حملات LOTL از نگاه بیتدیفندر
شرکت بیتدیفندر (Bitdefender) در مقالهای تخصصی به بررسی و تحلیل 10 ابزار متداول در جریان حملات به اصطلاح LOTL پرداخته است.
حملات Living off the land – به اختصار LOTL – نسل جدیدی از تهدیدات سایبری هستند که با بهرهبرداری از ابزارهای بومی و معتبر موجود در سیستمهای عامل، از سد محصولات سنتی امنیتی عبور میکنند. در این حملات، مهاجمان بهجای استفاده از بدافزار، پروسههایی مانند PowerShell، cmd.exe، WMI، PsExec، CertUtil و سایر ابزارهای سیستمی را برای اهداف مخرب خود بهکار میگیرند.
در مقالهای تخصصی که توسط شرکت بیتدیفندر (Bitdefender) تهیه شده ضمن معرفی ۱۰ ابزار پرکاربرد در این نوع حملات، روشهای دفاعی مؤثر از جمله اصل حداقل دسترسی، تفکیک شبکه، مانیتورینگ رفتار ابزارها و آموزش کارکنان نیز بررسی شده است.
مقاله بیتدینفدر، بهصورت گامبهگام، کاربردهای مشروع این ابزارها را توضیح داده و سپس روشهایی که مهاجمان از همین ابزارها برای اجرای کدهای مخرب، سرقت اطلاعات، حرکت جانبی در شبکه (Lateral Movement)، ارتقای سطح دسترسی و ماندگاری در سیستم قربانی استفاده میکنند را بررسی میکند. بهعنوان نمونه:
- PowerShell با قابلیت اجرای اسکریپتهای رمزگذاریشده، ابزار مناسبی برای اجرای حملات بدون فایل (Fileless) محسوب میشود.
- WMIC و rundll32 امکان اجرای دستورات از راه دور یا بارگذاری فایلهای DLL مخرب را فراهم میکنند.
- exe به مهاجم امکان میدهد کدهای خود را با دسترسی بالا و در زمانبندی خاصی اجرا کند.
- CertUtil که ذاتاً برای مدیریت گواهیهای دیجیتال طراحی شده، حالا به ابزاری محبوب برای دانلود مخفیانه فایلهای مخرب و رمزگذاری Base64 تبدیل شده است.
در کنار تحلیل فنی، مقاله به چالشهای تحلیل و شناسایی چنین حملاتی نیز میپردازد. بسیاری از این ابزارها امضای دیجیتال معتبر دارند، در مسیرهای شناختهشده اجرا میشوند و با پروسه سیستمی معتبر تعامل دارند؛ همین امر باعث میشود تشخیص فعالیتهای مخرب آنها بسیار دشوار باشد.
شرکت بیتدیفندر، با بیش از دو دهه تجربه در حوزه امنیت سایبری، همواره در خط مقدم نوآوری در مقابله با تهدیدات سایبری قرار داشته است.
برای دریافت مقاله بیتدیفندر بر روی تصویر زیر کلیک کنید.
