā realitāte apstiprina nozares dziļākos pētījumus: IT steks tagad ir uzbrukuma vektors, un tie, kas paļaujas uz tradicionālajām vadīklām un parakstu noteikšanu, bīstami atpaliek no līknes.
Uzvedības pazīmes, kas slēpjas skaidri redzamā vietā
Pretinieki, kuri paļaujas uz LOTL metodēm, ir bēdīgi slaveni ar savu pacietību.
Uzbrukumi, kas kādreiz prasīja ļaunprātīgu programmatūru un uzmanību piesaistošus uzbrukumus, ir kļuvuši par jaunu normu: pretinieki sajaucas fonā, izmantojot tos administratīvos un attālās pārvaldības rīkus, no kuriem ir atkarīgas drošības komandas.
Kā Bitdefender Zugec norādīja: “Mēs pārsvarā redzam, ka rokasgrāmatas uzbrucēji darbojas tik labi, ka to vienkārši atkārto plašā mērogā. Viņi neielaužas, wager piesakās. Viņi neizmanto jaunu ļaunprātīgu programmatūru. Viņi izmanto tikai rīkus, kas jau pastāv tīklā.”
Zugec aprakstīja mācību grāmatas LOTL pārkāpumu: nav ļaunprātīgas programmatūras, nav jaunu rīku. BitLocker, PowerShell, parastie administratora skripti; viss izskatījās ierasti, līdz faili bija pazuduši un neviens nevarēja to izsekot. Šeit šodien uzvar draudu aktieri.
Pretinieki izmanto normālu kā savu maskēšanos. Daudzi no administratoru uzticamākajiem un lietotākajiem rīkiem ir iemesls, kāpēc LOTL uzbrukumi ir tik ātri un klusi mērogoti. Zugecs ir nežēlīgi godīgs: “Iekļūt tīklā nekad nav bijis tik vienkārši, kā tas ir šobrīd.” Tas, kas kādreiz bija perimetra pārkāpums, tagad ir pazīstams, neredzams mantotajiem rīkiem un neatšķirams no ikdienas administrēšanas.
CrowdStrike’s 2025. gada globālo draudu ziņojums atspoguļo šīs parādības mērogu skaitļos, kam vajadzētu pievērst katras padomes uzmanību. Ziņojumu autori raksta: “2024. gadā 79% CrowdStrike konstatēto gadījumu nebija ļaunprātīgas programmatūras. [a significant rise from 40% in 2019]norādot, ka pretinieki tā vietā izmanto praktiskas tastatūras paņēmienus, kas saplūst ar likumīgām lietotāju darbībām un kavē atklāšanu. Šī pāreja uz uzbrukuma metodēm bez ļaunprātīgas programmatūras ir bijusi noteicošā tendence pēdējo piecu gadu laikā."
Ziņojuma pētnieki arī atklāja, ka veiksmīgu uzbrukumu izlaušanās laiks turpina sarukt; vidējais rādītājs ir tikai 48 minūtes, ātrākais 51 sekunde.
Zugeca padoms aizstāvjiem, kas strādā šajā jaunajā paradigmā, ir strups un pragmatisks. “Tā vietā, lai censtos pēc kaut kā cita, izdomājiet, kā mēs varam izmantot visas šīs iespējas, visas šīs tehnoloģijas un likt tām darboties kopā un viena otru papildināt.” Pirmais solis: “Pirmajam solim vajadzētu būt jūsu uzbrukuma virsmas izpratnei. Tikai iepazīšanās ar to, kā uzbrucēji darbojas, ko viņi dara, nevis pirms piecām nedēļām, wager tieši tagad.”
Viņš mudina komandas uzzināt, kā viņu vidē izskatās normāli, un izmantot šo bāzes līniju, lai pamanītu, kas patiešām ir nevietā, tāpēc aizsargi pārstāj dzīties pēc bezgalīgiem brīdinājumiem un sāk reaģēt tikai tad, kad tas ir svarīgi.
Pārņemiet visas savas tehnoloģiju kopas īpašumtiesības tūlīt
LOTL uzbrukumi ne tikai izmanto uzticamus rīkus un infrastruktūras, wager arī izmanto organizāciju kultūras un ikdienas konkurētspējas priekšrocības.
Drošības saglabāšana nozīmē pastāvīgas modrības padarīšanu par pamatvērtību, ko atbalsta nulles uzticēšanās un mikrosegmentācija kā kultūras enkuri. Tie ir tikai pirmie soļi. Apsveriet NIST Zero Trust Architecture (SP 800-207) kā organizācijas mugurkauls un rokasgrāmata, lai tieši risinātu LOTL:
-
Ierobežojiet privilēģijas tagad visos kontos un dzēsiet līgumslēdzēju ilgstoši esošos kontus, kas nav izmantoti gadiem: Lietojiet vismazāko privilēģiju piekļuvi visiem administratora un lietotāju kontiem, lai novērstu uzbrucēju eskalāciju.
-
Ieviest mikrosegmentāciju: Sadaliet tīklu drošās zonās; tas palīdzēs norobežot uzbrucējus, ierobežot kustību un samazināt sprādziena rādiusu, ja kaut kas noiet greizi.
-
Nostipriniet piekļuvi rīkiem un pārbaudiet, kurš tos izmanto: Ierobežojiet, uzraugiet un reģistrējiet PowerShell, WMI un citas utilītas. Izmantojiet koda parakstīšanu, ierobežotus valodas režīmus un ierobežojiet piekļuvi uzticamam personālam.
-
Pieņemt NIST nulles uzticības principus: Nepārtraukti pārbaudiet identitāti, ierīces higiēnu un piekļuves kontekstu, kā norādīts SP 800-207, padarot adaptīvo uzticamību par noklusējumu.
-
Centralizējiet uzvedības analīzi un reģistrēšanu: Izmantojiet paplašināto uzraudzību, lai atzīmētu neparastas darbības ar sistēmas rīkiem, pirms incidents saasinās.
-
Ieviesiet adaptīvo noteikšanu, ja jums ir esoša platforma, kas var mērogot un nodrošināt to par minimālu maksu: izmantojiet EDR/XDR, lai meklētu aizdomīgus modeļus, it īpaši, ja uzbrucēji izmanto likumīgus rīkus tādā veidā, kas apiet tradicionālos brīdinājumus.
-
Sarkanā komanda regulāri: Aktīvi pārbaudiet aizsardzību, izmantojot simulētus uzbrukumus, un ziniet, kā pretinieki ļaunprātīgi izmanto uzticamus rīkus, lai iekļūtu ikdienas drošībā.
-
Paaugstiniet drošības izpratni un uzlabojiet muskuļu atmiņu: Apmāciet lietotājus un administratorus par LOTL metodēm, sociālo inženieriju un to, kādi smalkie signāli liecina par kompromisu.
-
Atjauninājums un inventārs: Saglabājiet lietojumprogrammu sarakstus, izlabojiet zināmās ievainojamības un veiciet biežas drošības pārbaudes.
Apakšējā rinda: Finanšu pakalpojumu uzņēmums, kas minēts šī stāsta sākumā, galu galā atguvās no LOTL uzbrukuma. Mūsdienās to modeļus, CI/CD procesu AI izstrādei un vispārēju AI pētniecību un izstrādi pārvalda kiberdrošības menedžeru komanda ar gadu desmitiem ilgu pieredzi, bloķējot ASV Aizsardzības departamenta vietnes un glabātuves.
LOTL uzbrukumi ir reāli, pieaugoši, nāvējoši, un tiem ir vajadzīgs jauns domāšanas veids ikvienam kiberdrošības jomā.
