{"id":6904,"date":"2025-02-13T21:58:31","date_gmt":"2025-02-14T00:58:31","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/lolbins-armas-ocultas-en-tu-propio-sistema-operativo\/2025\/02\/13\/"},"modified":"2025-04-11T22:08:01","modified_gmt":"2025-04-12T01:08:01","slug":"lolbins-armas-ocultas-en-tu-propio-sistema-operativo","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/defensiva\/lolbins-armas-ocultas-en-tu-propio-sistema-operativo\/2025\/02\/13\/","title":{"rendered":"LOLBins: armas ocultas em seu pr\u00f3prio sistema operacional"},"content":{"rendered":"<p>&#8220;LOLBins (Living off the Land Binaries) \u00e9 uma t\u00e9cnica de explora\u00e7\u00e3o de ferramentas e processos leg\u00edtimos do pr\u00f3prio sistema operacional para realizar atividades maliciosas sem ser detectado. Essa abordagem, conhecida como &#8220;Living off the Land&#8221;, permite que os invasores camuflem suas a\u00e7\u00f5es entre as opera\u00e7\u00f5es normais do sistema, dificultando sua identifica\u00e7\u00e3o.<\/p>\n<p>Para as organiza\u00e7\u00f5es, compreender e reconhecer o uso de LOLBins \u00e9 essencial para fortalecer suas estrat\u00e9gias de defesa. Ao usar ferramentas nativas do sistema, os criminosos cibern\u00e9ticos podem evitar a detec\u00e7\u00e3o por solu\u00e7\u00f5es de seguran\u00e7a convencionais, o que representa uma amea\u00e7a significativa \u00e0 integridade e \u00e0 seguran\u00e7a das informa\u00e7\u00f5es corporativas.<\/p>\n<p>O objetivo deste artigo \u00e9 explorar o conceito de LOLBins, analisar como eles funcionam e destacar a import\u00e2ncia de estar atento a essa t\u00e9cnica em constante evolu\u00e7\u00e3o.<\/p>\n<p>Defini\u00e7\u00e3o<br \/>\nLOLBins, um acr\u00f4nimo para &#8220;Living Off the Land Binaries&#8221;, s\u00e3o execut\u00e1veis leg\u00edtimos e pr\u00e9-instalados em sistemas operacionais que os criminosos cibern\u00e9ticos exploram para realizar atividades mal-intencionadas sem levantar suspeitas. Ao usar essas ferramentas incorporadas, os invasores podem camuflar suas a\u00e7\u00f5es como opera\u00e7\u00f5es rotineiras do sistema, tornando-as mais dif\u00edceis de serem detectadas.<\/p>\n<p>Diferen\u00e7a entre LOLBins, LOLScripts e LOLLibs<br \/>\nAl\u00e9m de LOLBins, h\u00e1 outros termos relacionados:<\/p>\n<ul>\n<li>LOLScripts: scripts de sistema leg\u00edtimos que podem ser explorados para fins maliciosos.<\/li>\n<li>LOLLibs: bibliotecas do sistema que podem ser usadas indevidamente por invasores de forma semelhante.<\/li>\n<\/ul>\n<p>Embora todos compartilhem a caracter\u00edstica de serem componentes leg\u00edtimos do sistema usados para fins mal-intencionados, eles diferem em natureza: execut\u00e1veis (LOLBins), scripts (LOLScripts) e bibliotecas (LOLLibs).<\/p>\n<p>Origem do conceito e casos hist\u00f3ricos<br \/>\nO conceito de &#8220;Living Off the Land&#8221; foi introduzido pelos pesquisadores Christopher Campbell e Matt Graeber em 2013 para descrever como os invasores empregam ferramentas confi\u00e1veis e pr\u00e9-instaladas em sistemas para seus fins maliciosos.<\/p>\n<p>Um exemplo not\u00e1vel \u00e9 o grupo TA505, que em 2018 conduziu campanhas de phishing direcionadas a grandes organiza\u00e7\u00f5es financeiras. Eles usaram LOLBins para distribuir malware secretamente, demonstrando a efic\u00e1cia dessa t\u00e9cnica para burlar as defesas de seguran\u00e7a tradicionais.