Pesquisadores de segurança cibernética descobriram um conjunto de 11 binários e scripts de Living-Off-The-Land (LOLBAS) que podem ser abusados maliciosamente por invasores para conduzir atividades pós-exploração.
"LOLBAS é um método de ataque que usa binários e scripts que já fazem parte do sistema para fins maliciosos", disse o pesquisador de segurança da Pentera, Nir Chako.
"Isso torna difícil para as equipes de segurança distinguir entre atividades legítimas e maliciosas, já que todas são realizadas por utilitários de sistema confiáveis".
Com esse objetivo, a empresa israelense de segurança cibernética disse que descobriu nove baixadores LOLBAS e três executores que poderiam permitir aos adversários baixar e executar "malwares mais robustos" em hosts infectados.
Isso inclui: MsoHtmEd.exe, Mspub.exe, ProtocolHandler.exe, ConfigSecurityPolicy.exe, InstallUtil.exe, Mshta.exe, Presentationhost.exe, Outlook.exe, MSAccess.exe, scp.exe e sftp.exe.
"Em uma cadeia de ataque completa, um hacker usará um baixador LOLBAS para baixar um malware mais robusto", disse Chako.
"Depois, eles tentarão executá-lo de forma furtiva.
Os executores LOLBAS permitem que os invasores executem suas ferramentas maliciosas como parte de uma árvore de processos legítimos no sistema."
Dito isto, a Pentera observou que os invasores também podem usar outros executáveis de softwares fora dos relacionados à Microsoft para atingir objetivos semelhantes.
As descobertas surgem após a Vectra divulgar um possível novo vetor de ataque que aproveita a sincronização entre usuários do Microsoft Entra ID (antes Azure Active Directory) para facilitar o movimento lateral para outros usuários, supondo que uma identidade privilegiada já tenha sido comprometida no ambiente de nuvem.
"Um invasor operando em um ambiente comprometido pode explorar uma configuração de usuário existente para se mover lateralmente de um usuário para outro conectado", disse a empresa.
Alternativamente, "um invasor operando em um usuário comprometido pode implantar uma configuração de acesso entre usuários para manter o acesso persistente."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...