Como se manter protegido dos ataques Living off the Land?

Publicados: 2020-05-29

Os ataques Living Off the Land ganharam força nos últimos tempos, para que possamos extrapolar com segurança que os hackers agora estão reempregando estratégias e técnicas antigas. Os conceitos associados ao Viver da Terra não são novos. As ferramentas do sistema já foram comumente usadas como backdoors, e vulnerabilidades conhecidas foram aproveitadas nos sistemas.

Os ataques Living off the Land (LotL) são incrivelmente difíceis de se defender, pois às vezes incluem ataques sem arquivo como um subconjunto. Outras vezes, os hackers exploram ferramentas de uso duplo e memória, o que é uma combinação mortal. Neste guia, pretendemos contar tudo o que você precisa saber sobre os ataques Living off the Land e como você pode se proteger ou proteger sua organização deles.

O que são os ataques Living off the Land?

Os ataques Living off the Land são ataques em que os invasores usam ferramentas já instaladas ou existentes nos computadores das vítimas para aumentar seus meios (roubar informações ou dinheiro, assumir sistemas e assim por diante). Esses ataques são únicos porque os hackers envolvidos não usam programas maliciosos, que os programas de aplicativos de segurança estão programados para procurar. Como os invasores usam ferramentas comuns ou até scripts simples, a detecção de ameaças se torna muito difícil.

Em ataques sem arquivo, por exemplo, os cibercriminosos conseguem operar em memória volátil, em partes correspondentes ao PowerShell e WMI. Nesses cenários, os aplicativos antivírus e antimalware não conseguem detectar e encontrar as ameaças – porque nem mesmo suas entradas são armazenadas em logs. Afinal, muito poucos arquivos (ou nenhum arquivo) são criados durante o ataque.

Os invasores têm motivos suficientes para ficar sem arquivo. Eles provavelmente descobriram que quanto menor o número de arquivos criados, menores as chances de as ameaças serem detectadas pelos utilitários de segurança. E, na maioria das vezes, os invasores estão corretos. Os aplicativos de segurança geralmente lutam para detectar ataques Living off the Land até que seja tarde demais, porque eles não sabem o que observar em primeiro lugar.

Os ataques LotL não envolvem malware, mas os invasores (se forem bem-sucedidos) têm tempo suficiente para se concentrar em computadores comprometidos em áreas onde não podem ser detectados. E, com o tempo, os invasores acabam tendo oportunidades de se infiltrar em componentes confidenciais e destruir dados ou operações (se quiserem).

Talvez você tenha ouvido falar dos ataques Petya/NotPetya, que abalaram o mundo em algum momento de 2017. As vítimas desses ataques (indivíduos e organizações) nunca os viram chegar porque os invasores entraram em seus sistemas por meio de programas confiáveis, que não levantaram suspeitas, e, em seguida, injetou esses aplicativos com código malicioso. Os sistemas de proteção tradicionais falharam; suas defesas não foram acionadas pelo uso incomum de software aparentemente confiável.

Com as técnicas Living off the Land, os cibercriminosos podem entrar nos sistemas de TI sem complicações e passar muito tempo neles sem disparar nenhum alarme ou levantar suspeitas. Portanto, dadas as circunstâncias que definem esses ataques, os especialistas em segurança acham difícil identificar a origem do ataque. Muitos criminosos consideram as táticas de Viver da Terra o método ideal para executar ataques.

Como se proteger dos ataques Living off the Land (dicas para usuários regulares ou indivíduos)

Ao tomar as precauções necessárias e ser proativo, você reduz as chances de seus computadores ou redes serem expostos a cibercriminosos por meio de táticas de LotL.

