Escondido à vista de todos: o abuso de aplicações de confiança aumentou 51% no relatório Sophos Active Adversary

Os dados, resultantes de quase 200 casos de resposta a incidentes (IR) da equipa Sophos X-Ops, revelam que os invasores estão a tirar proveito de aplicações e ferramentas de confiança em sistemas Windows, comummente chamados de binários ‘living off the land’, para levarem a cabo exploits no sistema e manterem a persistência.

Em comparação com 2023, a Sophos detetou um aumento de 51% no abuso destes LOLbins; desde 2021, este aumento foi de 83%. Entre os 187 LOLbins únicos da Microsoft detetados no primeiro semestre do ano, a aplicação de confiança mais abusada foi o Remote Desktop Protocol (RDP), presente em 89% dos casos analisados. Esta prevalência continua a ser uma tendência, tendo sido observada pela primeira vez no Active Adversary Report 2023 (presente em 90% dos casos de IR investigados).

“Os LOLbins não só oferecem discrição às atividades de um atacante, como também uma aprovação implícita das suas atividades. Embora o abuso de algumas ferramentas legítimas possa fazer duvidar alguns defensores e, esperemos, levante alguns sinais de alerta, o abuso de um binário da Microsoft tem frequentemente o efeito oposto. Muitas destas ferramentas são parte integrante do Windows e têm utilizações legítimas, mas cabe aos administradores de sistemas compreenderem como são utilizadas nos seus ambientes e o que constitui um abuso. Sem uma compreensão completa e contextual do ambiente, incluindo a monitorização contínua de eventos novos e em desenvolvimento dentro da rede, as equipas de TI correm o risco de ignorar as principais atividades de ameaças que muitas vezes levam ao ransomware,” disse John Shier, Field CTO da Sophos.

Para além disso, o relatório concluiu que, apesar de o governo ter encerrado o principal website de leaks e a infraestrutura do LockBit em fevereiro, este tem sido o grupo de ransomware com mais ataques detetados, sendo responsável por cerca de 21% dos ataques no primeiro semestre de 2024.

Outras conclusões-chave do mais recente Active Adversary Report:

• Principal causa dos ataques:seguindo uma tendência observada pela primeira vez no Active Adversary Report for Tech Leaders, as credenciais comprometidas continuam a ser a principal causa de ataques (39%). No entanto, este valor é inferior aos 56% observados em 2023.
• As violações de rede dominam o MDR. Ao examinar apenas os casos da equipa de MDR da Sophos, foram o incidente dominante que a equipa enfrentou.
• Os tempos de permanência são mais curtos se existe uma equipa de MDR. Nos casos da equipa de IR da Sophos, o tempo de permanência (o tempo desde o início de um ataque até à sua deteção) manteve-se em cerca de oito dias. No entanto, com MDR, o tempo médio de permanência é de apenas um dia para todos os tipos de incidentes, e de apenas três dias para ataques de ransomware.
• Os servidores do Active Diretory (AD) mais frequentemente comprometidos estão a aproximar-se do fim da sua vida útil. Os atacantes comprometeram mais frequentemente as versões de servidor de 2019, 2016 e 2012 do AD. Estas três versões já não são suportadas pela Microsoft, que é o passo anterior a atingirem o fim da vida útil e de se tornarem impossíveis de corrigir sem o suporte pago da Microsoft.

Para saber mais sobre os comportamentos, ferramentas e técnicas dos infratores, leia “The Bite from Inside: The Sophos Active Adversary Report” em Sophos.com.

Conteúdo co-produzido pela MediaNext e pela Sophos