<\/p>\n<p>LOLBins mais usados<br \/>\nOs criminosos cibern\u00e9ticos exploram ferramentas leg\u00edtimas presentes nos sistemas operacionais para realizar atividades mal-intencionadas sem serem facilmente detectados. Veja a seguir alguns dos LOLBins mais usados em diferentes plataformas:<\/p>\n<p>Windows:<\/p>\n<ul>\n<li>powershell.exe: o PowerShell \u00e9 uma poderosa ferramenta de script e linha de comando do Windows. Os invasores a utilizam para executar scripts mal-intencionados, baixar cargas \u00fateis da Internet e realizar movimentos laterais dentro da rede, tudo isso sem deixar rastros \u00f3bvios no sistema de arquivos.<\/li>\n<li>rundll32.exe: esse utilit\u00e1rio carrega e executa bibliotecas de v\u00ednculo din\u00e2mico (DLLs). Ele \u00e9 usado por criminosos cibern\u00e9ticos para executar c\u00f3digos maliciosos contidos em DLLs, permitindo que o malware seja executado sem criar arquivos execut\u00e1veis vis\u00edveis.<\/li>\n<li>bitsadmin.exe: originalmente projetado para lidar com transfer\u00eancias em segundo plano, como atualiza\u00e7\u00f5es, esse programa pode ser manipulado para fazer download ou upload de arquivos mal-intencionados de ou para servidores controlados por invasores, facilitando a exfiltra\u00e7\u00e3o de dados ou a introdu\u00e7\u00e3o de malware.<\/li>\n<li>mshta.exe: executa aplicativos HTML. Os atacantes o utilizam para executar scripts maliciosos incorporados em arquivos HTML ou diretamente da Internet, permitindo a execu\u00e7\u00e3o de c\u00f3digos sem alertar as solu\u00e7\u00f5es de seguran\u00e7a.<\/li>\n<li>certutil.exe: ferramenta de linha de comando para gerenciamento de certificados no Windows. \u00c9 usada por criminosos cibern\u00e9ticos para fazer download e descriptografar arquivos maliciosos, aproveitando sua capacidade de manipular dados em formatos criptografados.<\/li>\n<\/ul>\n<p>Linux:<\/p>\n<ul>\n<li>bash: o interpretador de comandos padr\u00e3o em muitas distribui\u00e7\u00f5es Linux. Os invasores podem escrever e executar scripts maliciosos diretamente no bash para automatizar tarefas maliciosas, como minera\u00e7\u00e3o de dados ou cria\u00e7\u00e3o de backdoors.<\/li>\n<li>wget e curl: Utilit\u00e1rios para transfer\u00eancia de dados de ou para servidores. S\u00e3o usados por criminosos cibern\u00e9ticos para baixar scripts ou bin\u00e1rios mal-intencionados de locais remotos, facilitando a introdu\u00e7\u00e3o de malware no sistema.<\/li>\n<li>ssh: protocolo para acesso seguro a sistemas remotos. Se as credenciais forem comprometidas, os invasores poder\u00e3o usar o ssh para se deslocar lateralmente entre os sistemas em uma rede, mantendo o acesso n\u00e3o detectado.<\/li>\n<\/ul>\n<p>macOS:<\/p>\n<ul>\n<li>osascript: Permite a execu\u00e7\u00e3o de scripts AppleScript e outras linguagens. Os invasores o utilizam para executar scripts mal-intencionados que podem interagir com aplicativos e com o sistema operacional, facilitando a\u00e7\u00f5es como a captura de informa\u00e7\u00f5es confidenciais ou a execu\u00e7\u00e3o de comandos arbitr\u00e1rios.<\/li>\n<li>bash: assim como no Linux, o bash est\u00e1 presente no macOS e pode ser usado para executar scripts mal-intencionados, oferecendo aos invasores uma maneira de realizar a\u00e7\u00f5es n\u00e3o autorizadas no sistema.<\/li>\n<\/ul>\n<p>M\u00e9todos de detec\u00e7\u00e3o e preven\u00e7\u00e3o<\/p>\n<ul>\n<li>Implementa\u00e7\u00e3o de solu\u00e7\u00f5es EDR e XDR: as solu\u00e7\u00f5es Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR) s\u00e3o essenciais para o monitoramento e a an\u00e1lise de atividades suspeitas nos sistemas. Essas ferramentas podem identificar comportamentos an\u00f4malos associados ao uso indevido de LOLBins. Por exemplo, elas podem detectar a execu\u00e7\u00e3o incomum de bin\u00e1rios como rundll32.exe ou regsvr32.exe que, embora leg\u00edtimos, podem ser explorados para fins maliciosos.