Técnicas cibercriminosas – SophosLabs 2019 Relatório de Ameaças

Os invasores cibernéticos estão evitando a detecção com êxito em computadores com Windows, abusando de ferramentas de administração legítimas comumente encontradas no sistema operacional.

Esta é uma descoberta crucial do Relatório de Ameaças do SophosLabs 2019, que mostra como a técnica se elevou das franjas do manual do criminoso cibernético para se tornar uma característica comum em um número crescente de ataques cibernéticos.

Conhecido no jargão da segurança como ‘living off the Land’ ou ‘LoL’ porque evita a necessidade de baixar ferramentas dedicadas, um alvo favorito é o PowerShell, um poderoso shell de linha de comando que vem por padrão em todos os computadores Windows recentes, embora poucos usuários ouviu falar disso. As alternativas incluem o Windows Scripting Host (WScript.exe), a linha de Comando de Instrumentação de Gerenciamento do Windows (WMIC), bem como ferramentas externas populares, como PsExec e WinSCP.

Os invasores, é claro, sabem disso e, muitas vezes, sentem-se ousados ​​o suficiente para encadear uma sequência de interfaces de script e comando, cada uma executando em um processo diferente do Windows.

De acordo com o SophosLabs, os ataques podem começar com um anexo JavaScript mal-intencionado, por sua vez, invocando wscript.exe, antes de finalmente baixar um script personalizado do PowerShell. Os defensores enfrentam um desafio:

“Com uma ampla gama de tipos de arquivos que incluem vários scripts de “texto simples”, encadeados sem nenhuma ordem específica e sem qualquer previsibilidade, o desafio é como separar as operações normais de um computador do comportamento anômalo de uma máquina no meio de um computador. infecção por malware.”

Ataques de macro 2.0
Enquanto isso, os atacantes não mostram sinais de desistir de novas variações nos ataques macro do Microsoft Office, outra rota para lançar explorações sem a necessidade de executáveis ​​convencionais.

Nos últimos anos, proteções, como a desativação de macros dentro de documentos ou o uso do modo de visualização, embotaram essa técnica.

Infelizmente, os invasores desenvolveram técnicas para persuadir as pessoas a desativá-las usando ferramentas de criação de macros que empacotam Office, Flash e outras explorações em um documento que gera prompts de engenharia social sofisticados.

Além disso, os cibercriminosos atualizaram seu antigo estoque de falhas de software em favor de equivalentes mais recentes e perigosos – a análise de documentos maliciosos da SophosLabs revelou que apenas 3% das explorações dentro de construtores datavam de antes de 2017.

Com tipos de arquivos bem usados ​​agora bloqueados ou monitorados pela segurança do endpoint, a tendência é usar tipos de arquivos mais exóticos para lançar ataques, especialmente aqueles aparentemente inócuos que podem ser chamados de um shell do Windows como .cmd (Command File) .cpl (Painel de Controle ), .HTA (host de scripts do Windows), .LNK (atalho do Windows) e .PIF (arquivo de informações do programa).

Movendo-se para os lados
O EternalBlue exploit ( CVE – 2017-0144 ) surpreendentemente se tornou um produto popular para os criadores de malware, apesar da Microsoft ter lançado um patch antes de seu primeiro uso pela WannaCry em maio de 2017 .

Os Cryptominers têm sido usuários entusiastas do EternalBlue, usando-o para mover-se lateralmente através de redes para infectar o máximo de máquinas possível.

Os atacantes que combinam essas inovações – ferramentas de LoL do Windows, ataques de macro, novas explorações e criptominações – representam um desafio porque muitas vezes confundem as suposições dos defensores.

Matéria original “SophosLab”.