🛡️هل سألت نفسك كيف يستطيع المهاجم او المخترق أن يتحكم في جهاز الضحية لعمل أساليب RED TEAM مثل رفع الصلاحيات وسرقة المعلومات والتجول داخل الشبكة، دون التسبب في أن يتم كشفه لفترة طويلة؟..
▪️في معظم الهجمات الإلكترونية، تصيب البرامج الضارة كمبيوتر الضحية وتعمل كقاعدة إرسال واستقبال الأوامر للمهاجم، يعد العثور على قاعدة الإرسال هذه وإزالتها أمرا سهلاً نسبيا بإستخدام برامج مكافحة البرامج الضارة.
▪️ولكن هناك طريقة هجوم أخرى لا يحتاج فيها المجرم الإلكتروني إلى تثبيت برامج ضارة.
▪️يشير مصطلح (Living off the Land) إلى استخدام الأدوات ذات الاستخدام المزدوج، والتي إما أن تكون مثبتة بالفعل في بيئة الضحايا، أو أدوات إدارية أو شرعية أو أدوات نظام التي ممكن تستخدم بشكل ضار.
▪️بدلاً من ذلك، يقوم المهاجم بتنفيذ نص برمجي يستخدم الموارد الموجودة على الجهاز للهجوم الإلكتروني، والأسوأ من ذلك كله، أن هجوم (LotL) يمكن أن يستمر دون أن يتم اكتشافه لفترة طويلة.
💥ما هو هجوم LotL؟
هو أسلوب يستخدمه المهاجمون للاستفادة من الأدوات والموارد المشروعة في نظام المخترق، يعني بعد ما تخترق النظام انت ممكن تستفيد من أدوات مجهزة مع النظام نفسه دون التعب في تطوير البرامج النصية وتحميلها على جهاز الضحية، هذا الأدوات الجاهزة في النظام تستخدم للحفاظ على الوصول وإخفاء وجودهم.
🚩يمكن أن يشمل ذلك استخدام أوامر Windows المضمنة ولغات البرمجة النصية وأدوات أخرى للتنقل بشكل جانبي داخل الشبكة أو استخراج البيانات أو إنشاء الثبات، الهدف هو استخدام الأدوات التي من المحتمل أن تكون موجودة وموثوق بها، مما يجعل من الصعب على الدفاعات الأمنية اكتشاف إجراءات المهاجم وحظرها.
🚩قبل أن يوجه ممثل التهديد بنيتك التحتية ضدك في هجوم ( LotL )، يجب أن يكون قادرا على تنفيذ الأوامر على نظام مستهدف لذلك، فإن هجمات LotL هي إطار ما بعد الإصابة لأهداف مثل لاستطلاع الشبكة والتجول داخل الشبكة.
غالبا ما يستخدم بعض قراصنة البرامج الأصلية لهجمات LotL، بما في ذلك وحدة تحكم سطر الأوامر ، و PowerShell ، ووحدة تحكم تسجيل Windows ، وسطر أوامر Windows Management Instrumentation، يستخدم المتسللون أيضًا مضيفي البرامج النصية المستندة إلى Windows والمستندة إلى وحدة التحكم (WScript.exe و CScript.exe). تأتي الأدوات مع كل كمبيوتر يعمل بنظام Windows وهي ضرورية لتنفيذ المهام الإدارية العادية.
🚩يعد استخدام الميزات المضمنة في البيئات المستهدفة لتجنب الاكتشاف والتحليل أمرا شائعا، وقد تم اكتشاف العديد من البرامج الضارة باستخدام تقنيات LOTL، على سبيل المثال، GravityRAT و OopsIE اللذان يستخدمان طلبات WMI لاكتشاف الشبكةأيضًا، استخدمت البرامج الضارة مثل Emotet trojan و Carbon Backdoor و Shamoon المهام المجدولة في حملاتهم للاستمرار والتهرب من الاكتشاف.
🟢للمزيد من التفاصيل:
هذا مشروع كامل ويشمل جميع المكاتب والأدوات مع الشرح:🛡️👇🏻
https://github.com/LOLBAS-Project/LOLBAS#criteria
