O mundo cibernético testemunhou e se defendeu de várias formas de ataques. Alguns dos mais comuns conhecidos por interromper uma rede incluem roubo de credenciais, instalações de malware, worms e vírus e ameaças internas. Para executar esses ataques com sucesso, os invasores costumam usar diferentes ferramentas e técnicas.
Por exemplo, em um ataque de ransomware, um invasor pode instalar um software malicioso para criptografar todos os arquivos e pastas em sua rede e exigir um resgate para recuperar os arquivos. Maze e Ryuk foram ataques de ransomware notórios que foram executados com perfeição e causaram um grande rebuliço na indústria de segurança cibernética.
O que é um ataque LotL?
Um ataque “living off the land” (LotL) é um ataque cibernético em que um invasor utiliza ferramentas e recursos do sistema visado para executar uma ação mal-intencionada. O recente ataque de ransomware da cadeia de suprimentos da Kaseya é um exemplo de ataque LotL em que o invasor utilizou a própria tecnologia da organização contra ele. Isso permitiu ao invasor interromper a rede em várias camadas sem disparar alarmes. Ataques LotL são considerados malwareless ou sem arquivo porque eles não deixam rastros para trás, tornando-os difíceis de serem detectados.
Por que os criminosos preferem ataques LotL
1. As ferramentas integradas da rede são sempre poderosas: as organizações costumam ter versões atualizadas ou premium do software. Isso significa que os invasores podem usar uma ferramenta poderosa já disponível na rede para interrompê-la.
2. O desenvolvimento de uma nova ferramenta pode ser caro: para os invasores, criar aplicativos, ferramentas ou técnicas personalizadas com base na postura de segurança de diferentes organizações pode ser caro e demorado. Ao utilizar as ferramentas integradas da rede, o invasor pode executar um ataque perfeito sem muito esforço.
3. Eles podem evitar a detecção: Os invasores podem evitar a detecção usando as ferramentas existentes. O sistema de segurança não envia alertas quando uma ferramenta incluída na lista de permissões ou comumente usada é utilizada por invasores. Assim, eles podem voar sob o radar enquanto realizam um ataque.
Estágios de um ataque LotL
Os ataques LotL são muito fáceis de executar e ajudam um invasor a obter acesso e mover-se lateralmente pela rede de uma organização. Eles são sutis e podem ser tão eficazes quanto qualquer ataque cibernético complexo. Aqui estão breves descrições dos estágios de um ataque LotL:
1. Incursão: Os agentes de ameaças geralmente exploram uma vulnerabilidade de execução remota de código para executar o shellcode diretamente na memória. Eles também podem enviar um e-mail malicioso com um script oculto dentro de um documento ou arquivo host. Ou eles podem usar as ferramentas do sistema fazendo login com credenciais roubadas.
2. Persistência: O segundo estágio do ataque pode ou não envolver instalações externas. Isso depende do que o invasor deseja fazer na rede.
3. Payload: Os atores da ameaça geralmente procuram ferramentas de uso duplo, como PowerShell, Process Explorer, PsExec e Process Hacker, dentro de uma rede para executar o ataque.
Como não há ferramentas ou técnicas externas envolvidas, todo ambiente é suscetível a um ataque LotL. Surpreendentemente, os invasores costumam usar esses ataques mesmo em redes bem monitoradas ou bloqueadas. Isso ocorre porque o ataque se torna altamente eficaz em uma rede protegida.
Depois que o invasor encontra uma maneira de utilizar as ferramentas de administração em seu benefício, os ataques podem variar desde a exfiltração de dados até a instalação de ransomware. Além disso, como o invasor usa programas e processos legítimos, eles serão capazes de se misturar a outros processos legítimos antes de realizar uma exploração furtiva.
Defesa contra um ataque LotL
Os profissionais de segurança precisam garantir que estão equipados para se defender contra todos os tipos de ataques cibernéticos. Embora seja difícil detectar e mitigar um ataque LotL, não é impossível. As organizações podem implantar uma solução que seja capaz de monitorar redes e fornecer insights em tempo real sobre o comportamento do usuário. A solução também deve ser capaz de detectar ameaças com base em padrões de ataque predefinidos.
A ciber-higiene e a ciberdisciplina são essenciais para proteger sua rede contra esses tipos de ataques. Além disso, as organizações devem:
1. Tenha uma estratégia de caça às ameaças dedicada.
2. Revise os direitos e permissões regularmente.
3. Estabeleça um forte sistema de detecção e resposta de endpoint.
4. Liste os aplicativos essenciais.
5. Monitore de perto as ferramentas de uso duplo.
Um ataque LotL pode ser tão devastador quanto qualquer outra forma de ataque cibernético. É importante monitorar a rede continuamente, identificar ameaças o mais rápido possível e tomar ações corretivas prontamente contra esses ataques.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.
