در دنیای امروز که شاهد افزایش حملات سایبری و باجافزار هستیم، سازمانها با تهدیدات روزافزونی روبهرو هستند که از ابزارهای قانونی و نرمافزارهای موجود در سیستمهایشان برای نفوذ و تخریب استفاده میکنند. این نوع حملات که به عنوان “Living-off-the-Land” یا “زندگی در محیط” (LOTL) شناخته میشود، در طی سالهای اخیر به یکی از روشهای اصلی حملات سایبری تبدیل شده است. با توجه به این تغییرات در چشمانداز امنیت سایبری، شرکت سیمانتک راهکاری نوآورانه به نام “Adaptive Protection” یا محافظت تطبیقی ارائه کرده است که به سازمانها کمک میکند تا از خود در برابر این نوع حملات حفاظت کنند.
رشد فزاینده استفاده از ابزارهای قانونی در حملات سایبری
طبق تحلیلهای سیمانتک از حملات باجافزار در سه سال گذشته (۲۰۲۱-۲۰۲۳)، تقریباً ۵۰ درصد از این حملات با استفاده از ابزارهای قانونی یا نرمافزارهای پیشنصب شده صورت گرفته است. این روند نشان میدهد که مجرمان سایبری به جای استفاده از بدافزارهای خاص، از نرمافزارهای موجود و قانونی برای حمله به سیستمها استفاده میکنند و از طریق آن، مراحل نفوذ و تخریب را به اجرا میگذارند.
همچنین گزارش جدیدی از “گروه استراتژی سازمانی” (Enterprise Strategy Group) که توسط دیو گروبر نوشته شده است، بیان میکند که بیش از نیمی از رهبران امنیتی (۵۲٪) اذعان دارند که عملیاتهای امنیتی امروز نسبت به دو سال گذشته پیچیدهتر شدهاند. این پیچیدگی ناشی از گسترش سطح حملات و تغییر سریع چشمانداز تهدیدات است. این تغییرات شامل افزایش استفاده از ابزارهای LOTL نیز میشود.
چرا حملات LOTL اینقدر موثر هستند؟
یکی از دلایل موفقیت زیاد حملات LOTL، این است که سازمانها تمایلی به مسدود کردن نرمافزارهای قانونی ندارند. این ابزارها بهطور معمول برای اهداف مشروع در سیستمها نصب شدهاند و جلوگیری از استفاده از آنها میتواند عملکرد عادی سازمان را مختل کند. همین امر باعث میشود که شناسایی و جلوگیری از این حملات بسیار دشوار شود. علاوه بر این، این نوع حملات اغلب ردپای دیجیتال کمتری به جا میگذارند و از “شاخصهای سازش” (IOCs) که معمولاً برای شناسایی حملات استفاده میشوند، استفاده نمیکنند. سازمان امنیت سایبری و زیرساختهای آمریکا (CISA) نیز این چالش امنیتی را در گزارش خود با عنوان “شناسایی و کاهش تکنیکهای زندگی در محیط” مورد توجه قرار داده است. این گزارش تاکید دارد که فقدان شاخصهای سنتی برای شناسایی فعالیتهای LOTL، تلاشهای مدافعان شبکه برای شناسایی و پیگیری رفتارهای مخرب را پیچیدهتر میکند.
از سوی دیگر، سازمانها به دلایل مختلف از ابزارهای LOTL استفاده میکنند و هر کسبوکار ممکن است به طور خاص و متفاوت از این ابزارها در بخشهای مختلف خود استفاده کند. این بدان معناست که یک رویکرد یکسان برای همه شرکتها در مواجهه با این نوع حملات ناکافی خواهد بود.
سیمانتک Adaptive Protection: راهکاری نوین برای مقابله با حملات LOTL
در مواجهه با چالشهایی که در بالا مطرح شد، سیمانتک راهکار “Adaptive Protection” یا محافظت تطبیقی خود را معرفی کرده است. یکی از مزایای بزرگ این راهکار این است که برای حفاظت از سیستمها در برابر حملات LOTL نیازی به شاخصهای سازش (IOCs) ندارد. سیمانتک از طریق این راهکار، ابزارها و برنامههایی که بهطور معمول در این نوع حملات استفاده میشوند را تحلیل میکند و سپس با استفاده از دادههای خاص محیط کاری هر سازمان، تحلیلهای خود را به روز رسانی میکند.