<\/li>\n<li>Monitoramento do uso de ferramentas do sistema: \u00e9 fundamental monitorar continuamente o uso de ferramentas e bin\u00e1rios incorporados ao sistema operacional. O estabelecimento de linhas de base de comportamento normal para esses bin\u00e1rios ajuda a identificar desvios que podem indicar atividade mal-intencionada. Por exemplo, se o mshta.exe iniciar conex\u00f5es de rede incomuns ou baixar scripts de locais n\u00e3o autorizados, isso pode ser uma indica\u00e7\u00e3o de comprometimento.<\/li>\n<li>Aplique o princ\u00edpio do menor privil\u00e9gio: limitar os privil\u00e9gios de colaboradores e aplicativos reduz significativamente as oportunidades de os criminosos cibern\u00e9ticos explorarem os LOLBins. Certifique-se de que os usu\u00e1rios e os processos tenham apenas as permiss\u00f5es necess\u00e1rias para desempenhar suas fun\u00e7\u00f5es, minimizando o risco de execu\u00e7\u00e3o n\u00e3o autorizada de bin\u00e1rios do sistema.<\/li>\n<li>An\u00e1lise de registros e monitoramento de comportamentos incomuns: a configura\u00e7\u00e3o de registros detalhados e centralizados permite a an\u00e1lise eficaz das atividades do sistema. A detec\u00e7\u00e3o de padr\u00f5es incomuns, como a execu\u00e7\u00e3o de bin\u00e1rios em locais fora do padr\u00e3o ou com par\u00e2metros at\u00edpicos, pode indicar o uso indevido dos LOLBins. Por exemplo, a execu\u00e7\u00e3o do certutil.exe para fazer download de arquivos da Internet \u00e9 uma t\u00e9cnica conhecida usada por invasores.<\/li>\n<li>Bloqueio de ferramentas desnecess\u00e1rias em ambientes organizacionais: a identifica\u00e7\u00e3o e a desativa\u00e7\u00e3o de bin\u00e1rios e scripts que n\u00e3o s\u00e3o essenciais para as opera\u00e7\u00f5es da organiza\u00e7\u00e3o podem impedir seu uso mal-intencionado. A implementa\u00e7\u00e3o de listas de aplicativos permitidos e a restri\u00e7\u00e3o da execu\u00e7\u00e3o de ferramentas como powershell.exe ou wmic.exe a usu\u00e1rios e processos autorizados fortalecem a postura de seguran\u00e7a.<\/li>\n<\/ul>\n<p>Boas pr\u00e1ticas de seguran\u00e7a<\/p>\n<ul>\n<li>Atualiza\u00e7\u00f5es de software e patches de seguran\u00e7a: \u00e9 fundamental manter todos os sistemas e aplicativos atualizados. Os criminosos cibern\u00e9ticos geralmente exploram vulnerabilidades em softwares desatualizados para executar ataques baseados em LOLBin. Estabele\u00e7a um processo regular para o gerenciamento de patches e garanta que todas as atualiza\u00e7\u00f5es sejam aplicadas em tempo h\u00e1bil.<\/li>\n<li>Educa\u00e7\u00e3o e treinamento dos funcion\u00e1rios: a conscientiza\u00e7\u00e3o da equipe \u00e9 uma linha de defesa crucial. Ofere\u00e7a treinamento cont\u00ednuo aos funcion\u00e1rios para que reconhe\u00e7am as t\u00e1ticas de engenharia social e phishing, m\u00e9todos comuns para iniciar ataques usando LOLBins. Simula\u00e7\u00f5es de phishing e programas de conscientiza\u00e7\u00e3o sobre seguran\u00e7a cibern\u00e9tica podem ser ferramentas eficazes nesse sentido.<\/li>\n<li>Implemente o princ\u00edpio do menor privil\u00e9gio: limite as permiss\u00f5es de usu\u00e1rios e processos ao n\u00edvel m\u00ednimo necess\u00e1rio para executar suas fun\u00e7\u00f5es. Ao restringir os privil\u00e9gios, voc\u00ea reduz a capacidade dos invasores de explorar os LOLBins e executar comandos mal-intencionados com altos n\u00edveis de acesso.