Os ataques do tipo Living off the Land, que usam programas legítimos ou recursos do sistema operacional para causar danos, não são novidade, mas com especialistas acompanhando softwares atuais suscetíveis a LotL, os cibercriminosos tiveram de inovar. Os pesquisadores Jean-Ian Boutin e Zuzana Hromcova falaram sobre uma dessas criações, o uso de componentes e programas legítimos do Windows XP, na RSA Conference 2021.
Living off the Land e componentes vulneráveis do Windows XP
Estudando a atividade do grupo InvisiMole, Boutin e Hromcova observaram que o uso de arquivos pelas ferramentas InvisiMole para o sistema operacional há muito obsoleto os ajuda a ficar fora do radar. Os pesquisadores deram a esses arquivos o nome genérico de VULNBins, semelhante ao nome LOLBins, que a comunidade de segurança aplica a arquivos usados em ataques Living off the Land.
Claro, baixar um arquivo desatualizado para o computador da vítima requer acesso ao computador. Mas os VULNBins são geralmente usados para estabelecer permanência em um sistema sem serem notados, não para invasão propriamente dita.
Exemplos específicos de uso de programas e componentes de sistema desatualizados
Se um invasor não conseguir obter direitos de administrador, uma tática que eles podem usar para estabelecer conexão envolve o uso de um reprodutor de vídeo antigo com uma vulnerabilidade de estouro de buffer conhecida. Por meio do Agendador de tarefas, os cibercriminosos criam uma tarefa agendada regularmente que chama o player, cujo arquivo de configuração foi modificado para explorar a vulnerabilidade, para carregar o código necessário que leva ao próximo estágio do ataque.
Se, no entanto, os invasores do InvisiMole conseguirem obter direitos de administrador, eles podem se instalar com outro método que usa o componente legítimo do sistema setupSNK.exe, a biblioteca wdigest.dll do Windows XP e Rundll32.exe (também do sistema desatualizado), que é necessário para executar a biblioteca. Em seguida, eles manipulam os dados que a biblioteca carrega na memória. A biblioteca foi criada antes da aplicação da tecnologia ASLR, para que os cibercriminosos saibam o endereço exato na memória na qual será carregada.
Eles armazenam a maior parte da carga útil maliciosa no registro de forma criptografada e todas as bibliotecas e executáveis que usam são legítimos. Como tal, tudo o que denota a presença de um inimigo dentro é o arquivo com as configurações do player e o pequeno exploit que aborda as bibliotecas desatualizadas. Como regra, isso não é suficiente para levantar suspeitas do sistema de segurança.
Como se manter seguro
Para evitar que os cibercriminosos usem arquivos antigos e componentes de sistema desatualizados (especialmente aqueles assinados por um editor legítimo), ter um banco de dados desses arquivos seria um bom começo. Isso permitiria que as defesas existentes os bloqueassem ou pelo menos os rastreassem (se por algum motivo o bloqueio não for possível). Mas isso é se adiantar muito.
Até que tal biblioteca de dados exista, use nossa solução de classe EDR para:
• Detectar e bloquear a execução de componentes do Windows localizados fora da pasta do sistema,
• Identificar arquivos de sistema não assinados (alguns arquivos de sistema são assinados com um arquivo de catálogo em vez de uma assinatura digital exclusiva, mas um arquivo de sistema movido para um sistema que não possui o arquivo .cat necessário é considerado não assinado),
• Criar uma regra para detectar a diferença entre a versão do sistema operacional e a versão de cada arquivo executável,
• Desenvolver uma regra semelhante para outros aplicativos – por exemplo, para bloquear a execução de arquivos compilados há mais de 10 anos.
Como mencionamos, para baixar algo para o computador da vítima, os invasores primeiro precisam obter acesso. Para evitar que qualquer VULNBins chegue às suas estações de trabalho, instale soluções de segurança em todos os dispositivos habilitados para Internet, conscientize os funcionários sobre as ameaças cibernéticas modernas e monitore de perto as ferramentas de acesso remoto.