Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Współczesne incydenty bezpieczeństwa coraz częściej nie opierają się na klasycznym złośliwym oprogramowaniu, lecz na nadużyciu legalnych i zaufanych narzędzi administracyjnych obecnych już w środowisku Windows. Takie podejście, znane jako living off the land, pozwala napastnikom działać przy użyciu natywnych komponentów systemu oraz aplikacji firm trzecich, co znacząco utrudnia wykrycie aktywności.
Problem nie dotyczy wyłącznie podatności czy obecności malware. Równie istotne są nadmierne uprawnienia, szeroka dostępność narzędzi administracyjnych oraz ograniczona widoczność tego, jaka jest faktyczna wewnętrzna powierzchnia ataku organizacji.
W skrócie
Opisany model zakłada 45-dniowy proces oceny wewnętrznej powierzchni ataku, którego celem jest ustalenie, jakie legalne narzędzia, procesy i zachowania użytkowników mogą zostać wykorzystane po uzyskaniu dostępu do środowiska. Kluczowy wniosek jest prosty: największe ryzyko często nie znajduje się na obrzeżach infrastruktury, lecz już wewnątrz organizacji.
Podejście opiera się na profilowaniu zachowań użytkownik–urządzenie, wyliczaniu poziomu ekspozycji oraz stopniowym ograniczaniu funkcji, które nie są uzasadnione biznesowo. W części organizacji takie działania miały pozwolić ograniczyć powierzchnię ataku o co najmniej 30% już w pierwszych 30 dniach.
- priorytetem jest identyfikacja realnie używanych narzędzi,
- analiza skupia się na kontekście użycia, a nie tylko na samej obecności binariów,
- celem jest prewencja i zmniejszenie możliwości działania napastnika.
Kontekst / historia
Od kilku lat rośnie znaczenie technik post-eksploatacyjnych wykorzystujących standardowe narzędzia systemowe. PowerShell, WMIC, netsh, certutil czy MSBuild są powszechnie wykorzystywane przez administratorów, integratorów i aplikacje biznesowe, ale jednocześnie stanowią wygodny zestaw narzędzi dla operatorów ransomware, grup APT oraz przestępców prowadzących rekonesans i ruch boczny.
W przywołanym materiale wskazano, że analiza 700 tysięcy incydentów wysokiej wagi wykazała udział nadużyć legalnych narzędzi w 84% przypadków. Zwrócono też uwagę, że czysta instalacja Windows 11 zawiera 133 unikalne binaria klasyfikowane jako living-off-the-land binaries, występujące łącznie w 987 instancjach. Dodatkowo PowerShell ma być aktywny na 73% endpointów, często uruchamiany bez wyraźnej interakcji użytkownika przez inne aplikacje.
To pokazuje, że standardowe środowisko robocze już na starcie posiada rozbudowaną i trudną do kontrolowania powierzchnię ataku, która może zostać wykorzystana bez potrzeby dostarczania dodatkowego kodu.
Analiza techniczna
Rdzeń techniczny opisanego podejścia polega na obserwacji zachowań endpointów i budowie profili operacyjnych dla pary użytkownik–urządzenie. Oznacza to odejście od uproszczonego modelu „blokuj wszystko, co podejrzane” na rzecz analizy tego, jakie narzędzia są faktycznie używane, przez kogo, na jakich hostach i w jakim kontekście procesowym.
Proces podzielono na cztery etapy. Pierwszy obejmuje uruchomienie projektu oraz fazę uczenia behawioralnego, trwającą zwykle około 30 dni. W tym czasie tworzony jest model codziennej aktywności, który pozwala odróżnić uzasadnione użycie od funkcji dostępnych, lecz niepotrzebnych biznesowo.
Drugi etap to przegląd dashboardu ekspozycji, który przypisuje organizacji wynik w skali 0–100 i porządkuje ustalenia w kilku obszarach ryzyka. Obejmują one binaria LOLBins, narzędzia zdalnej administracji, komponenty umożliwiające manipulację i obchodzenie kontroli, koparki kryptowalut oraz oprogramowanie pirackie.
Trzeci etap dotyczy właściwej redukcji powierzchni ataku. Kontrole mogą być wdrażane ręcznie lub automatycznie, a w razie potrzeby dostęp może być przywracany na żądanie użytkownika poprzez workflow akceptacyjny. To ważne z punktu widzenia operacyjnego, ponieważ pozwala ograniczać ekspozycję bez nadmiernego zakłócania pracy biznesu.
Czwarty etap to podsumowanie wyników i ocena, o ile zmniejszono możliwości działania napastnika oraz jakie elementy shadow IT i nieautoryzowanych binariów ujawniono podczas projektu.
