Quando você pensa em qualquer crimegeralmente, os criminosos escolhem o caminho de menor resistência. O caminho que os faz entrar e sair sem serem notados ou deixarem evidências. Os criminosos cibernéticos não são diferentes. Quando eles localizam seu alvo, os hackers usam táticas fáceis de implantar que podem passar despercebidas. Eles esperam entrar, exfiltrar dados e sair sem deixar rastros antes que a empresa perceba que que foi que foi violada. Como as soluções NextGen AV e EDR evoluíram para responder melhor ao malware, cada vez mais os criminosos cibernéticos estão realizando ataques do tipo "living off the land" (LOTL).
O que é um ataque LOTL?
Os computadores possuem poderosas ferramentas integradas que são essenciais para o funcionamento de um sistema operacional. Um ataque LOTL é aquele que utiliza essas ferramentas do computador ou outro software legítimo para fins maliciosos. Os hackers manipulam essas ferramentas integradas e usam o seu computador contra você para cumprir sua missão, que geralmente é roubar seus dados.
Que ferramentas os hackers utilizam nos ataques LOTL?
87%dos ataques cibernéticos atuais usam o PowerShell, tornando-o, de longe, o vetor de ataque LOTL mais popular. O PowerShell é uma interface de shell incorporada ao Windows para fornecer aos administradores de TI uma ferramenta avançada para interagir com o sistema operacional e automatizar tarefas. Os hackers geralmente usam o PowerShell para executar scripts em ambientes-alvo que instalam backdoors, exfiltram dados e instalam ransomware. Quando um criminoso cibernético obtém acesso ao PowerShell no computador de uma vítima, ele pode controlar esse computador e, potencialmente, acessar todos os computadores que compartilham a mesma rede.
Embora o PowerShell possa ser a ferramenta mais utilizada para fins maliciosos, todo sistema operacional contém muitas outras ferramentas integradas poderosas que os hackers podem explorar. O Windows Management Instrumentation (WMI) é frequentemente usado para manipular sombras de volume, determinar qual antivírus está instalado e desativar o do endpoint. O Rundll32 é frequentemente usado para contornar o controle de aplicativos, abusar de DLLs legítimas e executar DLLs maliciosas. Os cibercriminosos chegam a abusar do Registro do Windows ao modificar chaves específicas do Registro para roubar credenciais e contornar outros controles de segurança. Infelizmente, à medida que os defensores descobrem uma maneira de se proteger contra um método específico de ataque, os cibercriminosos encontram uma nova ferramenta para usar indevidamente e acessar dados, e o ciclo continua.
Relacionado: ThreatLocker Webinar "Aplicativos incorporados podem ser armados e usados contra você"
Por que os ataques LOTL são tão comuns?
As ferramentas estão prontamente disponíveis.
Os ataques LOTL são uma escolha popular entre os cibercriminosos para cometer seus atos ilícitos. Essas ferramentas legítimas e assinadas vêm instaladas nos computadores por padrão, portanto, estão prontamente disponíveis.Os ataques LOTL são difíceis de detectar.
Como os computadores dependem dessas ferramentas nativas para suas funções operacionais normais, é difícil para os EDRs e antivírus de última geração distinguirem entre o uso típico e esperado e um ataque que da mesma ferramenta. Os ataques perpetrados usando técnicas LOTL são considerados “sem arquivo”, o que ajuda a ocultá-los das ferramentas de segurança.Os ataques LOTL podem permitir que os agentes maliciosos alcancem persistência.
Como são difíceis de detectar, os agentes maliciosos podem usar essas funções integradas para obter persistência, o que significa que o adversário pode manter uma presença no ambiente. Obter persistência permite que os cibercriminosos observar e explorar o ambiente alvo ao longo do tempo, descobrindo todas as chaves do reino sem serem detectados.É difícil prevenir ataques LOTL.
As ferramentas nativas utilizadas indevidamente nos ataques LOTL vêm pré-instaladas em todos os computadores Windows e são necessárias para as funções administrativas normais. Por esse motivo, a maioria dos ambientes não podem simplesmente desativar, desinstalar ou bloquear esses vetores de ataque comuns. Os ataques sem arquivo não podem serem prevenidos usando a segurança tradicional de endpoints, pois não são considerados “malware” por essas soluções de detecção e resposta .
Como o o ThreatLocker ajudar a mitigar os riscos associados a ataques LOTL?
Então, dá para ver por que os ataques LOTL são difíceis de combater. A boa notícia é que, desafiador não é impossível, e o ThreatLocker pode ajudar a mitigar o risco associado aos ataques LOTL. O ThreatLocker funciona de maneira diferente das ferramentas tradicionais de segurança de endpoint para ajudar a criar um ambiente Zero Trust. A A lista de aplicativos permitidos do ThreatLocker impede a execução de quaisquer aplicativos, scripts ou DLLs não autorizados. Como essas ferramentas integradas são necessárias para funções administrativas normais, criar uma regra para bloquear sua execução não funcionará na maioria dos ambientes. Embora você não bloqueá-las sem danificar um computador, se um invasor obtiver acesso a uma dessas ferramentas nativas do Windows e tentar executar um script não autorizado, o script será bloqueado.
Para reduzir ainda mais o risco, ThreatLocker desenvolveu oRingfencing™tecnologia. A Ringfencing™ cria limites em torno de permitidos para determinar com o que os aplicativos autorizados podem interagir, bloqueando interações não autorizadas com outros aplicativos, o registro, seus arquivos e a Internet. Impeça que os aplicativos interajam com PowerShell, WMI, Rundll32 e qualquer outro aplicativo que não ajuda a impedir que um agente mal-intencionado obtenha acesso ao PowerShell usando outro aplicativo, como um documento mal-intencionado do Word para executar um script do PowerShell. Suponha que um criminoso cibernético consiga acessar o PowerShell. Com o Ringfencing aplicado, o PowerShell não pode acessar a Internet para obter mais instruções de um centro de comando e controle ou copiar seus arquivos para um URL mal-intencionado.
Resumo
Os ataques LOTL oferecem aos cibercriminosos um meio eficaz de roubar dados valiosos sem alertar as ferramentas de segurança. Essas ferramentas integradas são componentes essenciais do Windows, o que significa que não podem serem desinstaladas ou bloqueadas. Embora os ataques LOTL representem desafios para os defensores cibernéticos, seus riscos podem ser mitigados com as ferramentas adequadas. ThreatLocker A lista de permissões do ThreatLocker oferece suporte a um ambiente Zero Trust, e todos os aplicativos, scripts e bibliotecas não autorizados serão bloqueados por padrão, protegendo contra scripts maliciosos. O O Ringfencing™ permite que você coloque barreiras de proteção em torno de seus aplicativos e ferramentas nativas para impedir que os aplicativos tenham interações não aprovadas com outros aplicativos e com as poderosas ferramentas nativas. O Plataforma de Proteção de Endpoints permite que você mitigue os riscos associados a ataques LOTL.
Embora nenhum nenhum produto possa prevenir ou mitigar todos os riscos atualmente, o Plataforma de Proteção de Endpoints Plataforma de Proteção de Endpoints oferece muitas ferramentas para ajudar você a manter o controle do seu ambiente. Agende uma demonstração ao vivo do produto hoje mesmo e veja por si mesmo como o ThreatLocker protege contra ataques LOTL e mitiga outras vulnerabilidades cibernéticas.
Esta é uma postagem de blog patrocinada.