<\/li>\n<li>Monitoramento e an\u00e1lise do comportamento do sistema: use ferramentas de monitoramento para detectar comportamentos an\u00f4malos do sistema que possam indicar o uso indevido dos LOLBins. O monitoramento cont\u00ednuo permite que voc\u00ea identifique e responda rapidamente a atividades suspeitas antes que elas causem danos significativos.<\/li>\n<li>Gerenciamento de vulnerabilidades: Realize avalia\u00e7\u00f5es regulares de vulnerabilidade para identificar e corrigir poss\u00edveis pontos fracos na infraestrutura de TI. O gerenciamento proativo de vulnerabilidades ajuda a evitar que os invasores explorem os LOLBins por meio de falhas conhecidas do sistema.<\/li>\n<li>Backups regulares e seguros: estabele\u00e7a procedimentos para backups regulares de dados essenciais e armazene-os em locais seguros e isolados da rede principal. Isso garante a integridade e a disponibilidade das informa\u00e7\u00f5es, caso um ataque comprometa os sistemas principais.<\/li>\n<\/ul>\n<p>Conclus\u00e3o<br \/>\nOs criminosos cibern\u00e9ticos aperfei\u00e7oaram a arte de usar ferramentas leg\u00edtimas do sistema operacional, conhecidas como LOLBins, para realizar atividades mal-intencionadas sem serem detectados. Essa estrat\u00e9gia permite que eles escapem das solu\u00e7\u00f5es de seguran\u00e7a tradicionais e mantenham acesso prolongado aos sistemas comprometidos. Para as organiza\u00e7\u00f5es, \u00e9 essencial reconhecer essa amea\u00e7a e tomar medidas proativas que incluam o monitoramento cont\u00ednuo de atividades suspeitas, a implementa\u00e7\u00e3o de pol\u00edticas de privil\u00e9gios m\u00ednimos e o treinamento cont\u00ednuo dos funcion\u00e1rios em pr\u00e1ticas de seguran\u00e7a cibern\u00e9tica. Ao compreender e antecipar as t\u00e1ticas baseadas em LOLBins, as organiza\u00e7\u00f5es podem fortalecer sua postura de seguran\u00e7a e reduzir significativamente o risco de comprometimento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&#8220;LOLBins (Living off the Land Binaries) \u00e9 uma t\u00e9cnica de explora\u00e7\u00e3o de ferramentas e processos leg\u00edtimos do pr\u00f3prio sistema operacional para realizar atividades maliciosas sem ser detectado. Essa abordagem, conhecida como &#8220;Living off the Land&#8221;, permite que os invasores camuflem suas a\u00e7\u00f5es entre as opera\u00e7\u00f5es normais do sistema, dificultando sua identifica\u00e7\u00e3o. Para as organiza\u00e7\u00f5es, compreender [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":6901,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":""},"categories":[98,199],"tags":[],"class_list":{"0":"post-6904","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-defensiva","8":"category-tecnico-pt-br"},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/131.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=6904"}],"version-history":[{"count":2,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6904\/revisions"}],"predecessor-version":[{"id":6909,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6904\/revisions\/6909"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/6901"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=6904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=6904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=6904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}