Jest 3:37 w niedzielę w Los Angeles i jedna z wiodących firm świadczących usługi finansowe na zachodnim wybrzeżu doświadcza drugiego tygodnia ataków typu life-off-the-land (LOTL). Rządowy zespół ds. cyberataków obrał za cel algorytmy firmy służące do ustalania cen, handlu i wyceny zysków z kryptowalut. Używając zwykłych narzędzi, państwo narodowe zinfiltrowało infrastrukturę firmy i powoli ją uzbroja dla własnych korzyści.
Według raportu Global Threat Report 2025 firmy CrowdStrike prawie 80% współczesnych ataków, w tym ataków na finanse, jest obecnie wolnych od złośliwego oprogramowania i polega na tym, że przeciwnicy wykorzystują ważne dane uwierzytelniające, narzędzia do zdalnego monitorowania i narzędzia administracyjne o przełomowym czasie (czasami krótszym niż minuta).
Nikt w SOC ani w zespole kierowniczym ds. cyberbezpieczeństwa nie podejrzewa, że coś jest nie tak. Istnieją jednak wyraźne sygnały wskazujące, że atak jest w toku.
Wzrost kradzieży danych uwierzytelniających, naruszenia bezpieczeństwa poczty elektronicznej w przedsiębiorstwach oraz wykorzystywanie luk typu zero-day stwarzają idealne warunki do rozprzestrzeniania się ataków LOTL. Niedawne badanie przeprowadzone przez Bitdefender wykazało, że 84% współczesnych ataków wykorzystuje techniki LOTL, omijając tradycyjne systemy wykrywania. W prawie 1 na 5 przypadków napastnicy, w coraz większym stopniu wspomagani automatyzacją i uproszczonymi narzędziami, wykradli wrażliwe dane w ciągu pierwszej godziny od naruszenia bezpieczeństwa.
Jak wynika z opracowanego przez IBM X-Force 2025 Threat Intelligence Index, taktyki oparte na LOTL stanowią obecnie przyczynę większości współczesnych włamań cybernetycznych, a zaawansowane trwałe zagrożenia (APT) często pozostają niewykryte przez tygodnie lub miesiące, zanim hakerzy wydobędą cenne dane.
Konsekwencje finansowe są porażające. W badaniu zagrożeń CrowdStrike z 2025 r. szacuje się, że średni koszt przestojów związanych z oprogramowaniem ransomware wynosi 1,7 mln dolarów na incydent, a w sektorze publicznym może wzrosnąć do 2,5 mln dolarów. Dla liderów branży stawka jest tak wysoka, że budżety na bezpieczeństwo konkurują obecnie z budżetami kluczowych ośrodków zysku.
Twoje najbardziej niezawodne narzędzia to arsenał atakującego
„Są to narzędzia, których nie można wyłączyć, ponieważ używają ich administratorzy, używają ich aplikacje, używają ich (pracownicy), ale używają ich (również) napastnicy” – powiedział Martin Zugec, dyrektor ds. rozwiązań technicznych w Bitdefender, na RSAC-2025 na początku tego roku. „Nie możesz ich wyłączyć, ponieważ wpłynie to na biznes”.
Raport CrowdStrike z 2025 r. potwierdza, że przeciwnicy rutynowo wykorzystują narzędzia, takie jak PowerShell, instrumentacja zarządzania Windows (WMI), PsExec, protokół Remote Desktop Protocol (RDP), Microsoft Quick Assist, Certutil, Bitsadmin, MSBuild i inne, aby przetrwać w przedsiębiorstwach i uniknąć wykrycia. Narzędzia rzemieślnicze LOTL nie pozostawiają cyfrowego wydechu, co sprawia, że niezwykle trudno jest wykryć trwający atak.
