Zašto napadači sve češće zloupotrebljavaju legitimne alate u okruženju?
Tekst opisuje zašto napadači sve češće koriste legitimne administrativne alate i ugrađene sistemske binarne fajlove umesto klasičnog malwarea. Kao glavni razlozi navode se teže otkrivanje LOTL aktivnosti, široka dostupnost nativnih alata u Windows okruženju i ograničenja detekcije kada se zlonamerno ponašanje preklapa sa normalnim radom administratora. Članak je u suštini vendor tekst koji ovu priču koristi da uvede ponudu za procenu internog attack surface-a.
Ono što ovde menja sliku jeste činjenica da napadaču često nije potrebno da unese ništa novo u sistem. Ako već može da koristi PowerShell, WMIC, certutil ili slične alate koji su prisutni i dozvoljeni, odbrana se pomera sa prepoznavanja fajla na razumevanje ponašanja, privilegija i stvarne potrebe za pristupom tim alatima.
- Mapirati koji legitimni administrativni alati su dostupni korisnicima i sistemima
- Smanjiti nepotreban pristup alatima i funkcijama koje se realno ne koriste
- Pratiti neuobičajeno korišćenje alata kao što su PowerShell, WMIC i certutil
- Ne oslanjati se samo na EDR upozorenja, već povezivati ponašanje, privilegije i kontekst
- Vendor tvrdnje iz ovakvih tekstova proveravati kroz sopstvenu procenu i realne logove