Que sont les attaques visant à vivre de la terre et comment pouvez-vous les arrêter ?

Les techniques de piratage pour vivre de la terre (LOTL) ne sont pas vraiment nouvelles, mais un avis récent des États-Unis et de leurs alliés des Five Eyes a mis en évidence la menace sérieuse qu’ils représentent pour les gouvernements et les organisations du monde entier.

L’objectif principal des techniques LOTL est d’aider les pirates informatiques à compromettre les systèmes informatiques et à mener des cyberactivités malveillantes contre les organisations sans se faire repérer par les outils de surveillance de la sécurité. Alors, dans cette optique, quelles bonnes pratiques les organisations peuvent-elles adopter pour identifier et atténuer les attaques LOTL ?

Ce que dit l'avis

Le récent avis Five Eyes a été publié par des agences gouvernementales américaines, notamment la Cybersecurity and Infrastructure Security Agency (CISA), la NSA et le FBI, en collaboration avec des partenaires internationaux tels que le National Cyber ​​Security Centre (NCSC) du Royaume-Uni et le Centre canadien pour la cybersécurité. Sécurité (CCS). Il prévient que les stratégies de LOTL ont aidé les pirates informatiques parrainés par l’État chinois à lancer des cyberattaques dévastatrices contre les fournisseurs américains d’infrastructures critiques (CNI).

Le groupe de piratage chinois Volt Typhoon a utilisé LOTL pour rester caché dans les réseaux informatiques critiques des secteurs CNI tels que les communications, l'énergie, les transports, l'eau et les eaux usées. Sa motivation semble être un prépositionnement en cas de conflit potentiel avec les États-Unis et leurs alliés.

"Le groupe s'appuie également sur des comptes valides et s'appuie sur une sécurité opérationnelle solide, qui, combinées, permettent une persistance non découverte à long terme", peut-on lire. « En fait, les agences auteurs américaines ont récemment observé des indications selon lesquelles des acteurs de Volt Typhoon maintenaient un accès et une présence dans certains environnements informatiques victimes pendant au moins cinq ans. »

Une plongée profonde dans LOTL

Lorsqu’ils mènent des attaques LOTL, les cybercriminels exploitent généralement de véritables outils déjà installés sur les ordinateurs compromis. Cela leur permet de mener des activités malveillantes contre les organisations sans que leurs équipes de sécurité ne le découvrent et n'interviennent.

Les cybercriminels trouvent souvent cette approche plus simple et plus furtive que le téléchargement de nouveaux outils ou applications sur un système piraté, selon Michael Clark, directeur de la recherche sur les menaces chez Sysdig.

« Les outils exploités par les attaquants sont également considérés comme fiables dans de nombreux cas, car ils peuvent implémenter la signature de code », explique-t-il à ISMS.online. "Si l'outil est couramment utilisé dans l'environnement de la victime, son usage peut se confondre avec l'ensemble des usages légitimes."

Kennet Harpsoe, cyberanalyste principal chez Logpoint, explique à ISMS.online que les cybercriminels qui lancent des attaques LOTL sont motivés par le désir de poursuivre leurs objectifs infâmes en utilisant des binaires légitimes, intégrés et signés déjà présents sur les systèmes informatiques de la cible. Il prévient qu'ils peuvent le faire à n'importe quelle étape de la chaîne de cyberattaque, y compris la découverte, la persistance, le mouvement latéral ou le commandement et le contrôle.

Un certain nombre de facteurs rendent les attaques LOTL très dangereuses pour les organisations. Premièrement, parce qu’ils utilisent des applications et des outils légitimes utilisés par les organisations, Harpsoe prévient que les systèmes antivirus et de détection d’intrusion conventionnels pourraient ne pas les identifier.

«Cela en fait un outil précieux et furtif permettant aux acteurs malveillants d'échapper à la détection», explique-t-il.

