O que são ataques living-off-the-land (LOTL)?

Living-off-the-land (LOTL) é uma técnica de ciber ataque de malware sem arquivos ou LOLbins na qual ciber criminosos usam ferramentas nativas e legítimas do sistema da vítima para sustentar e promover um ataque.

Como os ataques living-off-the-land (LOTL) funcionam?

Diferente dos ataques tradicionais de malware que usam arquivos de assinatura para executar planos de ataque, os ataques living-off-the-land não têm arquivos — não exigem que um invasor instale códigos ou scripts no sistema de destino. Na verdade, o invasor usa ferramentas que já pertencem ao ambiente, como PowerShell, Windows Management Instrumentation (WMI) ou a ferramenta de gestão de senhas, Mimikatz, para realizar o ataque.

Por usarem ferramentas nativas, os ataques living-off-the-land são mais difíceis de detectar, especialmente se a organização usar ferramentas de segurança tradicionais para verificar scripts de malware ou arquivos. Se aproveitando dessa lacuna no conjunto de ferramentas de segurança, o hacker geralmente permanece indetectado no ambiente da vítima por semanas, meses ou até anos.

Ferramentas living-off-the-land (LTOL)

Se invasores living-off-the-land não precisam instalar código para lançar ataques de malware sem arquivos, como eles ganham acesso ao ambiente para mudar as ferramentas nativas e atender suas necessidades? O acesso pode ser obtido de várias formas, por exemplo, usando:

• Kits de exploit
• Ferramentas nativas sequestradas
• Malware residente no registro
• Malware exclusivo da memória
• Ransomware sem arquivo
• Credenciais roubadas

Kits de exploit

Exploits são códigos, sequências de comandos ou coleções de dados, e kits de exploit são coleções de exploits. Esses kits são usados pelos adversários para se aproveitar de vulnerabilidades conhecidas em um sistema operacional ou em uma aplicação instalada.

Os exploits são uma forma eficiente de lançar ataques de malware sem arquivo, tais como ataques LOTL, porque podem ser injetados diretamente na memória sem que nada precise ser gravado em disco. Os adversários podem usar os exploits para automatizar o comprometimento inicial em grande escala.

Todo exploit começa do mesmo jeito, independentemente de o ataque não ter arquivos ou usar malware tradicional. Geralmente, as pessoas são vítimas de um e-mail de phishing ou engenharia social. O kit de exploit geralmente inclui exploits para diversas vulnerabilidades e um console de gerenciamento que os invasores podem usar para controlar o sistema. Em certos casos, o kit de exploit tem a capacidade de executar varreduras no sistema alvo em busca de vulnerabilidades para depois criar e lançar exploits personalizados em tempo real.

Ferramentas nativas sequestradas ou ferramentas de uso duplo

Nos ataques living-off-the-land, os adversários costumam sequestrar ferramentas legítimas para escalonar privilégios, acessar sistemas e redes diferentes, roubar ou criptografar dados, instalar malware, definir pontos de acesso de backdoor ou promover o caminho de ataque de qualquer outra forma. São exemplos de ferramentas nativas ou de uso duplo:

• Clientes do protocolo de transferência de arquivos (FTP) ou funções do sistema, como PsExec
• Ferramentas forenses, como a ferramenta de extração de senhas Mimikatz
• PowerShell, um framework para o lançamento de scripts com funções amplas para a administração de dispositivos Windows
• WMI, uma interface de acesso a vários componentes do Windows

Malware residente no registro

Malware residente no registro é aquele que instala a si mesmo no registro do Windows para manter a persistência e, ao mesmo tempo, evitar a detecção.

Frequentemente, a infecção de sistemas Windows ocorre por meio de um programa "dropper" que baixa um arquivo malicioso. Esse arquivo permanece ativo no sistema afetado, tornando-o vulnerável à detecção por softwares antivírus. O malware sem arquivos também pode usar um programa "dropper" que não baixa um arquivo malicioso. Em vez disso, ele injeta o código malicioso diretamente no registro do Windows.

O código malicioso pode ser programado para ser executado a cada inicialização do sistema operacional, sem que haja um arquivo malicioso detectável — o código malicioso está oculto em arquivos nativos indetectáveis por antivírus.

