Os cibercriminosos há muito usam programas legítimos e componentes do sistema operacional para atacar usuários do Microsoft Windows, uma tática conhecida como Living off the Land. Ao fazer isso, tentam matar vários pássaros com uma pedra cibernética, reduzindo o custo de desenvolvimento de um kit de ferramentas de malware, minimizando os rastros em seu sistema operacional e disfarçando sua atividade entre ações de TI legítimas.
Em outras palavras, o objetivo principal é dificultar a detecção de sua atividade maliciosa. Por esse motivo, especialistas em segurança monitoram há muito tempo a atividade de executáveis, scripts e bibliotecas potencialmente inseguros, chegando ao ponto de manter uma espécie de registro no projeto LOLBAS no GitHub.
Nossos colegas do serviço Kaspersky Managed Detection and Response, que protegem várias empresas em uma ampla gama de áreas de negócios, costumam ver essa abordagem em ataques na vida real. No Managed Detection and Response Analyst Report, examinam os componentes do sistema mais usados para atacar empresas modernas. Eis o que descobriram.
O ouro vai para PowerShell
O PowerShell, mecanismo de software e linguagem de script com interface de linha de comando, é de longe a ferramenta legítima mais comum entre os cibercriminosos, apesar dos esforços da Microsoft para torná-lo mais seguro e controlável. Dos incidentes identificados por nosso serviço MDR, 3,3% envolveram uma tentativa de exploração do PowerShell. Além do mais, restringindo a pesquisa apenas a incidentes críticos, vemos que o PowerShell participou de um em cada cinco (20,3%, para ser mais específico).
A prata vai para rundll32.exe
Em segundo lugar, temos o processo host rundll32, usado para executar código de bibliotecas de vínculo dinâmico (DLLs), que esteve envolvido em 2% de todos os incidentes e 5,1% dos críticos.
Bronze vai para várias ferramentas
Encontramos cinco ferramentas em 1,9% de todos os incidentes:
● te.exe, parte do Test Authoring and Execution Framework,
● PsExec.exe, ferramenta para executar processos em sistemas remotos,
● CertUtil.exe, ferramenta para lidar com informações de certificação,
● Reg.exe, ferramenta do console de registro da Microsoft, que pode ser usada para alterar e adicionar chaves no registro do sistema a partir da linha de comando,
● wscript.exe, Windows Script Host, projetado para executar scripts em linguagens de script.
Esses cinco arquivos executáveis foram usados em 7,2% dos incidentes críticos.
Os especialistas do Kaspersky MDR também observaram o uso de msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt. exe, dllhost.exe, regsvr32.exe, winword.exe e shell32.exe.
Veja aqui mais resultados do Managed Detection and Response Analyst Report.