LOLBAS: 11 Binários de Living-Off-The-Land que Podem ser Usados para Fins Maliciosos
8 de Agosto de 2023

Pesquisadores de segurança cibernética descobriram um conjunto de 11 binários e scripts de Living-Off-The-Land (LOLBAS) que podem ser abusados maliciosamente por invasores para conduzir atividades pós-exploração.

"LOLBAS é um método de ataque que usa binários e scripts que já fazem parte do sistema para fins maliciosos", disse o pesquisador de segurança da Pentera, Nir Chako.

"Isso torna difícil para as equipes de segurança distinguir entre atividades legítimas e maliciosas, já que todas são realizadas por utilitários de sistema confiáveis".

Com esse objetivo, a empresa israelense de segurança cibernética disse que descobriu nove baixadores LOLBAS e três executores que poderiam permitir aos adversários baixar e executar "malwares mais robustos" em hosts infectados.

Isso inclui: MsoHtmEd.exe, Mspub.exe, ProtocolHandler.exe, ConfigSecurityPolicy.exe, InstallUtil.exe, Mshta.exe, Presentationhost.exe, Outlook.exe, MSAccess.exe, scp.exe e sftp.exe.

"Em uma cadeia de ataque completa, um hacker usará um baixador LOLBAS para baixar um malware mais robusto", disse Chako.

"Depois, eles tentarão executá-lo de forma furtiva.

Os executores LOLBAS permitem que os invasores executem suas ferramentas maliciosas como parte de uma árvore de processos legítimos no sistema."

Dito isto, a Pentera observou que os invasores também podem usar outros executáveis de softwares fora dos relacionados à Microsoft para atingir objetivos semelhantes.

As descobertas surgem após a Vectra divulgar um possível novo vetor de ataque que aproveita a sincronização entre usuários do Microsoft Entra ID (antes Azure Active Directory) para facilitar o movimento lateral para outros usuários, supondo que uma identidade privilegiada já tenha sido comprometida no ambiente de nuvem.

"Um invasor operando em um ambiente comprometido pode explorar uma configuração de usuário existente para se mover lateralmente de um usuário para outro conectado", disse a empresa.

Alternativamente, "um invasor operando em um usuário comprometido pode implantar uma configuração de acesso entre usuários para manter o acesso persistente."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...