LOLbin – Ferramentas nativas tornam ameaças mais furtivas. O aumento dessas ferramentas fizeram com que essas ferramentas se tornassem armas poderosas nas mãos de atacantes.
Ao longo dos anos várias ferramentas foram incluídas nativamente nos sistemas operacionais Windows, Linux e MacOs. Com o aumento dessas ferramentas fizeram com que essas ferramentas se tornassem armas poderosas nas mãos de atacantes que as combinam com malware.
Esse recurso visa cada vez mais deixar tornar as ameaças mais furtivas, dificultando assim a identificação pelas ferramentas de proteção. Essas ferramentas de proteção tais como o nosso antivírus não conseguem entregar uma cobertura completa das táticas usadas, técnicas e procedimentos que englobam o uso de LOLBins, provocando assim, uma análise mais profunda do modo de criar a forma de detecção para diferenciar comportamentos legítimos dos que não são.
LOLBin se refere a qualquer executável que já faça parte do seu SO, podemos ainda englobar nesse conceito para uso de scripts, bibliotecas e software, compreendendo os binários Living-off-the-land (LOLBAS). Os Living-off-the-land (LOLs) são legítimos como os frequentemente usados powershell.exe,bitsadmin.exe e psexec.exe.
Um LOL se torna muito atrativo para um atacante quando tem sua funcionalidade que é oferecida pelo software podendo esta ser reaproveitada pelo atacante permitindo ainda que este se propague à outras tarefas de uso regular, deixando elas ocultos e tornando cada vez mais difícil a sua detecção.
O comportamento dessas ferramentas é na maioria das vezes ignoradas pelos usuários e administradores, principalmente por conta do seu uso a princípio de forma legítimo, não apresentando falha em seu comportamento ou alterações bruscas.
Técnicas avançadas englobam o uso de LOLs para entregar malwares diretamente na memória da sua máquina, sem precisar gravar arquivos ou no sistema de arquivos do seu SO.
Por isso, essa técnica torna tão difícil a detecção desse comportamento, visto que os endpoints se concentram em sua maior parte no monitoramento em arquivos visando a detecção de atividades maliciosas atualizando e inserindo novas assinaturas em seu software.
O principal uso dos LOLs para os atacantes é a sua capacidade de contornar permissões, como o UAC User Account Control, mecanismo esse integrado no Windows que demanda de uma validação de credenciais e interação mínima com o usuário.
Atacantes podem ainda, ignorar o UAC através de LOLs e sequestrar DLLs como a Rundll32, permitindo assim o carregamento de objetos do tipo componente Object Model com permissões elevadas, não requerendo a validação de identidade por se tratar de um processo que já possui privilégios elevados.
Para os times de segurança é vital a pesquisa e documentar o ambiente, criando padrões de configurações (hardening) e processos de atualização e detecção de intrusão. Indicadores devem ser utilizados junto com soluções de EDR e SIEM, aperfeiçoando a forma e contexto de alertas e agregando mais informações na tratativa e distinção de atividades maliciosas.
Por: Celso Faquer
Fonte: https://www.sidechannel.blog/lolbins-como-ferramentas-nativas-sao-utilizadas-para-tornar-ameacas-mais-furtivas/
Veja também:
- Pesquisa da Netskope aponta que malware na nuvem quase triplicou em 2022
- Meu celular foi roubado, e agora?
- Novo ano, velhas ameaças!
- Hackers exploram a falha do Control Web Panel para abrir shells reversos
- Suas campanhas de marketing digital estão em conformidade com a LGPD?
- Natives in Tech pede que a Apache Software Foundation mude de nome
- FAA suspende todas as partidas domésticas devido a ‘falha do sistema’ nos EUA
- O que são ataques de enumeração e como evitá-los
- Formulário para comunicação de ocorrências de Incidentes de Segurança envolvendo dados pessoais
- APIs estão colocando sua empresa em risco
- Malware Backdoor afeta sites WordPress
Deixe sua opinião!