در دنیای امنیت سایبری، حملات مدرن دیگر صرفاً متکی به بدافزارها یا ابزارهای مهاجم شناختهشده نیستند. یکی از روشهای پیچیده و فزاینده در میان مهاجمان، استفاده از حملات موسوم به حملات LotL یا Living off the Land است. این نوع حملات، با استفاده از ابزارها، اسکریپتها و قابلیتهای بومی سیستمعامل یا نرمافزارهای موجود، بدون نیاز به وارد کردن فایل یا کد مخرب جدید، فعالیتهای مخرب را پیش میبرند. همین ویژگی باعث میشود شناسایی این حملات برای سامانههای امنیتی سنتی و حتی کارشناسان امنیتی، بسیار دشوار باشد.
مفهوم حملات LotL
واژه Living off the Land بهمعنای “زیستن با منابع موجود در محیط” برگرفته از اصطلاحی در حوزه نظامی است که به استفاده از منابع محلی برای ادامه عملیات اشاره دارد. در فضای سایبری نیز مهاجمان با استفاده از ابزارهای موجود بر روی سیستم هدف نظیر PowerShell ،WMI ،CertUtil ،mshta.exe و حتی نرمافزارهایی مانند Microsoft Office یا مرورگرها به مقاصد خود دست مییابند، بدون آنکه ردپای مستقیمی از بدافزار خارجی به جا بگذارند.
ویژگیها و مزایای تاکتیکی برای مهاجمان
گریز از شناسایی
ابزارهای مورد استفاده در حملات LotL اغلب توسط خود سیستمعامل یا نرمافزارهای مورد اعتماد امضاء شدهاند. بنابراین، آنتیویروسها و سیستمهای تشخیص نفوذ معمولاً آنها را بلاک نمیکنند.
عدم نیاز به فایل خارجی
در بسیاری از موارد، حمله به صورت Fileless انجام میشود. این بدان معناست که هیچ فایل اجرایی به سیستم وارد نمیشود و حمله کاملاً از درون انجام میگیرد.
امکان اجرای مرحلهبهمرحله
مهاجمان میتوانند به صورت تدریجی و در فازهای متعدد، اقدامات مخرب را انجام دهند و از شناسایی زودهنگام جلوگیری کنند.
ابزارهای مورد استفاده در حملات LotL
سناریوی یک حمله نمونه LotL
فرض کنید مهاجمی با استفاده از ایمیل فیشینگ، کاربری را فریب میدهد تا یک لینک HTML را باز کند. این لینک از طریق mshta.exe اجرا شده و اسکریپتی را فراخوانی میکند که در آن از PowerShell برای دانلود یک payload رمزنگاریشده استفاده میشود. سپس با استفاده از rundll32.exe آن payload در حافظه سیستم اجرا میشود و به سرور C2 یا Command & Control متصل میگردد. در این مسیر هیچ فایلی روی دیسک ذخیره نشده و هیچ بدافزار شناختهشدهای استفاده نشده است.
چالشهای شناسایی و مقابله
خطای مثبت بالا
با توجه به اینکه ابزارهای LotL در عملیاتهای روزمره سازمانها نیز کاربرد دارند، هرگونه مسدودسازی آنها ممکن است منجر به اختلال در عملکرد عادی سیستمها شود.
نیاز به تحلیل رفتاری
تشخیص حملات LotL به جای تکیه بر امضای بدافزار، نیازمند بررسی رفتار فرآیندها و الگوهای مشکوک در سیستم میباشد.
تطبیقپذیری مهاجمان
مهاجمان بهسرعت روشهای خود را با ابزارهای امنیتی جدید تطبیق میدهند و از ابزارهای مشروع کمتر شناختهشده برای عبور از سدهای دفاعی استفاده میکنند.
راهکارهای دفاعی در برابر حملات LotL
پیادهسازی مدل Zero Trust
دسترسیها را بر اساس اصل حداقل دسترسی Least Privilege مدیریت کنید و به هیچیک از ابزارهای سیستمی اعتماد پیشفرض نداشته باشید.
بیشتر بخوانید: استفاده از فایروال ایمن زمینه ساز راهاندازی Zero Trust
مانیتورینگ و تحلیل رفتاری
استفاده از سامانههای EDR یا Endpoint Detection and Response برای شناسایی رفتارهای غیرعادی بسیار حیاتی است.
محدودسازی اجرای ابزارهای سیستمی
با استفاده از ابزارهایی مانند AppLocker یا Windows Defender Application Control یا WDAC، میتوان اجرای برنامههای مانند PowerShell یا WMI را برای کاربران عادی محدود کرد.
جداسازی شبکهای Network Segmentation
با جداسازی سطوح حساس از شبکه و محدود کردن ارتباطات، حرکت جانبی lateral movement مهاجم را دشوارتر کنید.