  1. Sempre monitore ou verifique o uso de utilitários de dupla utilização dentro de suas redes.
  1. Use a lista de permissões de aplicativos onde estiver disponível ou aplicável.
  1. Ao receber e-mails inesperados ou suspeitos, tome cuidado. É sempre melhor não clicar em nada (links ou anexos) nessas mensagens.
  1. Sempre baixe e instale atualizações para todos os seus aplicativos (programas) e sistemas operacionais (Windows, por exemplo).
  1. Tenha cuidado ao usar anexos do Microsoft Office que exigem que você habilite macros. É melhor não usar esses anexos em primeiro lugar – se você puder se dar ao luxo de não usá-los.
  1. Configure recursos de segurança avançados sempre que possível. Por recursos de segurança avançados, queremos dizer autenticação de dois fatores (2FA), notificações ou prompts de login e assim por diante.
  1. Use senhas fortes e exclusivas para todas as suas contas e perfis (em redes ou plataformas). Obtenha um gerenciador de senhas – se precisar de um para ajudá-lo a lembrar de todas as senhas.
  1. Lembre-se sempre de sair do seu perfil ou conta das redes quando terminar sua sessão.

Como evitar ataques Living off the Land (dicas para organizações e empresas)

Como as táticas de Viver da Terra constituem algumas das técnicas de hacking mais sofisticadas, elas representam um grande nível de desafio para as organizações identificarem e repelirem. No entanto, ainda existem maneiras pelas quais as empresas podem reduzir os riscos de tais ataques (ou mitigar os efeitos de tais ataques – se eles ocorrerem).

  1. Mantenha uma boa higiene cibernética:

Esta dica pode parecer simples ou básica quando tomada pelo valor nominal, mas é provavelmente a mais importante de todas. A maioria dos ataques cibernéticos da história – incluindo aqueles em que as táticas de LotL foram empregadas – foram bem-sucedidas devido a negligência ou falta de práticas de segurança. Muitas empresas não se preocupam em atualizar ou corrigir as ferramentas ou programas que usam. O software normalmente precisa de patches e atualizações para selar vulnerabilidades e falhas de segurança.

Quando os patches ou atualizações não são instalados, a porta fica aberta para que os agentes de ameaças encontrem vulnerabilidades e tirem proveito delas. As organizações têm o dever de garantir que mantenham um inventário de aplicativos. Dessa forma, eles conseguem identificar programas desatualizados e sem patches e até sistemas operacionais; eles também sabem quando precisam executar as tarefas essenciais de atualização e como cumprir o cronograma.

Além disso, os funcionários devem ser treinados em conscientização de segurança. Vai além de apenas ensinar um indivíduo a não abrir e-mails de phishing. O ideal é que os funcionários aprendam como os recursos e o código integrados do Windows funcionam. Dessa forma, eles conseguem identificar anomalias ou inconsistências no comportamento, atividades maliciosas e aplicativos ou scripts suspeitos sendo executados em segundo plano e tentando evitar a detecção. A equipe com bom conhecimento das atividades em segundo plano do Windows geralmente está um passo à frente dos cibercriminosos comuns.

  1. Configure os direitos e permissões de acesso adequados:

Por exemplo, um funcionário que clica em um link malicioso em um e-mail não deve necessariamente resultar no pouso do programa malicioso no sistema do funcionário. Os sistemas devem ser projetados de forma que, no cenário descrito, o programa malicioso percorra a rede e chegue a algum outro sistema. Nesse caso, podemos dizer que a rede foi segmentada o suficiente para garantir que aplicativos de terceiros e usuários regulares tenham protocolos de acesso rígidos.

A importância da dica merece o máximo de destaques possível. O uso de protocolos sólidos em relação aos direitos de acesso e privilégios fornecidos aos funcionários pode ajudar bastante a evitar que seus sistemas sejam comprometidos; pode ser a diferença entre um ataque LotL bem-sucedido e um que não leva a lugar nenhum.

