Класична модель кіберзахисту на кшталт «знайти шкідливий файл — заблокувати атаку» більше не відповідає реаліям. Атакувальники дедалі рідше покладаються на помітне шкідливе програмне забезпечення та дедалі частіше використовують те, що вже є в інфраструктурі: штатні адміністраторські утиліти, довірені системні бинарні файли, вбудовані мовні та скриптові рушії. Така тактика відома як Living off the Land (LOTL) і перетворює повсякденні інструменти адміністрування на прихований канал розвитку атаки.
Чому атаки, які виглядають як звичайна адмін-активність, стали новою нормою
Аналіз понад 700 000 серйозних інцидентів інформаційної безпеки демонструє стійкий тренд: до 84% атак задіюють легітимні інструменти для обходу засобів захисту. На відміну від класичного шкідливого ПЗ, така активність майже не відрізняється від повсякденної роботи адміністраторів і рідко викликає миттєві спрацьовування сигнатурних механізмів чи базового антивірусу.
Замість завантаження підозрілих виконуваних файлів зловмисники використовують PowerShell, WMIC, Certutil та інші вбудовані компоненти. У журналах подій це виглядає як звичайна дія: запуск скрипта, робота із сертифікатами, виконання системної команди. Відрізнити легітимне адміністрування від шкідливої активності стає складно, особливо у великих, розподілених інфраструктурах.
У результаті формується критична «сліпа зона» моніторингу: служби безпеки вже не можуть обмежитися пошуком «поганих файлів», їм доводиться аналізувати поведінку та контекст виконання команд у реальному часі. Поки аналітики перевіряють підозрілу послідовність дій, атакувальник встигає закріпитися в мережі, провести розвідку та перейти до латерального переміщення.
Легітимні інструменти Windows як внутрішня поверхня атаки
Навіть «чиста» інсталяція Windows 11 містить сотні нативних утиліт і бинарних файлів. Частину з них спільнота вже каталогізувала в проєктах на кшталт LOLBAS як потенційно придатні для LOTL-атак. Ці компоненти вбудовані в ОС, цифрово підписані Microsoft і за замовчуванням користуються високим рівнем довіри з боку систем захисту та адміністраторів.
Дослідження показують, що до 95% звернень до ризикованих системних утиліт є надмірними з точки зору щоденних операцій. Основні причини — занадто широкий доступ до інструментів і відсутність обмежень на рідко використовувані, але потужні функції: віддалене виконання команд, завантаження та розшифрування даних, зміна конфігурацій без додаткового контролю.
Кожен такий «зайвий» дозвіл перетворюється на потенційний маршрут атаки. Якщо зловмиснику не потрібно завантажувати новий виконуваний файл, а достатньо використати вже встановлений і довірений компонент, традиційний периметровий захист опиняється в програшному становищі: йому просто нічого блокувати на рівні файлів.
Обмеження EDR/XDR: коли виявлення перетворюється на інтерпретацію
Сучасні рішення класу EDR та XDR залишаються ключовим елементом виявлення явних загроз і аномалій. Однак зі зростанням кількості LOTL-атак їх роль зміщується від простого «детекту» до складної інтерпретації поведінки: чи є конкретна команда PowerShell частиною легітимного сценарію автоматизації, чи це крок у ланцюжку атаки? Чи очікуваний запуск цього процесу від цього користувача та в цьому сегменті мережі?
Додатковий виклик — швидкість атак. Зловмисники активно використовують автоматизацію та, дедалі частіше, інструменти штучного інтелекту, щоб миттєво змінювати тактику у відповідь на блокування. Поки подія переходить шлях від виявлення до підтвердження аналітиком, може бути вже виконане латеральне переміщення, створені механізми стійкого закріплення та підготовлені канали ексфільтрації даних. Ставка лише на детектування очевидно недостатня — необхідно проактивно зменшувати саму внутрішню поверхню атаки.
Внутрішня поверхня атаки: що це таке і з чого почати її скорочення
Поняття внутрішньої поверхні атаки
Внутрішня поверхня атаки — це сукупність усіх легітимних засобів, через які атакувальник може розвивати атаку вже всередині інфраструктури: адмін-утиліти, скрипти, сервісні акаунти, довірені бинарні файли, системні служби. У більшості організацій ця область погано формалізована: ризики усвідомлюються загалом, але немає точної карти, які саме інструменти доступні, кому і у яких сценаріях.
Оцінка внутрішньої поверхні атаки як практичний перший крок
Щоб отримати таку картину, низка вендорів, зокрема Bitdefender, пропонують безкоштовні аудити типу Internal Attack Surface Assessment. Такі оцінки, як правило, базуються на пасивному зборі та аналізі телеметрії й дають структуроване уявлення про те, наскільки інфраструктура вразлива саме через довірені інструменти.
Результатом стає список пріоритизованих рекомендацій: які системні бинарні файли варто обмежити, які права користувачів і сервісних акаунтів потрібно переглянути, де необхідні додаткові політики контролю виконання команд (наприклад, для PowerShell, WMI, служб віддаленого керування). Важлива перевага підходу — низьке навантаження на операційну діяльність: аудит зазвичай не заважає роботі користувачів і критичних сервісів.
У сучасних умовах LOTL-атаки вже стали стандартною тактикою зловмисників. Найбільшу небезпеку несуть не екзотичні експлойти нульового дня, а звичайні інструменти, які вже встановлені, довірені й часто надмірно доступні у вашій мережі. Чим раніше організація отримає чітке уявлення про те, як саме вбудовані засоби можуть бути використані проти неї, тим швидше вона зможе скоротити зайві маршрути атаки: обмежити доступ до ризикованих утиліт, запровадити контроль використання PowerShell та інших засобів автоматизації, переглянути права сервісних акаунтів і провести оцінку внутрішньої поверхні атаки. Це не лише підвищує ефективність EDR/XDR, а й проактивно позбавляє зловмисників їх головного ресурсу — ваших власних інструментів.