Poweliks é a variante mais antiga desse tipo de ataque, mas muitas outras já surgiram, como Kovter e GootKit. Malwares que modificam chaves de registro têm altas chances de permanecerem ativos e indetectados por longos períodos.

Malware exclusivo da memória

Esse tipo de malware reside apenas na memória. Um exemplo desse tipo de malware é o worm Duqu, que consegue se manter oculto porque reside exclusivamente na memória. O Duqu 2.0 tem duas versões: a primeira serve como backdoor, permitindo que um invasor se estabeleça na organização. Depois o invasor pode usar a versão avançada do Duqu 2.0, com funcionalidades a mais, como reconhecimento, movimento lateral e exfiltração de dados. O Duqu 2.0 já foi usado para invadir com sucesso empresas do setor de telecomunicações e pelo menos um fornecedor de software de segurança renomado.

Ransomware sem arquivo

Os adversários não se limitam a um único tipo de ataque. Eles usam qualquer tecnologia que os ajude a capturar payloads. Hoje, invasores de ransomware usam técnicas sem arquivos para integrar códigos maliciosos em documentos por meio do uso de linguagens de script nativas, como macros, ou para gravar códigos maliciosos diretamente na memória com base em um exploit. O ransomware então sequestra ferramentas nativas, como o PowerShell, para criptografar arquivos reféns sem nunca ter gravado uma única linha no disco rígido.

Credenciais roubadas

Ataques sem arquivos podem começar pelo uso de credenciais roubadas, permitindo que o invasor acesse o sistema alvo como se fosse um usuário legítimo. Dentro do sistema, ferramentas nativas como WMI ou PowerShell podem ser usadas pelos invasores para conduzir o ataque. A persistência pode ser estabelecida por meio da ocultação de código no registro ou no kernel, ou até mesmo pela criação de contas de usuário com acesso irrestrito a qualquer sistema.

Por que os ataques living-off-the-land são tão comuns?

Dados do Relatório Global de Ameaças de 2023, uma análise anual da CrowdStrike acerca do cenário de ameaças e do universo dos adversários, revela que 6 de cada 10 detecções (62%) indexadas pela Segurança em nuvem da CrowdStrike no último trimestre de 2021 foram livres de malware. Em vez disso, adversários estavam se aproveitando de credenciais legítimas e ferramentas integradas — marcas registradas dos ataques living-off-the-land — para promover o caminho de ataque.

Ataques living-off-the-land estão cada vez mais comuns porque costumam ser mais eficazes do que os de malware tradicionais. Isso ocorre porque são muito mais difíceis de detectar com ferramentas de segurança legadas, o que aumenta a chance deles de sucesso e concede aos invasores mais tempo para escalonar privilégios, roubar dados e definir backdoors para acesso futuro.

Outros motivos dos ataques living-off-the-land serem preferidos pelos ciber criminosos:

• Várias ferramentas comumente usadas nos ataques LOTL, tais como WMI e PowerShell, constam da lista de "permissão" da rede da vítima, o que as dá a cobertura ideal para realizar atividades maliciosas — atividades essas que frequentemente passam despercebidas pelo Centro de Operações de Segurança (SOC) e pelos demais mecanismos de segurança da vítima.
• Ataques LOTL não usam arquivos nem assinaturas, o que impede a comparação e o rastreamento dos ataques, dificultando a prevenção futura e permitindo que os ciber criminosos repitam as táticas usadas.
• O uso de ferramentas legítimas e a ausência de assinaturas dificultam a atribuição de ataques LOTL, incentivando a continuidade dos ciclos de ataque.
• Longos tempos de permanência sem detecção permitem que o adversário prepare e execute ataques complexos e sofisticados. Quando a vítima finalmente se dá conta do problema, geralmente é tarde demais para uma resposta eficaz.

Prevenção e detecção de ataques living-off-the-land

Ataques de ransomware sem arquivo e living-off-the-land são extremamente difíceis de detectar com métodos baseados em assinatura, antivírus legado, lista de permissões, sandbox ou até mesmo análise baseada em machine learning. Afinal, como as organizações podem se proteger contra esse tipo de ataque comum e com um potencial devastador?