Adaptive Protection بهطور پیوسته محیط عملیاتی مشتریان را تجزیه و تحلیل میکند و با داشتن تاریخچهای از یک سال فعالیتهای ابزارها در سازمان، تنها ابزارهایی را مسدود میکند که به صورت قانونی مورد استفاده قرار نمیگیرند. این ویژگی نه تنها از شناسایی اشتباه (False Positives) جلوگیری میکند، بلکه استفاده مخرب از این ابزارها را نیز متوقف میکند و راه را برای نفوذ مهاجمان مسدود میسازد.
به عنوان مثال، در زمان نگارش این مقاله، Adaptive Protection در حال پیگیری ۴۶۹ رفتار خاص در ۵۴ ابزار و نرمافزار پیشنصب شده مختلف است. با ظهور روشهای جدید حمله، شبکه اطلاعات جهانی سیمانتک دادههای جدیدی را به این سیستم تزریق میکند تا همیشه بهروز و موثر باقی بماند.
چگونگی استفاده مهاجمان از ابزارهای LOTL
گزارش جدید سیمانتک با عنوان “چشمانداز تهدیدات باجافزار ۲۰۲۴” جزئیات دقیقی درباره نحوه استفاده مهاجمان از ابزارهای LOTL برای انجام حملات باجافزار ارائه میدهد. از جمله این ابزارها، PowerShell، WMI و Vssadmin هستند که در ردههای اول ابزارهای مورد استفاده مهاجمان قرار دارند. با این حال، لیستی از سایر ابزارهای پیشنصب شده که مهاجمان از آنها برای حمله استفاده میکنند نیز در این گزارش و همچنین در مقاله “پیشرفتهای امنیت نقطه پایانی” که توسط دیو گروبر نوشته شده، آمده است.
به عنوان مثال، مهاجمان از PowerShell به عنوان یک ابزار قانونی برای اجرای دستورات مخرب، دانلود بدافزارها و سرقت اطلاعات استفاده میکنند. همین امر باعث شده است که شناسایی و جلوگیری از این نوع فعالیتها بسیار دشوار شود.
چرا به رویکرد جدید نیاز داریم؟
چشمانداز تهدیدات سایبری، به ویژه حملات باجافزار، به سرعت در حال تغییر است. حملات نه تنها پیچیدهتر شدهاند، بلکه روشهای جدیدی مانند استفاده از ابزارهای قانونی نیز به روشهای قدیمی افزوده شدهاند. در نتیجه، استفاده از راهکارهای امنیتی سنتی دیگر کافی نیست و سازمانها باید به دنبال راهکارهای نوآورانهای مانند سیمانتک Adaptive Protection باشند که به جای مدلهای واکنشی، رویکردی پیشگیرانه و تطبیقی را اتخاذ میکند.
باجافزارها تنها هزینهی باج را به سازمانها تحمیل نمیکنند؛ بلکه خسارات بلندمدتی همچون از دست رفتن دادهها، تخریب اعتبار شرکت و اختلال در عملیاتها را نیز به همراه دارند. به همین دلیل، اتخاذ یک رویکرد پیشگیرانه و تطبیقی میتواند به کاهش قابل توجه خطرات این نوع حملات کمک کند.
با توجه به رشد فزاینده حملات سایبری و استفاده مهاجمان از ابزارهای قانونی برای نفوذ به سیستمها، استفاده از راهکارهای سنتی امنیتی دیگر کافی نیست. سیمانتک با ارائه راهکار Adaptive Protection به سازمانها این امکان را میدهد که بدون نیاز به شاخصهای سازش، از سیستمهای خود در برابر حملات LOTL محافظت کنند. این رویکرد نوآورانه نه تنها به جلوگیری از حملات باجافزار کمک میکند، بلکه با شناسایی دقیق ابزارهای مخرب و تطبیق با محیطهای کاری مختلف، از شناسایی اشتباه نیز جلوگیری میکند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه انوع لایسنس های اورجینال Symantec می باشد.