“LOLBins (Living off the Land Binaries) é uma técnica de exploração de ferramentas e processos legítimos do próprio sistema operacional para realizar atividades maliciosas sem ser detectado. Essa abordagem, conhecida como “Living off the Land”, permite que os invasores camuflem suas ações entre as operações normais do sistema, dificultando sua identificação.
Para as organizações, compreender e reconhecer o uso de LOLBins é essencial para fortalecer suas estratégias de defesa. Ao usar ferramentas nativas do sistema, os criminosos cibernéticos podem evitar a detecção por soluções de segurança convencionais, o que representa uma ameaça significativa à integridade e à segurança das informações corporativas.
O objetivo deste artigo é explorar o conceito de LOLBins, analisar como eles funcionam e destacar a importância de estar atento a essa técnica em constante evolução.
Definição
LOLBins, um acrônimo para “Living Off the Land Binaries”, são executáveis legítimos e pré-instalados em sistemas operacionais que os criminosos cibernéticos exploram para realizar atividades mal-intencionadas sem levantar suspeitas. Ao usar essas ferramentas incorporadas, os invasores podem camuflar suas ações como operações rotineiras do sistema, tornando-as mais difíceis de serem detectadas.
Diferença entre LOLBins, LOLScripts e LOLLibs
Além de LOLBins, há outros termos relacionados:
- LOLScripts: scripts de sistema legítimos que podem ser explorados para fins maliciosos.
- LOLLibs: bibliotecas do sistema que podem ser usadas indevidamente por invasores de forma semelhante.
Embora todos compartilhem a característica de serem componentes legítimos do sistema usados para fins mal-intencionados, eles diferem em natureza: executáveis (LOLBins), scripts (LOLScripts) e bibliotecas (LOLLibs).
Origem do conceito e casos históricos
O conceito de “Living Off the Land” foi introduzido pelos pesquisadores Christopher Campbell e Matt Graeber em 2013 para descrever como os invasores empregam ferramentas confiáveis e pré-instaladas em sistemas para seus fins maliciosos.
Um exemplo notável é o grupo TA505, que em 2018 conduziu campanhas de phishing direcionadas a grandes organizações financeiras. Eles usaram LOLBins para distribuir malware secretamente, demonstrando a eficácia dessa técnica para burlar as defesas de segurança tradicionais.
LOLBins mais usados
Os criminosos cibernéticos exploram ferramentas legítimas presentes nos sistemas operacionais para realizar atividades mal-intencionadas sem serem facilmente detectados. Veja a seguir alguns dos LOLBins mais usados em diferentes plataformas:
Windows:
- powershell.exe: o PowerShell é uma poderosa ferramenta de script e linha de comando do Windows. Os invasores a utilizam para executar scripts mal-intencionados, baixar cargas úteis da Internet e realizar movimentos laterais dentro da rede, tudo isso sem deixar rastros óbvios no sistema de arquivos.
- rundll32.exe: esse utilitário carrega e executa bibliotecas de vínculo dinâmico (DLLs). Ele é usado por criminosos cibernéticos para executar códigos maliciosos contidos em DLLs, permitindo que o malware seja executado sem criar arquivos executáveis visíveis.
- bitsadmin.exe: originalmente projetado para lidar com transferências em segundo plano, como atualizações, esse programa pode ser manipulado para fazer download ou upload de arquivos mal-intencionados de ou para servidores controlados por invasores, facilitando a exfiltração de dados ou a introdução de malware.
- mshta.exe: executa aplicativos HTML. Os atacantes o utilizam para executar scripts maliciosos incorporados em arquivos HTML ou diretamente da Internet, permitindo a execução de códigos sem alertar as soluções de segurança.
- certutil.exe: ferramenta de linha de comando para gerenciamento de certificados no Windows. É usada por criminosos cibernéticos para fazer download e descriptografar arquivos maliciosos, aproveitando sua capacidade de manipular dados em formatos criptografados.
Linux:
- bash: o interpretador de comandos padrão em muitas distribuições Linux. Os invasores podem escrever e executar scripts maliciosos diretamente no bash para automatizar tarefas maliciosas, como mineração de dados ou criação de backdoors.
- wget e curl: Utilitários para transferência de dados de ou para servidores. São usados por criminosos cibernéticos para baixar scripts ou binários mal-intencionados de locais remotos, facilitando a introdução de malware no sistema.
- ssh: protocolo para acesso seguro a sistemas remotos. Se as credenciais forem comprometidas, os invasores poderão usar o ssh para se deslocar lateralmente entre os sistemas em uma rede, mantendo o acesso não detectado.
macOS:
- osascript: Permite a execução de scripts AppleScript e outras linguagens. Os invasores o utilizam para executar scripts mal-intencionados que podem interagir com aplicativos e com o sistema operacional, facilitando ações como a captura de informações confidenciais ou a execução de comandos arbitrários.