Deuxièmement, les stratégies LOTL permettent aux pirates informatiques de mener des activités numériques malveillantes contre leurs victimes sans laisser de trace. Cette méthode est « incroyablement polyvalente », leur offrant de multiples façons de lancer des attaques. Ceux-ci incluent l'exécution de code et la possibilité de télécharger, télécharger ou copier des fichiers.

Découvrir les attaques LOTL

Bien qu’il puisse être difficile pour les organisations de détecter les attaques LOTL, elles peuvent adopter diverses bonnes pratiques pour renforcer leurs cyberdéfenses.

Jake Moore, conseiller mondial en cybersécurité chez ESET, recommande aux entreprises de sécuriser leurs systèmes en mettant en œuvre des contrôles d'administration stricts, en effectuant régulièrement des mises à jour et des correctifs logiciels et en suivant l'activité du réseau en temps réel.

Il explique à ISMS.online que les contrôles de sécurité basés sur le comportement peuvent également constituer une technique d'atténuation utile contre les attaques LOTL, en mettant en évidence toute activité numérique irrégulière pouvant suggérer qu'un cybercriminel abuse d'un outil légitime tel qu'un registre informatique.

Il encourage également les employeurs à former leur personnel à la détection et à l'atténuation des menaces de sécurité en ligne, car les attaques LOTL commencent souvent par des tactiques d'ingénierie sociale telles que les e-mails de phishing.

Sean Wright, responsable de la sécurité des applications chez Featurespace, admet qu'il n'est pas facile d'atténuer les attaques LOTL, mais affirme que les programmes de gestion des correctifs et des vulnérabilités, les solutions de surveillance et les alertes d'anomalie peuvent fournir une couche supplémentaire de cyberprotection.

Harpsoe de Logpoint souligne les avantages de la construction d'un réseau défendable et séparé dans le cadre d'une stratégie de sécurité passive. Des étapes simples telles que la suppression des comptes, services ou ports inutilisés, la mise en œuvre d'une authentification à deux facteurs, la limitation des droits d'administrateur et la ségrégation des réseaux peuvent également aider les organisations à minimiser la surface d'attaque de leurs réseaux et systèmes informatiques, ajoute-t-il.

Yossi Rachman, directeur de la recherche en sécurité chez Semperis, affirme que la première étape pour lutter contre les attaques LOTL consiste à établir un processus permettant d'identifier les irrégularités du système qui indiquent une activité suspecte.

« Portez une attention particulière aux processus et aux pilotes des points finaux. Surveillez également en permanence l'exécution des processus, en particulier pour les LOLBin (Living off the Land Binaries) courants comme PowerShell, WMIC et certutil », a-t-il déclaré à ISMS.online. « Examiner les informations accessibles au public et maintenues en permanence Projet LOLLabs pour une liste des binaires couramment (abusés) utilisés.

Il ajoute que la surveillance de l'activité en ligne de commande, ainsi que l'utilisation de systèmes de détection et de réponse d'identité, d'outils de surveillance du réseau et d'analyses comportementales, peuvent également aider les entreprises à identifier les comportements suspects suggérant qu'une attaque LOTL est en cours.

Kelly Indah, experte en technologie et analyste en sécurité chez Increditools, souligne l'importance du partage d'informations pour lutter contre ce problème mondial.

« La coopération internationale pour documenter l'évolution des stratégies des adversaires étatiques est inestimable pour élever des défenses partout où ces groupes pourraient ensuite tourner leur regard », a-t-elle déclaré à ISMS.online. « Ensemble, nous pouvons renforcer notre bouclier contre les menaces les plus furtives. »

Les techniques de piratage LOTL représentent une menace importante pour les organisations du monde entier, qu'elles soient utilisées par des États-nations ou par des groupes de piratage motivés par des raisons financières. Bien que ces attaques soient trompeuses par conception, les entreprises peuvent y faire face en améliorant la cyber-hygiène et en suivant les meilleures pratiques du secteur.