O que é um ciberataque "living off the land"?
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Golpes living off the land, que, em tradução livre, significam “vivendo da terra”, se aproveitam do próprio sistema invadido para agir: é como um ladrão que, ao invés de arrombar a janela (ou instalar um malware óbvio), rouba o uniforme de um funcionário e usa as chaves do próprio prédio para acessar os apartamentos.
Em outras palavras, não são usados agentes externos, mas sim as ferramentas do próprio sistema: esse tipo de ciberataque aproveita softwares legítimos, já instalados no computador da vítima, para suas atividades maliciosas. Isso dificulta a detecção por antivírus comuns. Nesta matéria, saiba como são os living off the land (LotL), como funcionam e como se proteger das ameaças do tipo.
O que é o living off the land?
Ataques de cibercriminosos, tradicionalmente, usam malwares que o usuário baixa sem querer, algo que antivírus conseguem detectar. Os ataques LotL ultrapassam essa barreira ao usar ferramentas que os apps de segurança não conseguem bloquear, já que o sistema depende delas para funcionar.
As ferramentas incluem o PowerShell do Windows, que usa linha de comandos para administrar o sistema, o WMI (Windows Management Instrumentation), que gerencia dispositivos de rede, e o Agendador de Tarefas, usado para agendar atualizações, mas que pode ser explorado para rodar o agente malicioso diariamente na máquina.
Como é feito um ataque living off the land?
A invasão da máquina costuma seguir o roteiro padrão, com os hackers usando e-mails de phishing, documentos do Word com macros maliciosas ou links para sites comprometidos, por exemplo. Ao invés de levar o usuário a baixar um vírus, no entanto, a ação ativa um comando oculto, que passa a se comunicar com uma ferramenta legítima, como o PowerShell.
O programa, então, recebe instruções para agir maliciosamente: ele se conecta a servidores externos, baixa mais instruções, procura arquivos sensíveis como senhas e documentos ou se move até outras máquinas da rede. A ferramenta vira um fantoche, controlado remotamente pelos cibercriminosos.
Por que é tão difícil identificar?
A principal vantagem aos criminosos fica no uso de programas legítimos: os antivírus os veem rodando normalmente e não encontram motivos para parar o processo.
Mesmo especialistas de TI têm dificuldade de ver a diferença entre uma ação maliciosa e uma benigna no sistema invadido, o que fica ainda pior quando o ataque roda na memória RAM. Sem arquivos deixados como rastro, é muito difícil fazer análises forenses após reiniciar o computador.
Como descobrir um ataque LotL?
Embora a atuação LotL seja extremamente discreta, ela pode deixar alguns rastros, principalmente se executada por amadores ou com programas maliciosos pouco otimizados. Sinais podem ser janelas de terminal piscando na tela e sumindo rapidamente, lentidão inexplicável no computador ou na rede, alertas de comportamento suspeito por programas de segurança (como EDR), programas que abrem sozinhos ou movimentos inesperados do mouse.
Isso tudo fica muito mais suspeito se começar a acontecer depois de você clicar em um e-mail estranho, provavelmente de phishing, ou abrir um documento que pede para habilitar macros, por exemplo.
Como se proteger do living off the land?
As dicas para evitar ataques LotL começam com as proteções básicas que sempre recomendamos: desconfie sempre de qualquer e-mail de fonte desconhecida, evitando phishing, nunca baixe anexos sem saber o que fazem e não habilite macros ou conteúdo em documentos Office de fontes não confiáveis.
Também mantenha sempre o sistema operacional e os aplicativos atualizados, já que ataques LotL costumam explorar falhas já corrigidas, mas em computadores desatualizados. Também use senhas fortes e autenticação por dois ou mais fatores para evitar que usem sua senha para invadir o sistema.
Uma boa dica é não usar uma conta de administrador no computador no dia-a-dia: contas padrão possuem menos privilégios, o que limita a ação de programas como o PowerShell, evitando a exploração da máquina pelos cibercriminosos.
Há, ainda, soluções de segurança mais modernas do que os antivírus comuns: são os EDRs (Endpoint Detection and Response), programas que monitoram o comportamento de aplicativos, e não só os arquivos. Ao ver o Microsoft Word tentando rodar o PowerShell, por exemplo, o programa ficará atento e poderá impedir ações mais profundas.
Leia também:
- Não pague o resgate: Norton lança chave grátis para vítimas de ransomware
- Por dentro da divisão da Microsoft que caça hackers pelo mundo
- Como a Microsoft quer reinventar a segurança digital na era da IA
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]