- bash: assim como no Linux, o bash está presente no macOS e pode ser usado para executar scripts mal-intencionados, oferecendo aos invasores uma maneira de realizar ações não autorizadas no sistema.
Métodos de detecção e prevenção
- Implementação de soluções EDR e XDR: as soluções Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR) são essenciais para o monitoramento e a análise de atividades suspeitas nos sistemas. Essas ferramentas podem identificar comportamentos anômalos associados ao uso indevido de LOLBins. Por exemplo, elas podem detectar a execução incomum de binários como rundll32.exe ou regsvr32.exe que, embora legítimos, podem ser explorados para fins maliciosos.
- Monitoramento do uso de ferramentas do sistema: é fundamental monitorar continuamente o uso de ferramentas e binários incorporados ao sistema operacional. O estabelecimento de linhas de base de comportamento normal para esses binários ajuda a identificar desvios que podem indicar atividade mal-intencionada. Por exemplo, se o mshta.exe iniciar conexões de rede incomuns ou baixar scripts de locais não autorizados, isso pode ser uma indicação de comprometimento.
- Aplique o princípio do menor privilégio: limitar os privilégios de colaboradores e aplicativos reduz significativamente as oportunidades de os criminosos cibernéticos explorarem os LOLBins. Certifique-se de que os usuários e os processos tenham apenas as permissões necessárias para desempenhar suas funções, minimizando o risco de execução não autorizada de binários do sistema.
- Análise de registros e monitoramento de comportamentos incomuns: a configuração de registros detalhados e centralizados permite a análise eficaz das atividades do sistema. A detecção de padrões incomuns, como a execução de binários em locais fora do padrão ou com parâmetros atípicos, pode indicar o uso indevido dos LOLBins. Por exemplo, a execução do certutil.exe para fazer download de arquivos da Internet é uma técnica conhecida usada por invasores.
- Bloqueio de ferramentas desnecessárias em ambientes organizacionais: a identificação e a desativação de binários e scripts que não são essenciais para as operações da organização podem impedir seu uso mal-intencionado. A implementação de listas de aplicativos permitidos e a restrição da execução de ferramentas como powershell.exe ou wmic.exe a usuários e processos autorizados fortalecem a postura de segurança.
Boas práticas de segurança
- Atualizações de software e patches de segurança: é fundamental manter todos os sistemas e aplicativos atualizados. Os criminosos cibernéticos geralmente exploram vulnerabilidades em softwares desatualizados para executar ataques baseados em LOLBin. Estabeleça um processo regular para o gerenciamento de patches e garanta que todas as atualizações sejam aplicadas em tempo hábil.
- Educação e treinamento dos funcionários: a conscientização da equipe é uma linha de defesa crucial. Ofereça treinamento contínuo aos funcionários para que reconheçam as táticas de engenharia social e phishing, métodos comuns para iniciar ataques usando LOLBins. Simulações de phishing e programas de conscientização sobre segurança cibernética podem ser ferramentas eficazes nesse sentido.
- Implemente o princípio do menor privilégio: limite as permissões de usuários e processos ao nível mínimo necessário para executar suas funções. Ao restringir os privilégios, você reduz a capacidade dos invasores de explorar os LOLBins e executar comandos mal-intencionados com altos níveis de acesso.
- Monitoramento e análise do comportamento do sistema: use ferramentas de monitoramento para detectar comportamentos anômalos do sistema que possam indicar o uso indevido dos LOLBins. O monitoramento contínuo permite que você identifique e responda rapidamente a atividades suspeitas antes que elas causem danos significativos.
- Gerenciamento de vulnerabilidades: Realize avaliações regulares de vulnerabilidade para identificar e corrigir possíveis pontos fracos na infraestrutura de TI. O gerenciamento proativo de vulnerabilidades ajuda a evitar que os invasores explorem os LOLBins por meio de falhas conhecidas do sistema.
- Backups regulares e seguros: estabeleça procedimentos para backups regulares de dados essenciais e armazene-os em locais seguros e isolados da rede principal. Isso garante a integridade e a disponibilidade das informações, caso um ataque comprometa os sistemas principais.
Conclusão
Os criminosos cibernéticos aperfeiçoaram a arte de usar ferramentas legítimas do sistema operacional, conhecidas como LOLBins, para realizar atividades mal-intencionadas sem serem detectados. Essa estratégia permite que eles escapem das soluções de segurança tradicionais e mantenham acesso prolongado aos sistemas comprometidos. Para as organizações, é essencial reconhecer essa ameaça e tomar medidas proativas que incluam o monitoramento contínuo de atividades suspeitas, a implementação de políticas de privilégios mínimos e o treinamento contínuo dos funcionários em práticas de segurança cibernética. Ao compreender e antecipar as táticas baseadas em LOLBins, as organizações podem fortalecer sua postura de segurança e reduzir significativamente o risco de comprometimento.
