O mundo cibernético testemunhou e se defendeu de várias formas de ataques. Alguns dos mais comuns conhecidos por interromper redes, incluem roubo de credenciais, instalações de malware, worms e vírus, bem como ameaças internas. Para executar esses ataques com sucesso, os invasores costumam usar diferentes ferramentas e técnicas.
Por exemplo, em um ataque de ransomware, um invasor pode instalar um software malicioso para criptografar todos os arquivos e pastas em sua rede e exigir um resgate para recuperar os arquivos. Maze e Ryuk foram ataques de ransomware notórios que foram executados com perfeição e causaram um grande rebuliço na indústria de segurança cibernética.
O que é um ataque LotL?
Um ataque living off the land (LotL), é um ataque cibernético em que um invasor utiliza ferramentas e recursos do sistema visado para executar uma ação mal-intencionada. O recente ataque de ransomware da cadeia de suprimentos da Kaseya é um exemplo de ataque LotL em que o invasor utilizou a própria tecnologia da organização contra ela. Isso permitiu que o invasor interrompesse a rede em várias camadas sem disparar alarmes. Ataques de LotL são considerados malwareless ou fileless porque não deixam rastros para trás, tornando-os difíceis de serem detectados.
Por que os ciberataques preferem ataques LotL
1. As ferramentas integradas da rede são sempre poderosas: as organizações costumam ter versões atualizadas ou premium do software. Isso significa que os invasores podem usar uma ferramenta poderosa já disponível na rede para interrompê-la.
2. O desenvolvimento de uma nova ferramenta pode ser caro: para os invasores, criar aplicativos, ferramentas ou técnicas personalizadas com base na postura de segurança de diferentes organizações pode ser caro e demorado. Ao utilizar as ferramentas integradas da rede, o invasor pode executar um ataque perfeito sem muito esforço.
3. Eles podem evitar a detecção: os invasores podem evitar a detecção usando as ferramentas existentes. O sistema de segurança não envia alertas quando uma ferramenta incluída na lista de permissões ou comumente usada é utilizada por invasores. Assim, eles podem voar sob o radar enquanto realizam um ataque.
Estágios de um ataque LotL
Os ataques LotL são muito fáceis de executar e ajudam um invasor a obter acesso e mover-se lateralmente pela rede de uma organização. Eles são sutis e podem ser tão eficazes quanto qualquer ataque cibernético complexo. Aqui estão breves descrições dos estágios de um ataque LotL:
1. Incursão: os agentes de ameaças frequentemente exploram uma vulnerabilidade de execução remota de código para executar o shellcode diretamente na memória. Eles também podem enviar um e-mail malicioso com um script oculto dentro de um documento ou arquivo host. Ou eles podem usar as ferramentas do sistema fazendo login com credenciais roubadas.
2. Persistência: O segundo estágio do ataque pode ou não envolver instalações externas. Isso depende do que o invasor deseja fazer na rede.
3. Carga útil: os atores da ameaça geralmente procuram ferramentas de uso duplo, como PowerShell, Process Explorer, PsExec e Process Hacker, dentro de uma rede para executar o ataque.
Como não há ferramentas ou técnicas externas envolvidas, todo ambiente é suscetível a um ataque LotL. Surpreendentemente, os invasores costumam usar ataques LotL, mesmo em redes bem monitoradas ou bloqueadas. Isso ocorre porque o ataque se torna altamente eficaz em uma rede protegida.
Depois que o invasor encontra uma maneira de utilizar as ferramentas de administração em seu benefício, os ataques podem variar desde a exfiltração de dados até a instalação de ransomware. Além disso, como o invasor usa programas e processos legítimos, eles serão capazes de se misturar a outros processos legítimos antes de realizar uma exploração furtiva.
Defesa contra um ataque LotL
Os profissionais de segurança precisam garantir que estejam equipados para se defender contra todos os tipos de ataques cibernéticos. Embora seja difícil detectar e mitigar um ataque LotL, não é impossível. As organizações podem implantar uma solução que seja capaz de monitorar redes e fornecer insights em tempo real sobre o comportamento do usuário. A solução também deve ser capaz de detectar ameaças com base em padrões de ataque predefinidos.
A ciber-higiene e a ciberdisciplina são essenciais para proteger sua rede contra esses tipos de ataques. Além disso, sua organização precisa:
1. Ter uma estratégia de caça às ameaças dedicada.
2. Revisar os direitos e permissões regularmente.
3. Estabelecer um forte sistema de detecção e resposta de endpoint.
4. Listar os aplicativos essenciais.
5. Monitorar de perto as ferramentas de uso duplo.
Um ataque LotL pode ser tão devastador quanto qualquer outra forma de ataque cibernético. É importante monitorar a rede continuamente, identificar ameaças o mais rápido possível e tomar ações corretivas imediatamente contra esses ataques.
Conheça na prática e na realidade de sua empresa o que as soluções ACSoftware|ManageEngine podem fazer por você. Contamos com um portfólio extenso para gerenciamento de TI.
Com soluções para segurança de TI, gerenciamento de acesso e identidade (Active Directory), gerenciamento de endpoints, ITSM – Gerenciamento de Serviços de TI, ITOM – Gerenciamento de Operações de TI (monitoramento de redes, servidores, aplicações, sites banda e análise de tráfego, gerenciamento de endereços IP e portas de switch), análise avançada de dados e muito mais.
Conte sempre com o apoio da equipe ACSoftware, sua revenda e suporte ManageEngine no Brasil.
Participe agora mesmo do grupo TIMEBRA dedicado aos usuários ManageEngine no Brasil, que tem a intenção de criar uma comunidade para troca de experiências, esclarecer dúvidas, bem como ficar por dentro de dicas e novidades.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
