در بیشتر از شش ماه از آغاز سال ۲۰۲۴، شاهد افزایش بیسابقهای در استفاده از ابزارهای دو منظوره در حملات باجافزاری بودهایم. ابزارهای دو منظوره نرمافزارهایی قانونی هستند که برای انجام وظایف خاص کسبوکاری و فناوری اطلاعات طراحی شدهاند، اما به جای آن توسط مهاجمان نصب و برای انجام حملات باجافزاری مورد استفاده قرار میگیرند. در حالی که اکثر گروههای باجافزاری فعال در گذشته از برخی از این ابزارهای دو منظوره استفاده کردهاند، تعداد ابزارهای مورد استفاده در حال حاضر به طور چشمگیری افزایش یافته است.
این گسترش سریع ابزارهای دو منظوره در حملات باجافزاری نقش سوءاستفاده از نرمافزارهای قانونی را در تقویت بحران باجافزاری نشان میدهد. مهاجمان به طور فزایندهای از نرمافزارهای قانونی، که به عنوان “استفاده از منابع داخلی” (Living Off the Land یا LOTL) شناخته میشوند، در طول حملات باجافزاری استفاده میکنند تا وابستگی خود به بدافزارها را به حداقل برسانند. در واقع، آژانس امنیت ملی (NSA)، آژانس امنیت سایبری و زیرساختها (CISA)، افبیآی (FBI)، و مرکز ملی امنیت سایبری بریتانیا (NSC-UK) اکنون با هم متحد شدهاند تا به مدافعان کمک کنند این حملات را بهتر شناسایی کرده و در برابر آنها محافظت کنند، با انتشار گزارشی جدید با عنوان “شناسایی و کاهش تکنیکهای استفاده از منابع داخلی”.!
در یک مقاله دیگر، دیو گروبر، تحلیلگر اصلی گروه استراتژی سازمانی (ESG)، مینویسد: “بیش از نیمی از رهبران امنیتی (۵۲٪) به ESG گزارش دادهاند که عملیاتهای امنیتی نسبت به دو سال پیش چالشبرانگیزتر شدهاند، که این امر ناشی از رشد و تغییر سطح حمله و همچنین چشمانداز تهدیدی در حال تغییر سریع است. این شامل افزایش استفاده از ابزارهای LOTL نیز میشود.”
و خطرات ناشی از ابزارهای LOTL و دو منظوره فراتر از حملات باجافزاری است. همانطور که CISA، FBI، NCSC و NSA اخیراً فاش کردهاند، بازیگران دولتملی اغلب از این تکنیکها برای فرار از شناسایی استفاده میکنند. به عنوان مثال، بازیگران BlackTech از تکنیکهای استفاده از منابع داخلی برای ادغام با فعالیتهای معمول سیستم عامل و شبکه استفاده میکنند، که به آنها اجازه میدهد تا از شناسایی توسط محصولات شناسایی و پاسخدهی به تهدیدات (EDR) فرار کنند.
حملات با استفاده از منابع داخلی در مقابل حملات مبتنی بر ابزارهای دو منظوره
بیشتر ابزارهای LOTL نرمافزارهای قانونی هستند که قبلاً روی دستگاه نصب شدهاند و اغلب جزء سیستم عامل ویندوز هستند، مانند PowerShell، WMI و Vssadmin. بر اساس تحلیل ما، بیشتر گروههای باجافزاری روشهای از پیش تعریف شدهای برای استفاده از این ابزارهای LOTL در اختیار دارند. در مقابل، ابزارهای دو منظوره بستههای نرمافزاری قانونی گستردهای هستند که اغلب توسط مهاجمان به شبکههای هدف وارد میشوند. نرمافزارهای دسکتاپ از راه دور/مدیریت از راه دور رایجترین دسته دو منظوره هستند که برای کنترل نقاط پایانی به جای استقرار بدافزار مورد استفاده قرار میگیرند. در واقع، گروه باجافزار LockBit اخیراً خبرساز شد که از نرمافزار نظارت و مدیریت از راه دور برای گسترش جایگاه خود در شبکههای هدف استفاده کرد.
سایر ابزارهای دو منظوره محبوب که در حملات باجافزاری مشاهده کردهایم شامل موارد زیر است:
PsExec: ابزاری از Microsoft Sysinternals برای اجرای فرآیندها در سیستمهای دیگر. این ابزار عمدتاً توسط مهاجمان برای جابجایی در شبکههای قربانیان استفاده میشود.
NetScan: SoftPerfect Network Scanner (netscan.exe)، ابزاری عمومی که برای کشف نامهای میزبان و خدمات شبکه استفاده میشود.
AdFind: ابزاری عمومی که برای پرسوجوی Active Directory استفاده میشود. این ابزار کاربردهای قانونی دارد، اما بهطور گستردهای توسط مهاجمان برای نقشهبرداری شبکه استفاده میشود.
Rclone: ابزاری متنباز که به طور قانونی میتواند برای انتقال محتوا به فضای ابری استفاده شود، اما توسط عاملان باجافزاری برای استخراج دادهها از ماشینهای قربانی سوءاستفاده شده است.
AnyDesk: یک نرمافزار دسکتاپ از راه دور قانونی، که اخیراً خود نیز دچار حمله شد. AnyDesk و ابزارهای مشابه اغلب توسط مهاجمان برای دسترسی از راه دور به کامپیوترهای یک شبکه استفاده میشوند.
در گزارش اخیر، CISA به درستی به بسیاری از چالشهای امنیتی اشاره کرده که مدافعان در تلاش برای جلوگیری از سوءاستفاده مهاجمان از ابزارهای “خوب” شناخته شده با آن مواجه هستند. “عدم وجود شاخصهای سنتی برای شناسایی تخلف (IOCs) مرتبط با فعالیتهای LOTL، تلاشهای مدافعان شبکه برای شناسایی، ردیابی و طبقهبندی رفتارهای مخرب را پیچیدهتر میکند.” روشهای سنتی امنیتی در محافظت از شرکتها در برابر این خطر مؤثر نیستند.