Vamos compartilhar abaixo uma pequena lista de medidas de segurança que, quando tomadas como uma só abordagem integrada, ajudam a prevenir e detectar ataques living-off-the-land, malware sem arquivo, ransomware desconhecido e métodos de ataque semelhantes:

Indicadores de Ataque (IOAs)

Um dos jeitos mais eficazes de reduzir o risco de ataques living-off-the-land é usar indicadores de ataque (IOAs) em vez de indicadores de comprometimento (IOCs) .

Os indicadores de ataque representam uma capacidade mais proativa de detecção, buscando sinais de um ataque que está em andamento. IOAs abrangem sinais que vão da execução de código e movimento lateral até ações que aparentam ter o objetivo de ocultar a verdadeira intenção do invasor.

A eficácia desses indicadores na detecção de ataques sem arquivos reside no fato de que não são voltadas a como as etapas são iniciadas ou executadas. É irrelevante se a ação foi desencadeada por um arquivo no disco rígido ou por uma técnica sem arquivos. O que importa é a ação que é realizada, a relação dela com outras ações, a posição dela em uma sequência e as respectivas ações dependentes. Esses indicadores revelam as verdadeiras intenções e objetivos por trás dos comportamentos e eventos relacionados.

Como os ataques sem arquivos exploram linguagens de script legítimas como o PowerShell e não são gravados em disco, eles frequentemente escapam da detecção por métodos tradicionais, como analisar assinaturas, listar permissões e fazer sandbox. Até mesmo técnicas de machine learning se mostram ineficazes na análise desse tipo de malware. No entanto, os indicadores de ataque (IOAs) buscam sequências de eventos que o malware sem arquivos, inevitavelmente, precisa executar para atingir seus objetivos.

Além disso, por analisarem a intenção, o contexto e a sequência de ações, os IOAs são capazes de identificar e bloquear atividades maliciosas realizadas com contas legítimas, uma tática comum em ataques que envolvem credenciais roubadas ou o sequestro de programas legítimos.

Investigação Gerenciada de Ameaças

A investigação de ameaças para malware sem arquivos é um trabalho demorado e enfadonho que exige a coleta e a normalização de grandes quantidades de dados. No entanto, ela é um componente necessário de uma defesa que protege contra ataques sem arquivos e, por isso, a abordagem mais pragmática para a maioria das organizações é deixar a investigação de ameaças nas mãos de um provedor especializado.

Os serviços de investigação gerenciada de ameaças estão de plantão 24 horas por dia, buscando invasões de modo proativo, monitorando o ambiente e reconhecendo atividades sutis que passariam despercebidas para tecnologias padrão.

A investigação de ameaças é uma prática essencial que cada vez mais organizações estão adotando para neutralizar ataques sigilosos antes que eles se transformem em violações de dados de grandes proporções. Com a investigação gerenciada de ameaças, você contrata um time de threat hunters especializados para uma tarefa simples, mas importante: examinar continuamente seus dados de segurança corporativa, buscando sinais de ataques mais sofisticados. O serviços de investigação gerenciada de ameaças são personalizados para suprir a necessidade de organizações de diversos tipos diferentes.

Monitoramento de contas

Os mecanismos de monitoramento e gerenciamento de contas oferecem a capacidade de detectar e impedir atividades não autorizadas, gerando uma visibilidade completa dos ambientes de trabalho. Dessa forma, é possível prevenir as perdas de dados decorrentes de tais atividades e de violações de credenciais e, ao mesmo tempo, conferir aos proprietários dos recursos o controle sobre quem tem acesso aos dados, permitindo que as concessões de acesso inadequadas sejam identificadas e corrigidas.

Inventário da aplicação

Isso identifica de forma proativa as aplicações e os sistemas operacionais que estão desatualizados ou sem as devidas correções, permitindo gerenciar a segurança de todas as aplicações do seu ambiente. Simplificar seu inventário de aplicativos com uma solução de higiene de TI resolve problemas de segurança e custo de uma só vez. A visibilidade habilitada por meio da higiene de TI impede exploits relacionados a correções e atualizações do sistema. Ela também otimiza suas configurações de software. As visualizações em tempo real e do histórico de uso dos aplicativos permitem identificar softwares não utilizados, que podem ser removidos, gerando uma economia potencial de milhares de dólares em taxas de licenciamento desnecessárias.

