Ataques LotL: A solução com o novo serviço de EPDR Avançado da WatchGuard
Na cibersegurança, os ataques “Living-off-the-land” (LotL) têm-se tornado cada vez mais difíceis de detetar. Estes ataques exploram ferramentas de sistema legítimas, como PowerShell, WMI ou macros do Office, em vez de dependerem de malware externo, permitindo aos atacantes moverem-se furtivamente dentro de uma rede. As medidas de segurança tradicionais têm dificuldade em identificar estes ataques, uma vez que utilizam ferramentas fiáveis e assinadas digitalmente.
Os ataques LotL são atraentes para os cibercriminosos: evitam a deteção e reduzem o risco de serem monitorizados. Esta abordagem discreta aumenta as hipóteses de um ataque bem-sucedido, uma vez que os atacantes permanecem ocultos durante períodos mais longos.
Técnicas comuns em ataques LotL:
- PowerShell: Usado para descarregar e executar scripts maliciosos, estabelecer ligações remotas ou alterar as definições do sistema sem deixar vestígios claros.
- WMI: Utilizado para executar comandos remotamente, recolher dados do sistema ou manter a persistência no sistema.
- Ferramentas de administração remota: Ferramentas como o PsExec podem ser redirecionadas para executar comandos maliciosos remotamente.
- Macros do Office: Os macros maliciosos incorporados em documentos do Office 365 executam um código ao serem abertas, explorando a confiança do utilizador.
Proteção contra ataques LotL com o EPDR Avançado da WatchGuard:
- Controlo de aplicações: Restringir ferramentas como o PowerShell e o WMI a utilizadores e processos específicos.
- Monitorização e análise automatizada de comportamento: opte pela análise de comportamento na cloud para detetar atividades incomuns do sistema, em vez de confiar apenas em assinaturas ou na tecnologia de endpoint.
Para além do serviço de aplicação de Zero-Trust, que bloqueia aplicações não confiáveis e permite a sua execução apenas depois de validar a sua fiabilidade, e do serviço de Threat Hunting, o EPDR Avançado oferece funcionalidades que permitem aos analistas de segurança detetar e responder rapidamente à presença de um atacante utilizando técnicas LotL.
Os profissionais podem evitar esses ataques ao restringirem aplicações como PowerShell e WMI ou através da detetção automática os comportamentos típicos usados em ataques de malware sem arquivo, registando o seu comportamento na estrutura MITRE ATT&CK.
Agora, a nova versão do EPDR Avançado permite que os analistas investiguem estes comportamentos e acelerem a telemetria melhorada, recorrendo a ferramentas de Threat Hunting a partir de um único ponto de consola.
O novo serviço da WatchGuard disponibiliza informações valiosas para investigações de incidentes envolvendo aplicações maliciosos, identificando as técnicas do MITRE ATT&CK, as capacidades de atividades maliciosas que o programa pode exibir e as funções externas a que recorre. Estas podem incluir a invocação de operações do sistema operativo ou outras bibliotecas através da integração nativa do CAPA, uma ferramenta de código aberto para analisar automaticamente o comportamento das aplicações.
- Extensão da Investigação e Resposta Rápida através do Shell Remoto: A nova versão do EPDR avançado inclui a capacidade de abrir um shell remoto para obter arquivos, inspecionar processos e até mesmo tomar ações diretas no endpoint, independente do sistema (Windows, Linux ou macOS).
- Bloqueio de conexões que representam um risco: Limitar a comunicação entre diferentes segmentos de rede ou pontos de extremidade, usando a segmentação de rede, pode impedir que os atacantes se movam lateralmente usando técnicas LotL. A nova versão do EPDR Avançado da WatchGuard permite que os administradores neguem conexões de pontos de extremidade não compatíveis que representam um risco para pontos de extremidade protegidos, melhorando ainda mais a postura de segurança das organizações.
- Formação e consciencialização: A formação dos colaboradores sobre os riscos das macros e a utilização segura de ferramentas administrativas pode ajudar a evitar a execução inadvertida de scripts maliciosos.
Conclusão
Os ataques do tipo “living-off-the-land” representam um desafio significativo na cibersegurança moderna. Ao explorarem ferramentas e funcionalidades legítimas do sistema, os atacantes podem operar com um perfil discreto, escapando a muitas soluções de segurança tradicionais. A deteção e prevenção eficazes destes ataques requerem uma combinação de controlos técnicos robustos, monitorização constante e uma forte formação em segurança para os utilizadores. Com a nova versão do EPDR avançado d WatchGuard, as organizações podem melhorar sua capacidade de detetar, prevenir e responder a essas ameaças avançadas, garantindo um ambiente mais seguro e resiliente.
