LOLbin – Ferramentas nativas tornam ameaças mais furtivas

LOLbin – Ferramentas nativas tornam ameaças mais furtivas. O aumento dessas ferramentas fizeram com que essas ferramentas se tornassem armas poderosas nas mãos de atacantes.

Ao longo dos anos várias ferramentas foram incluídas nativamente nos sistemas operacionais Windows, Linux e MacOs. Com o aumento dessas ferramentas fizeram com que essas ferramentas se tornassem armas poderosas nas mãos de atacantes que as combinam com malware.

Esse recurso visa cada vez mais deixar tornar as ameaças mais furtivas, dificultando assim a identificação pelas ferramentas de proteção. Essas ferramentas de proteção tais como o nosso antivírus não conseguem entregar uma cobertura completa das táticas usadas, técnicas e procedimentos que englobam o uso de LOLBins, provocando assim, uma análise mais profunda do modo de criar a forma de detecção para diferenciar  comportamentos legítimos dos que não são.

LOLBin se refere a qualquer executável que já faça parte do seu SO, podemos ainda englobar nesse conceito para uso de scripts, bibliotecas e software, compreendendo os binários Living-off-the-land (LOLBAS). Os Living-off-the-land (LOLs) são legítimos como os frequentemente usados powershell.exe,bitsadmin.exe  e psexec.exe.

Um LOL se torna muito atrativo para um atacante quando tem sua funcionalidade que é oferecida pelo software podendo esta ser reaproveitada pelo atacante permitindo ainda que este se propague à outras  tarefas de uso regular, deixando elas ocultos e tornando cada vez mais difícil a sua detecção.

O comportamento dessas ferramentas é na maioria das vezes ignoradas pelos usuários e administradores, principalmente por conta do seu uso a princípio de forma legítimo, não apresentando falha em seu comportamento ou alterações bruscas.

Técnicas avançadas englobam o uso de LOLs para entregar malwares diretamente na memória da sua máquina, sem precisar gravar arquivos ou no sistema de arquivos do seu SO.

Por isso, essa técnica torna tão difícil a detecção desse comportamento, visto que os endpoints  se concentram em sua maior parte no monitoramento em arquivos visando a detecção de atividades maliciosas atualizando e inserindo novas assinaturas em seu software.

O principal uso dos LOLs para os atacantes é a sua capacidade de contornar permissões, como o UAC User Account Control, mecanismo esse integrado no Windows que demanda de uma validação de credenciais e interação mínima com o usuário.

Atacantes podem ainda, ignorar o UAC através de LOLs e sequestrar DLLs como a Rundll32, permitindo assim o carregamento de objetos do tipo componente Object Model com permissões elevadas, não requerendo a validação de identidade por se tratar de um processo que já possui privilégios elevados.

Para os times de segurança é vital a pesquisa e documentar o ambiente, criando padrões de configurações (hardening) e processos de atualização e detecção de intrusão. Indicadores devem ser utilizados junto com soluções de EDR e SIEM, aperfeiçoando a forma e contexto de alertas e agregando mais informações na tratativa e distinção de atividades maliciosas.

Por: Celso Faquer 
Fonte:  https://www.sidechannel.blog/lolbins-como-ferramentas-nativas-sao-utilizadas-para-tornar-ameacas-mais-furtivas/
Veja também:
Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!