Inventário de ativos

O inventário de ativos oferece uma visão clara das máquinas em funcionamento na sua rede, para que você implemente sua arquitetura de segurança de maneira eficaz, garantindo que nenhum sistema não autorizado esteja operando sem o seu conhecimento. Essa ferramenta capacita as equipes de segurança e operações de TI a distinguir entre ativos gerenciados, não gerenciados e não gerenciáveis no seu ambiente, possibilitando a adoção de medidas apropriadas para aprimorar a segurança geral.

Recuperação de ataques living-off-the-land

Como os invasores que adotam táticas living-off-the-land podem ficar sem ser detectados por semanas ou até meses, a recuperação desses incidentes pode ser extremamente complexa e levar bastante tempo. Organizações que suspeitem ser vítimas desse tipo de ataque têm que buscar a ajuda de um parceiro de cibersegurança com boa reputação para realizar uma avaliação de comprometimento (CA) para determinar se houve uma violação e, em caso positivo, identificar em qual estágio da cadeia de ataque a organização se encontra.

No decorrer da avaliação de comprometimento, a equipe de segurança vai examinar eventos atuais e passados em busca de indícios de ataques anteriores, como chaves de registro suspeitas e arquivos de saída incomuns, além de identificar ameaças ativas. Muitos adversários sofisticados passam meses e até anos nas redes das vítimas sem serem detectados, e a análise histórica das CAs é fundamental para identificar se isso ocorreu.

Caso a avaliação de comprometimento indique que um ataque ocorreu ou ainda está em andamento, a equipe de segurança vai colaborar com a empresa para conter os danos, recuperar e reparar os sistemas afetados, e fortalecer a rede para o futuro.

Para prevenir outros ataques subsequentes, o parceiro de segurança vai realizar uma análise completa do ambiente do cliente, certificando que o adversário não tenha estabelecido pontos de acesso que possam ser explorados depois. Além disso, é provável que o parceiro recomende ferramentas e serviços avançados que contribuam para reduzir a probabilidade de ocorrência de ataques sem arquivos no futuro.

Como a CrowdStrike pode impedir ataques living-off-the-land e sem arquivo na sua organização

Como já vimos, as técnicas sem arquivos são extremamente desafiadoras de detectar se você usa métodos baseados em assinatura, sandbox, lista de permissões ou até mesmo métodos de proteção que usam machine learning.

Para se defender contra ataques sigilosos sem arquivos, a CrowdStrike combina com exclusividade vários métodos em uma abordagem poderosa e integrada que oferece proteção incomparável para os endpoints. A plataforma CrowdStrike Falcon® oferece proteção de endpoint nativa em nuvem e de última geração por meio de um só agente leve, além de uma série de métodos complementares de prevenção e detecção:

• A função de inventário de aplicações permite identificar todos os softwares em execução no seu ambiente, além de detectar vulnerabilidades que precisam de correção ou atualização, impedindo que se tornem alvos de kits de exploração.
• O bloqueio de exploit interrompe a execução de ataques sem arquivos por meio de exploits que aproveitam vulnerabilidades não corrigidas.
• Os indicadores de ataque (IOAs) identificam e bloqueiam atividades maliciosas durante os estágios iniciais de um ataque, antes que ele possa ser executado e causar danos. Essa capacidade também protege contra novas categorias de ransomware que não usam arquivos para criptografar os sistemas das vítimas.
• O controle de scripts oferece uma visibilidade expandida e proteção contra ataques baseados em scripts.
• A Varredura Avançada de Memória oferece proteção contra ataques que não usam arquivos ou malware, como APTs, ransomware e ferramentas de uso duplo, como o Cobalt Strike, diretamente na memória.
• A investigação gerenciada de ameaças busca de forma proativa e constante atividades maliciosas geradas como resultado das técnicas sem arquivos.