آموزش کاربران
بخش مهمی از حملات LotL از طریق مهندسی اجتماعی آغاز میشود. آموزش کاربران نسبت به تهدیدات فیشینگ و لینکهای مخرب، میتواند اولین خط دفاعی مؤثر باشد. حملات LotL به دلیل بهرهبرداری از ابزارهای مشروع، یکی از چالشبرانگیزترین روشهای مهاجمان سایبری در عصر حاضر محسوب میشوند. تشخیص و مقابله با این تهدیدات نیازمند رویکردی چندلایه، ترکیبی از تحلیل رفتاری، محدودسازی دسترسی و آگاهیبخشی به کاربران است. سازمانهایی که نسبت به این تهدید آگاه باشند و ابزارهای دفاعی مناسبی بهکار گیرند، میتوانند با موفقیت از زیرساختهای خود در برابر این حملات پنهان محافظت کنند.
چه کسانی در معرض آسیبپذیری حملات LotL هستند؟
اگرچه حملات LotL بهظاهر پیچیده و پیشرفته به نظر میرسند، اما گستره قربانیان آنها بسیار متنوع است و صرفاً به سازمانهای بزرگ یا دولتی محدود نمیشود. در حقیقت، هر سیستمی که دارای ابزارهای بومی سیستمعامل یا نرمافزارهای عمومی باشد و تدابیر امنیتی لازم را پیاده نکرده باشد میتواند قربانی بالقوه حملات LotL باشد. در ادامه، گروههایی که بیشترین آسیبپذیری را در برابر این نوع تهدید دارند بررسی میکنیم:
سازمانهای دارای زیرساخت Windows محور
بخش اعظم حملات LotL در بستر سیستمعاملهای Windows انجام میشود، زیرا این محیط دارای ابزارهای خط فرمان و اسکریپتنویسی قوی مانند PowerShell ،WMI ،Regsvr32 و غیره است. سازمانهایی که بر زیرساخت Windows تکیه دارند، بهویژه اگر کنترلهای Application Whitelisting یا EDR مناسبی پیاده نکرده باشند، در معرض خطر جدی هستند.
سازمانهای فاقد نظارت رفتار محور یا Behavioral Monitoring
سازمانهایی که صرفاً به آنتیویروسهای سنتی و امضامحور یا Signature-Based متکی هستند، نمیتوانند رفتارهای مشکوک ابزارهای مشروع را شناسایی کنند. این گروه از سازمانها که معمولاً به دلایل هزینهای یا پیچیدگی پیادهسازی، از تحلیل رفتار غافل شدهاند در معرض بیشترین ریسک هستند.
نهادهای دولتی، مالی و سلامت
این سازمانها به دلیل ذخیره دادههای حساس مانند اطلاعات هویتی، مالی، درمانی و طبقهبندیشده، اهداف جذابی برای مهاجمان پیشرفته APTها هستند. این مهاجمان معمولاً برای دور زدن دفاعهای سطح بالا، از حملات LotL بهره میبرند.
سازمانهای با نیروی انسانی کمتجربه در حوزه امنیت
در سازمانهایی که تیم امنیتی مهارت کافی در تحلیل رفتار سیستم و پاسخ به تهدیدات ندارد، حملات LotL ممکن است برای مدت طولانی بدون شناسایی باقی بمانند. مهاجم میتواند از همین غفلت برای ماندگاری طولانی و استخراج تدریجی دادهها استفاده کند.
زنجیره تأمین یا Supply Chain
بسیاری از مهاجمان با هدف رسیدن به یک قربانی اصلی، ابتدا از طریق زنجیره تأمین وارد عمل میشوند. شرکتهای نرمافزاری، پیمانکاران فناوری اطلاعات، یا ارائهدهندگان خدمات ابری که ابزارهای LotL در سیستمشان فعال هستند ولی کنترلشده نیستند، میتوانند به عنوان پایگاه اولیه حمله مورد استفاده قرار گیرند.
کاربران با دسترسیهای سطح بالا یا Privileged Users
اکانتهای ادمین، مدیران شبکه و کاربران با دسترسیهای سطح بالا همواره اهداف کلیدی مهاجمان در حملات LotL هستند. زیرا اجرای ابزارهایی مانند PowerShell با دسترسی ادمین، قدرت اجرای کامل سناریوهای مهاجمان را فراهم میکند. در صورت نبود سیاستهای کنترل دسترسی دقیق، این حسابها میتوانند نقش تسهیلگر اصلی در موفقیت حمله ایفا کنند.
در یک جمله میتوان گفت: «هر کسی که از ابزارهای بومی سیستمعامل استفاده میکند و کنترل دقیقی بر روی رفتار این ابزارها ندارد، در معرض حملات LotL قرار دارد.» به همین دلیل، تمرکز صرف بر کنترل فایلهای مشکوک یا نصب آنتیویروس بهتنهایی کفایت نمیکند. شناسایی رفتارهای غیرعادی، آموزش کارکنان، و اعمال اصل حداقل دسترسی یا Least Privilege از الزامات حیاتی برای مقابله با تهدیداتی هستند که در ظاهر قانونی و بیخطر جلوه میکنند.
