Ataques do tipo “living off the land” representam riscos significativos para as organizações e além disso, são difíceis de detectar. Aprenda o básico sobre como esses ataques operam e como limitar seus danos.
Os malwares, e todas as suas várias formas incluindo o ransomware, tem se tornado cada vez mais furtivo e sofisticado nos últimos anos. Também em alta, está a sua capacidade de evadir as proteções dos softwares de segurança cibernética.
Um dos principais motivos pelos quais detectar e eliminar o malware é tão difícil, é o surgimento de um método de ataque chamado “living off the land” (LotL).
O termo se refere a um grupo de técnicas que normalmente são executadas em código shell ou scripts executados na memória.
A técnica de invasão “Living-off-the-land” consiste em usar as próprias ferramentas e utilitários do sistema, para realizar atividades maliciosas. Com esses ataques, que não usam arquivos maliciosos facilmente detectáveis, um invasor pode se esconder em um computador ou rede e evitar a descoberta por ferramentas de segurança.
Mesmo se um ataque for descoberto, os binários usados são excepcionalmente difíceis de erradicar. Como resultado, um ataque LotL é particularmente arriscado para as vítimas.
“Living-off-the-land” – Uma breve história
O conceito de usar malware sem arquivo, ou malware que depende de programas legítimos para atacar, apareceu pela primeira vez no início do século atual. Os primeiros exemplos dessa abordagem incluem malware com nomes como Frodo, Code Red e o Worm SQL Slammer. No entanto, estes códigos maliciosos eram mais um incômodo do que uma ameaça real. Então, em 2012, um trojan bancário chamado Lurk apareceu, embora não fosse extremamente sofisticado, demonstrou o potencial do LotL.
Em 2013, os pesquisadores de segurança Christopher Campbell e Matt Greaber, cunharam o termo LotL para descrever o malware que se esconde dentro de um sistema e explora ferramentas e utilitários legítimos para causar danos. Nos últimos anos, o escopo e a sofisticação desses ataques aumentaram. Na verdade, à medida que as empresas de segurança se tornaram melhores na identificação e criação da “lista negra” de arquivos maliciosos, os ataques sem arquivo tornaram-se cada vez mais populares.
Como o ataque “Living-off-the-land” funciona?
Em um ataque LotL, os adversários tiram proveito de ferramentas e utilitários legítimos dentro de um sistema. Isso pode incluir: scripts PowerShell, scripts Visual Basic, WMI, PSExec e Mimikatz. O ataque explora a funcionalidade do sistema e o sequestra para fins maliciosos. Pode incluir táticas como sequestro de DLL, ocultação de código, dumping de processos, download de arquivos, bypass do UAC, compilação de código, evasão de log, execução de código e persistência.
Os cibercriminosos usam métodos diferentes e criam diferentes tipos de malware que se enquadram na categoria geral de LotL. Em muitos casos, eles usam ferramentas como Poshspy, Powruner e Astaroth, que aproveitam LOLBins e técnicas sem arquivo para evitar a detecção. A maioria dos ataques envolve binários do Windows que mascaram atividades maliciosas; no entanto, os ataques LotL também podem afetar MacOS, Linux, Android e serviços em nuvem.
A razão pela qual essa abordagem funciona tão bem, é porque recursos como PowerShell e Windows Scripting Host (WScript.exe) oferecem recursos que excedem em muito as necessidades da maioria das organizações, e muitos desses recursos não são desabilitados ou removidos quando não são exigidos por uma organização. No geral, mais de 100 ferramentas binárias do Windows representam um risco sério, de acordo com o GitHub.
Como são os ataques de LotL?
Depois que os hackers acessam ferramentas legítimas como o PowerShell, eles podem acessar outros processos e códigos legítimos, incluindo linguagens de script integradas, como Perl, Python e C ++.
Por exemplo, um invasor pode criar um script que inclui uma lista de máquinas alvo e, executar um PSExec com privilégios elevados, copiar e executar um malware em máquinas adjacentes. Outro possível método de ataque é aproveitar um script de logon e logoff por meio de um objeto de diretiva de grupo (GPO), ou abusar da interface de gerenciamento do Windows (WMI) para distribuir ransomware em massa dentro da rede.
Uma abordagem semelhante usa malware para injetar código malicioso em um processo de execução confiável como o SVCHOST.EXE ou usar o aplicativo RUNDLL32.EXE do Windows. Isso torna possível criptografar documentos, a partir de um processo confiável, relata a empresa de segurança cibernética Sophos. Essa tática pode evitar a detecção por alguns programas anti-ransomware, que não monitoram ou são configurados para ignorar a atividade de criptografia executada por aplicativos padrões do sistema operacional Windows.
O ransomware também pode ser executado a partir de um NTFS Alternate Data Stream (ADS) para se esconder tanto dos usuários vítimas, quanto do software de proteção de endpoint, segundo a empresa de segurança cibernética Malwarebytes Labs. Muitas vezes, todo o ataque ocorre em poucas horas ou durante a noite, quando a equipe presta menos atenção aos sistemas de TI. Depois que o malware criptografa os arquivos, o destinatário acaba com uma tela bloqueada e uma nota de resgate.
Esses ataques geralmente parecem surgir do nada porque a criptografia real do arquivo é executada em um componente Powershell.exe confiável. Como resultado, o software de proteção de endpoint pode não detectar o processo porque parece ser legítimo, de acordo com a Sophos.
Um dos ataques LotL mais amplamente divulgados ocorreu em 2017, quando um malware chamado Petya apareceu. Inicialmente, ele infectou um programa de contabilidade de software na Ucrânia e depois se espalhou pelas empresas. Mais recentemente, o ataque na SolarWinds, também conhecido como SUNBURST, usou LotL e outros métodos para plantar o malware em um dos softwares de patches da empresa de segurança.
Comentário do Especialista
Não existe uma maneira simples de evitar o risco de um ataque de LotL. Também é difícil determinar quem está iniciando o ataque devido à natureza furtiva do malware.
Em geral, a melhor defesa é garantir que componentes desnecessários sejam desabilitados ou removidos dos sistemas, ou estratégias que considerem a criação de listas de permissões de aplicativos, limitação dos privilégios administrativos, software de análise comportamental, correções automatizadas e atualização de componentes regularmente, e principalmente, um programa de conscientização dos usuários sobre os riscos associados ao clicar em links de e-mail e abrir anexos.
Para saber mais
• Malware Frodo
• Code Red, Nimda, and SQL Slammer
• Surto de ransomware Petya
• Backdoor SUNBURST (SolarWinds)
• Lurk (Trojan Bancário)
• Christopher Campbell and Matt Greaber – (DerbyCon 2013)
• 100+ ferramentas binárias do Windows que representam sério risco
• Sophos 2020 Threat Report
• Alternate Data Streams
Clique aqui e entre em contato com o nosso time de especialistas e saiba como proteger a sua empresa de ataques cibernéticos.