Z perspektywy bezpieczeństwa szczególnie istotne jest odejście od modelu opartego wyłącznie na EDR. Samo wykrywanie podejrzanych poleceń PowerShell czy użycia certutil bywa niewystarczające, jeśli narzędzia te pozostają szeroko dostępne dla użytkowników i procesów, które w codziennej pracy wcale ich nie potrzebują. Opisane podejście stawia więc na ograniczanie możliwości wykonania określonych działań jeszcze zanim staną się one elementem pełnego łańcucha ataku.
Konsekwencje / ryzyko
Najważniejsza konsekwencja dla organizacji jest taka, że po uzyskaniu dostępu do środowiska atakujący nie muszą wnosić własnych plików wykonywalnych. Mogą korzystać z tego, co już znajduje się na stacjach roboczych i serwerach. Obniża to próg wejścia, redukuje ślady i zwiększa skuteczność obchodzenia mechanizmów opartych głównie na sygnaturach lub reputacji plików.
Ryzyko ma kilka wymiarów:
- wzrost prawdopodobieństwa skutecznego ruchu bocznego i rekonesansu wewnętrznego,
- przeciążenie SOC dużą liczbą alertów dotyczących aktywności pozornie legalnej,
- trudności audytowe i problemy z wykazaniem zgodności,
- większe ryzyko związane z shadow IT i nieautoryzowanymi narzędziami zdalnymi,
- utrata kontroli nad konfiguracją bezpieczeństwa w środowiskach Windows.
W praktyce każdy niepotrzebnie dostępny mechanizm administracyjny może stać się zasobem, który przeciwnik wykorzysta po przełamaniu pierwszej linii obrony. W dużych organizacjach nie jest to problem incydentalny, ale systemowy.
Rekomendacje
Organizacje powinny zacząć od zinwentaryzowania legalnych narzędzi administracyjnych i wykonawczych obecnych na endpointach. Szczególną uwagę należy poświęcić LOLBins, interpreterom skryptów, narzędziom zdalnej administracji oraz komponentom umożliwiającym pobieranie, wykonywanie i tunelowanie ruchu.
Kolejnym krokiem powinna być analiza użycia tych narzędzi w kontekście konkretnych użytkowników, hostów i procesów. Sama obecność PowerShell lub podobnego komponentu nie musi oznaczać ryzyka krytycznego. Problem pojawia się wtedy, gdy dane narzędzie jest dostępne szerzej, niż wymaga tego rzeczywisty model operacyjny firmy.
W praktyce warto wdrażać następujące działania:
- profilowanie zachowań użytkownik–urządzenie,
- redukcję nieużywanych lub zbędnych narzędzi administracyjnych,
- blokowanie lub ograniczanie zdalnych narzędzi niespełniających polityk bezpieczeństwa,
- kontrolę uruchamiania skryptów i interpreterów,
- monitorowanie użycia narzędzi systemowych w nietypowych kontekstach,
- szybki proces zatwierdzania wyjątków biznesowych,
- identyfikację i eliminację shadow IT.
Redukcję powierzchni ataku warto traktować jako proces ciągły, a nie jednorazowy projekt. Środowiska endpointowe zmieniają się stale, podobnie jak zestaw aplikacji oraz wymagania operacyjne. Regularna rewizja ekspozycji pozwala zawężać liczbę scenariuszy, które mogą zostać wykorzystane przez napastnika po początkowej kompromitacji.
Podsumowanie
Koncepcja 45-dniowej obserwacji własnych narzędzi pokazuje wyraźne przesunięcie akcentu z reakcji na incydent na prewencyjne ograniczanie możliwości działania przeciwnika. Najważniejszy wniosek jest taki, że rzeczywista powierzchnia ataku organizacji nie kończy się na podatnych usługach czy niezałatanych systemach, ale obejmuje również wszystkie legalne mechanizmy, które mogą zostać użyte niezgodnie z przeznaczeniem.
Im lepiej organizacja rozumie, które narzędzia są naprawdę potrzebne, a które pozostają dostępne jedynie z przyzwyczajenia, tym skuteczniej może ograniczyć ryzyko kompromitacji, ruchu bocznego i eskalacji incydentu do pełnoskalowego naruszenia.
Źródła
- What 45 Days of Watching Your Own Tools Will Tell You About Your Real Attack Surface — https://thehackernews.com/2026/05/what-45-days-of-watching-your-own-tools.html
- Your Biggest Security Risk Isn’t Malware — It’s What You Already Trust — https://thehackernews.com/2026/05/your-biggest-security-risk-isnt-malware.html
- Bitdefender: Internal Attack Surface Assessment — https://www.bitdefender.com/en-us/business/products/internal-attack-surface-assessment.html
- Bitdefender GravityZone PHASR — https://www.bitdefender.com/en-us/business/products/gravityzone-proactive-hardening-and-attack-surface-reduction.html
- MITRE ATT&CK: Living off the Land — https://attack.mitre.org/