Киберпреступники достаточно давно применяют тактику Living off the Land, подразумевающую использование легитимных программ и компонентов операционной системы для атак на пользователей Microsoft Windows. Этим они пытаются решить сразу несколько задач.
- Снизить затраты на разработку вредоносного инструментария.
- Минимизировать след, оставляемый в операционной системе.
- Замаскировать свою активность под легитимную работу IT-персонала.
Иными словами, основная их цель — затруднить обнаружение вредоносной деятельности. Поэтому эксперты по безопасности давно следят за активностью потенциально небезопасных исполняемых файлов, скриптов и библиотек и даже ведут своего рода реестр таких инструментов на странице проекта LOLBAS на GitHub.
Наши коллеги, отвечающие за сервис Managed Detection and Response, защищают множество компаний из самых разных сфер бизнеса и часто видят применение этой тактики в реальных атаках. В рамках подготовки отчета Managed Detection and Response: Analyst report они решили посмотреть, какие именно системные компоненты наиболее часто применяются в атаках против современного бизнеса. Вот что они выяснили.
Первое место — PowerShell
PowerShell — программный движок и скриптовый язык с интерфейсом командной строки. Он ожидаемо является наиболее часто используемым злоумышленниками легитимным инструментом, несмотря на все попытки Microsoft сделать его более безопасным и контролируемым. PowerShell пытались эксплуатировать в 3,3% всех инцидентов, выявленных нашим сервисом MDR. При этом если посмотреть только на критические инциденты, то видно, что PowerShell засветился в каждом пятом из них (точнее — в 20,3%).
Второе место — rundll32.exe
Второй по частоте использования злоумышленниками — хост-процесс rundll32, который служит для запуска кода из динамически подключаемых библиотек (DLL). Он был задействован в 2% от всех и в 5,1% критических инцидентов.
Третье место — несколько утилит
В 1,9% от всех инцидентов были задействованы пять инструментов.
- te.exe — часть фреймворка автотестирования Test Authoring and Execution Framework
- PsExec.exe — инструмент, позволяющий запускать процессы на удаленных системах.
- CertUtil.exe — инструмент для работы с информацией от центров сертификации.
- Reg.exe — файл Microsoft Registry Console Tool, позволяющий из командной строки менять и добавлять ключи в системный реестр.
- wscript.exe — сервер сценариев Windows, предназначенный для запуска сценариев на скриптовых языках.
Эти пять исполняемых файлов применялись злоумышленниками в 7,2% критических инцидентов.
Кроме того, эксперты Kaspersky Managed Detection and Response наблюдали применение msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe и shell32.exe.
Ознакомиться с другими результатами исследования Managed Detection and Response: Analyst report можно вот здесь.