„Osoby zagrażające w coraz większym stopniu wykorzystują techniki, takie jak posiadanie własnego podatnego sterownika (BYOVD) i LOTL, aby wyłączyć agenty wykrywania i reagowania na punktach końcowych (EDR) oraz ukrywać złośliwą aktywność w ramach legalnych operacji systemowych” – stwierdził Gartner w niedawnym raporcie. „Wykorzystując popularne narzędzia systemu operacyjnego, takie jak PowerShell, MSHTA i Certutil, komplikują wykrywanie i ukrywają się w hałasie alertów EDR”.
Badania CrowdStrike dotyczące oprogramowania ransomware pokazują, że 31% incydentów związanych z oprogramowaniem ransomware ma swój początek w nadużyciu legalnych narzędzi do zdalnego monitorowania i zarządzania, co dowodzi, że nawet narzędzia IT w przedsiębiorstwach są szybko wykorzystywane przez atakujących.
Rzeczywistość udokumentowana w raportach CrowdStrike znajduje potwierdzenie w głębszych badaniach branżowych: wektorem ataku jest obecnie sam stos IT, a te, które opierają się na tradycyjnych mechanizmach kontroli i wykrywaniu na podstawie sygnatur, pozostają niebezpiecznie w tyle.
Wskazówki behawioralne ukryte na widoku
Przeciwnicy polegający na technikach LOTL są znani ze swojej cierpliwości.
Ataki, które kiedyś wymagały złośliwego oprogramowania i przyciągających uwagę exploitów, ustąpiły miejsca nowej normie: przeciwnicy wtapiają się w tło, korzystając z samych narzędzi administracyjnych i zdalnego zarządzania, na których polegają zespoły ds. bezpieczeństwa.
Jak zauważył Zugec z Bitdefender: „Przeważnie widzimy, że podręcznik, z którego korzystają napastnicy, działa tak dobrze, że po prostu powtarzają go w dużej liczbie. Nie włamują się, logują się. Nie używają nowego złośliwego oprogramowania. Po prostu korzystają z narzędzi, które już istnieją w sieci”.
Žugec opisał podręcznikowy przełom LOTL: Żadnego złośliwego oprogramowania, żadnych nowych narzędzi. BitLocker, PowerShell, popularne skrypty administracyjne; wszystko wydawało się rutynowe, dopóki pliki nie zniknęły i nikt nie mógł ich wyśledzić. To właśnie tam dziś zwyciężają zagrożenia.
Przeciwnicy wykorzystują normalność jako kamuflaż. Wiele z najbardziej zaufanych i używanych przez administratorów narzędzi jest właśnie powodem, dla którego naloty LOTL rozprzestrzeniają się tak szybko i cicho. Žugec jest brutalnie szczery: „Dołączenie do sieci nigdy nie było tak łatwe, jak teraz”. To, co kiedyś było naruszeniem granic, jest obecnie znanym naruszeniem, niewidocznym dla starszych narzędzi i nie do odróżnienia od rutynowej administracji.
Raport Global Threat Report 2025 firmy CrowdStrike przedstawia skalę tego zjawiska w liczbach, które powinny przykuć uwagę każdego zarządu. Autorzy raportu piszą: „W 2024 r. 79% wykryć wykrytych przez CrowdStrike nie zawierało złośliwego oprogramowania (znaczny wzrost z 40% w 2019 r.), co wskazuje, że przeciwnicy zamiast tego stosują praktyczne techniki pisania na klawiaturze, które wtapiają się w legalną aktywność użytkownika i utrudniają wykrycie. To przejście w kierunku technik ataków wolnych od złośliwego oprogramowania było dominującym trendem w ciągu ostatnich pięciu lat”.
Badacze pracujący w raporcie odkryli również, że czasy przełomu w przypadku skutecznych ataków w dalszym ciągu się skracają; średnia to tylko 48 minut, najszybsze 51 sekund.
Rada Žugeca dla weteranów pracujących w tym nowym paradygmacie jest otwarta i pragmatyczna. „Zamiast po prostu gonić za czymś innym, zastanów się, jak wykorzystać wszystkie te możliwości, które posiadamy, wszystkie te technologie, sprawić, by współpracowały i napędzały się nawzajem”. Pierwszy krok: „Zrozumienie powierzchni ataku. Pierwszym krokiem powinno być samo poznanie, jak działają napastnicy i co robią nie pięć tygodni temu, ale właśnie teraz”.