  1. Empregue uma estratégia dedicada de caça a ameaças:

Quando você faz com que os caçadores de ameaças trabalhem juntos para encontrar diferentes formas de ameaças, as chances de detecção de ameaças aumentam significativamente. As melhores práticas de segurança exigem que as empresas (especialmente as grandes organizações) empreguem caçadores de ameaças dedicados e passem por diferentes segmentos de sua infraestrutura de TI para verificar até mesmo sinais fracos dos ataques mais mortais ou sofisticados.

Se sua empresa for relativamente pequena ou se você não puder se dar ao luxo de ter uma equipe interna de caça a ameaças, será melhor terceirizar suas necessidades para uma empresa de caça a ameaças ou serviço de gerenciamento de segurança semelhante. É provável que você encontre outras organizações ou equipes de freelancers que estejam interessadas em preencher essa lacuna crítica. De qualquer forma, desde que as operações de caça às ameaças sejam realizadas, está tudo bem.

  1. Configurar detecção e resposta de endpoint (EDR):

Falha silenciosa é um termo importante quando se trata de evitar ataques cibernéticos. A falha silenciosa refere-se a um cenário ou configuração em que o sistema de segurança ou defesa dedicado não consegue identificar e se defender contra um ataque cibernético e nenhum alarme dispara após a ocorrência do ataque.

Considere este paralelo com o evento projetado: se o malware sem arquivo de alguma forma conseguir ultrapassar suas camadas de proteção e obter acesso à sua rede, ele poderá permanecer em seu sistema por um longo tempo, tentando analisar a totalidade do seu sistema em preparação para uma maior ataque.

Para isso, para superar o problema em vista, você deve configurar um sistema sólido de detecção e resposta de endpoint (EDR). Com um bom sistema EDR, você poderá descobrir e isolar itens suspeitos existentes nos endpoints e até mesmo eliminá-los ou se livrar deles.

  1. Avalie eventos e cenários quando você for hackeado (se for hackeado):

Se suas máquinas forem invadidas ou se sua rede for comprometida, você fará bem em examinar os eventos que antecederam o ataque. Recomendamos que você dê uma olhada nos arquivos e programas que desempenharam um papel importante para ajudar os invasores a serem bem-sucedidos.

Você pode empregar analistas de segurança cibernética e pedir que eles se concentrem em ferramentas e sistemas que possam usar para avaliar os ataques históricos. A maioria dos cenários em que as empresas são vítimas de ataques são caracterizados por chaves de registro suspeitas e arquivos de saída incomuns e também pela identificação de ameaças ativas ou ainda existentes.

Depois de descobrir alguns dos arquivos afetados ou outras pistas, você fará bem em analisá-los minuciosamente. Idealmente, você deve tentar descobrir onde as coisas deram errado, o que deveria ter sido feito melhor e assim por diante. Dessa forma, você aprende mais e obtém insights valiosos, o que significa que poderá preencher as lacunas em sua estratégia de segurança para evitar futuros ataques LotL.

RECOMENDADO

Proteja o PC de Ameaças com Anti-Malware

Verifique seu PC em busca de malware que seu antivírus pode perder e remova as ameaças com segurança com o Auslogics Anti-Malware

Auslogics Anti-Malware é um produto da Auslogics, certificado Microsoft Silver Application Developer
BAIXE AGORA

GORJETA

A segurança é o tema principal deste guia, por isso não teremos uma oportunidade melhor de falar sobre uma excelente proposta. Se você deseja aumentar a segurança em seus computadores ou redes, convém obter o Auslogics Anti-Malware. Com este utilitário de proteção de primeira linha, você pode melhorar sua configuração de segurança atual, que pode não ser dinâmica o suficiente para lidar com várias ameaças.

Na luta contra programas maliciosos, melhorias são sempre bem-vindas. Você nunca pode dizer quando algo passa pelo seu aplicativo de segurança atual, ou talvez você nem use um. Você também não pode dizer com certeza que seu computador não está comprometido ou infectado. De qualquer forma, você fará bem em baixar e executar o aplicativo recomendado para ter uma chance melhor (do que antes) de se manter seguro.