Escrevo frequentemente sobre a ameaça do malware e como os agentes de ameaças o usam para fazer de tudo, desde roubar informações pessoais até assumir o controle total dos dispositivos dos usuários ou adicioná-los a botnets. Esses programas maliciosos se espalham por meio de diversas formas de phishing, ataques ClickFix, malvertising e até mesmo aplicativos que foram examinados e aprovados pela Apple e pelo Google.
No entanto, à medida que os usuários (e as ferramentas de segurança) melhoraram na identificação dos sinais de uma infecção por malware e foram suficientemente experientes para evitá-los, alguns cibercriminosos mudaram de tática: os ataques Living Off the Land (LOTL) exploram utilitários e ferramentas de sistema integrados que podem ter menos probabilidade de levantar sinais de alerta.
Como funcionam os ataques Living Off the Land
Como descreve Huntress, LOTL refere-se ao uso de recursos locais em vez de importar novos de fora. Em vez de inserir malware personalizado na máquina de um usuário, os invasores exploram ferramentas como PowerShell, Windows Management Instrumentation (WMI), utilitários integrados e aplicativos confiáveis, como o Microsoft Teams, para fins maliciosos. É improvável que os programas antivírus sinalizem essas ferramentas como suspeitas – na maioria dos casos, não são – porque elas se misturam aos processos normais do sistema e deveriam estar lá.
Ao sequestrar ferramentas legítimas, os agentes de ameaças conseguem acessar sistemas e redes, executar códigos remotamente, aumentar privilégios, roubar dados ou até mesmo instalar outras formas de malware. A interface de linha de comando do PowerShell permite downloads de arquivos e execução de comandos, tornando-a uma ferramenta popular para malfeitores, junto com o WMI, embora binários Unix e drivers assinados do Windows também sejam frequentemente explorados.
Os invasores LOTL podem empregar kits de exploração, que podem espalhar malware sem arquivo por meio de phishing ou outras formas de engenharia social, bem como credenciais roubadas e ransomware sem arquivo para obter acesso a ferramentas nativas. O Malwarebytes Labs identificou recentemente uma campanha espalhada por meio de atualizações falsas do Google Meet para explorar um recurso legítimo de registro de dispositivos Windows – executado por meio de um servidor de ataque hospedado em uma plataforma confiável de gerenciamento de dispositivos móveis.
O que você acha até agora?
Como detectar um ataque LOTL
Muitas táticas para identificar, abordar e prevenir ataques LOTL são direcionadas a organizações com grandes infraestruturas para defender, mas os utilizadores individuais também podem (e devem) estar atentos a este tipo de ameaça. Como sempre, fique atento a sinais de phishing e outras formas de engenharia social que os malfeitores usam para roubar credenciais e obter acesso a redes e dispositivos. Tenha cuidado com comunicações não solicitadas contendo links, notificações sobre atualizações de software e segurança e qualquer coisa que provoque curiosidade, ansiedade, urgência ou medo. Instale atualizações de segurança assim que estiverem disponíveis para evitar que vulnerabilidades sejam exploradas.
Quando se trata de detectar LOTL especificamente, a Huntress aconselha procurar comportamentos incomuns em vez de apenas arquivos ou programas suspeitos – por exemplo, ferramentas executadas fora de seus contextos normais ou em padrões inesperados, bem como conexões de rede incomuns de utilitários de sistema. Monitore e registre o uso de ferramentas comumente exploradas e audite quaisquer ferramentas de acesso remoto e registros de dispositivos.