Zachęca zespoły do poznania, jak wygląda normalnie w ich własnym środowisku, i wykorzystania tej linii bazowej do wykrycia tego, co naprawdę jest nie na miejscu, dzięki czemu obrońcy przestaną gonić za niekończącymi się alertami i zaczną reagować tylko wtedy, gdy ma to znaczenie.
Już teraz przejmij pełną odpowiedzialność za swój pakiet technologii
Ataki LOTL nie tylko wykorzystują zaufane narzędzia i infrastrukturę, ale także kulturę organizacji i codzienną zdolność do konkurowania.
Zachowanie bezpieczeństwa oznacza uczynienie stałej czujności podstawową wartością, wspieraną przez zerowe zaufanie i mikrosegmentację jako kotwice kulturowe. To dopiero pierwsze kroki. Rozważ architekturę Zero Trust Architecture NIST (SP 800-207) jako szkielet organizacyjny i podręcznik do bezpośredniego zwracania się do LOTL:
-
Ogranicz teraz uprawnienia na wszystkich kontach i usuń długotrwałe konta artystów, które nie były używane od lat: Zastosuj dostęp z najniższymi uprawnieniami do wszystkich kont administratorów i użytkowników, aby zapobiec eskalacji ataku.
-
Wymuś mikrosegmentację: Podziel swoją sieć na bezpieczne strefy; pomoże to ograniczyć atakujących, ograniczyć ruch i zmniejszyć promień wybuchu, jeśli coś pójdzie nie tak.
-
Zwiększ dostęp do narzędzi i zobacz, kto z nich korzysta: Ogranicz, monitoruj i rejestruj PowerShell, WMI i inne narzędzia. Używaj podpisywania kodu, ograniczonych trybów językowych i ograniczaj dostęp do zaufanego personelu.
-
Przyjmij zasady zerowego zaufania NIST: Stale weryfikuj tożsamość, higienę urządzenia i kontekst dostępu zgodnie z SP 800-207, ustawiając zaufanie adaptacyjne jako domyślne.
-
Scentralizuj analizę behawioralną i rejestrowanie: Korzystaj z zaawansowanego monitorowania, aby sygnalizować nietypowe działania za pomocą narzędzi systemowych, zanim incydent się eskaluje.
-
Zaimplementuj wykrywanie adaptacyjne, jeśli masz istniejącą platformę, którą można skalować i udostępniać przy minimalnych kosztach: Użyj EDR/XDR, aby wyszukać podejrzane wzorce, szczególnie gdy napastnicy korzystają z legalnych narzędzi w sposób omijający tradycyjne alerty.
-
Zespół czerwonych regularnie: Aktywnie testuj zabezpieczenia za pomocą symulowanych ataków i dowiedz się, jak przeciwnicy wykorzystują zaufane narzędzia w celu penetracji rutynowych zabezpieczeń.
-
Podnoś świadomość bezpieczeństwa i uczyń ją pamięcią mięśniową: Szkoluj użytkowników i administratorów w zakresie metod LOTL, inżynierii społecznej i subtelnych sygnałów zdradzających kompromis.
-
Aktualizacja i lista: Utrzymuj inwentarz aplikacji, łataj znane luki i przeprowadzaj częste audyty bezpieczeństwa.
Wniosek: Wspomniana na początku tej historii firma świadcząca usługi finansowe w końcu podniosła się po ataku LOTL. Obecnie ich modelami, procesem CI/CD rozwoju sztucznej inteligencji oraz badaniami i rozwojem genetycznej sztucznej inteligencji zarządza zespół menedżerów ds. cyberbezpieczeństwa z wieloletnim doświadczeniem w blokowaniu witryn i skarbców Departamentu Obrony USA.
Ataki LOTL są realne, rosnące, zabójcze i wymagają nowego sposobu myślenia od wszystkich osób zajmujących się cyberbezpieczeństwem.
