การโจมตี Living off the Land (LotL) หมายถึงการใช้เครื่องมือและกระบวนการที่ถูกต้องตามกฎหมายภายในระบบปฏิบัติการเพื่อดำเนินกิจกรรมที่เป็นอันตราย การโจมตีเหล่านี้ใช้ประโยชน์จากแอปพลิเคชันที่ถูกต้องตามกฎหมายและมักอยู่ในรายการที่ปลอดภัยเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัย และผู้โจมตีมักถูกใช้เพื่อซ่อนการกระทำของตนภายในการทำงานของระบบที่ดูเหมือนปกติ
ประวัติความเป็นมาของการดำรงชีวิตจากการโจมตีทางบกและการกล่าวถึงครั้งแรก
แนวคิดของการโจมตี Living off the Land ย้อนกลับไปในช่วงต้นทศวรรษ 2000 เมื่อผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นมัลแวร์ที่เพิ่มขึ้นโดยใช้เครื่องมือระบบที่ถูกกฎหมายเพื่อเผยแพร่และรักษาความคงอยู่ คำว่า "การอยู่นอกแผ่นดิน" ได้รับการบัญญัติขึ้นเพื่ออธิบายแนวทางของผู้โจมตีเพื่อเอาชีวิตรอดโดยการใช้สิ่งที่มีอยู่ในระบบเป้าหมาย เหมือนกับแนวทางของผู้เอาชีวิตรอดในถิ่นทุรกันดาร
ข้อมูลโดยละเอียดเกี่ยวกับการใช้ชีวิตนอกการโจมตีทางบก
การโจมตี Living off the Land นั้นเป็นการโจมตีที่ซ่อนเร้นและซับซ้อน เนื่องจากเกี่ยวข้องกับการใช้เครื่องมือและฟังก์ชั่นที่คาดว่าจะปลอดภัย เครื่องมือดังกล่าวประกอบด้วยกลไกการเขียนสคริปต์ เช่น PowerShell เครื่องมือการดูแลระบบ และไบนารีของระบบอื่นๆ
ตัวอย่างเครื่องมือที่มักถูกนำไปใช้ประโยชน์
- พาวเวอร์เชลล์
- เครื่องมือการจัดการ Windows (WMI)
- งานที่กำหนดเวลาไว้
- ไมโครซอฟต์ ออฟฟิศ มาโคร
โครงสร้างภายในของการดำรงชีวิตจากการโจมตีทางบก
วิธีการทำงานของ Living off the Land Attack
- การแทรกซึม: ผู้โจมตีสามารถเข้าถึงการเข้าถึงเบื้องต้นได้ โดยมักจะผ่านทางฟิชชิ่งหรือการหาประโยชน์จากช่องโหว่
- การใช้ประโยชน์: พวกเขาใช้เครื่องมือที่มีอยู่ในระบบเพื่อรันคำสั่งที่เป็นอันตราย
- การขยายพันธุ์: ใช้ประโยชน์จากเครื่องมือที่ถูกต้องตามกฎหมาย โดยจะย้ายด้านข้างผ่านเครือข่าย
- การกรอง: ข้อมูลที่ละเอียดอ่อนจะถูกรวบรวมและส่งกลับไปยังผู้โจมตี
การวิเคราะห์ลักษณะสำคัญของการใช้ชีวิตนอกการโจมตีทางบก
- ธรรมชาติอันลึกลับ: ด้วยการใช้เครื่องมือที่ถูกกฎหมาย การโจมตีเหล่านี้สามารถหลบเลี่ยงการตรวจจับได้
- ความซับซ้อนสูง: มักซับซ้อนและมีหลายขั้นตอน
- ยากที่จะบรรเทา: โซลูชันการรักษาความปลอดภัยแบบเดิมอาจประสบปัญหาในการตรวจจับ
ประเภทการใช้ชีวิตนอกการโจมตีทางบก
| พิมพ์ | คำอธิบาย |
|---|---|
| การโจมตีตามสคริปต์ | การใช้ PowerShell หรือภาษาสคริปต์อื่นๆ เพื่อรันโค้ดที่เป็นอันตราย |
| การโจมตีแบบมาโคร | การฝังมาโครที่เป็นอันตรายในเอกสารเพื่อดำเนินการเพย์โหลด |
| การมอบฉันทะแบบไบนารี | การใช้ไบนารีที่ถูกต้องเพื่อพร็อกซีการเรียกใช้โค้ดที่เป็นอันตราย |
วิธีการใช้งาน Living off the Land Attack ปัญหา และแนวทางแก้ไข
- วิธีการใช้งาน: การโจมตีแบบกำหนดเป้าหมาย, APT, การรวบรวมข้อมูล
- ปัญหา: ตรวจพบยาก แก้ไขยาก
- โซลูชั่น: การวิเคราะห์พฤติกรรม, ระบบการตรวจจับและการตอบสนองปลายทาง (EDR), การให้ความรู้แก่ผู้ใช้
ลักษณะหลักและการเปรียบเทียบอื่น ๆ ที่มีข้อกำหนดที่คล้ายกัน
| ลักษณะเฉพาะ | อาศัยอยู่นอกแผ่นดิน | มัลแวร์แบบดั้งเดิม |
|---|---|---|
| ความยากในการตรวจจับ | สูง | ปานกลาง |
| ความซับซ้อน | สูง | แตกต่างกันไป |
| การใช้เครื่องมือ | เครื่องมือที่ถูกกฎหมาย | มัลแวร์ที่กำหนดเอง |
มุมมองและเทคโนโลยีแห่งอนาคตที่เกี่ยวข้องกับการใช้ชีวิตนอกการโจมตีทางบก
ด้วยการพัฒนาอย่างต่อเนื่องของเทคโนโลยีความปลอดภัย ผู้โจมตียังได้พัฒนากลยุทธ์ของพวกเขาด้วย ทิศทางในอนาคตอาจรวมถึงการใช้ปัญญาประดิษฐ์ การเรียนรู้ของเครื่องจักร และการรวมการโจมตีเข้ากับอุปกรณ์ Internet of Things (IoT) อย่างกว้างขวางยิ่งขึ้น
วิธีการใช้พร็อกซีเซิร์ฟเวอร์หรือเชื่อมโยงกับ Living off the Land Attack
พร็อกซีเซิร์ฟเวอร์สามารถเป็นทั้งการป้องกันและความเสี่ยงในการโจมตี Living off the Land องค์กรสามารถใช้เพื่อตรวจสอบและกรองการรับส่งข้อมูลซึ่งอาจตรวจจับกิจกรรมที่เป็นอันตราย ในทางกลับกัน ผู้โจมตีสามารถใช้พร็อกซีเซิร์ฟเวอร์เพื่อปกปิดที่มาของตนและเพิ่มความซับซ้อนให้กับการโจมตีได้
