Barracuda full logo

Viver da terra: CISA emite orientação sobre deteção

Tópicos:
21 mar. 2024
|
Tony Burgess

Forças de operações especiais que operam em território inimigo são treinadas para viver da terra. Isso refere-se não apenas a procurar ou roubar comida e água, mas também a apropriar-se, reaproveitar e utilizar as ferramentas, equipamentos e armas do inimigo para alcançar os objetivos da missão.

No contexto da cibersegurança, viver da terra (LOTL) refere-se a uma técnica de ciberataque cada vez mais comum em que os atacantes, uma vez infiltrados numa rede alvo, ganham acesso a ferramentas legítimas de administração de TI e utilizam-nas para realizar atividades maliciosas.

Orientação conjunta da CISA, FBI e outros

No dia 7 de fevereiro deste ano, várias agências governamentais publicaram um documento intitulado “Orientações Conjuntas: Identificação e Mitigação de Técnicas de Living Off the Land”. Redigido conjuntamente pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), pelo Federal Bureau of Investigation (FBI) e por uma longa lista de outras agências de segurança e cibersegurança governamentais dos EUA, Austrália, Canadá, Reino Unido e Nova Zelândia, o documento detalha minuciosamente as técnicas de LOTL, porque são cada vez mais populares e porque podem ser extremamente difíceis de detetar.

O documento aponta três principais razões para a eficácia e crescente popularidade das técnicas LOTL:

  • A falta generalizada de práticas de segurança e gestão de rede que permitiriam às organizações detectar atividades anómalas e potencialmente maliciosas por ferramentas e processos de administração legítimos
  • O facto de, até agora, não existir uma lista convencional de indicadores de comprometimento (IOCs) associada a atividades LOTL
  • O LOTL permite que os atacantes lancem ataques sem terem de desenvolver e implementar ferramentas personalizadas para alcançar os seus objetivos, tornando mais fácil e rápido usar o LOTL.

Além disso, lista estruturas organizacionais e práticas que tornam especialmente difícil detectar atividade LOTL, mesmo para organizações que seguem as melhores práticas de segurança:

  • O pessoal de cibersegurança muitas vezes opera em silos separados das equipas de TI.
  • As equipas de segurança muitas vezes confiam principalmente em sistemas de deteção de endpoints, que são pouco prováveis de alertar para atividades LOTL
  • Os logs de sistema são geralmente deixados na configuração padrão, o que significa que as técnicas LOTL podem não ser registadas, e as informações de registo podem ser insuficientemente detalhadas para permitir diferenciação e deteção.
  • O grande volume de dados de log relevantes em comparação com o pequeno número de atividades maliciosas registadas torna a deteção ainda mais difícil.

Da China para o seu gangue cibernético local

Curiosamente, o documento de orientação baseia-se num aconselhamento anterior emitido pela CISA em maio de 2023, intitulado “Ator Cibernético Patrocinado pelo Estado da República Popular da China Usando Recursos Locais para Evitar Detecção.” E foi publicado juntamente com outro aconselhamento intitulado “Atores Patrocinados pelo Estado da RPC Comprometem e Mantêm Acesso Persistente à Infraestrutura Crítica dos EUA.”

Esses avisos focam nas atividades do Volt Typhoon (também conhecido como Insidious Taurus), uma organização cibercriminosa patrocinada pelo estado chinês. De acordo com o FBI e outras agências, este grupo tem utilizado técnicas LOTL para permanecer indetectado em uma variedade de sistemas críticos de infraestrutura dos EUA. A teoria é que eles estão pré-posicionando ativos cibernéticos para estarem prontos para semear o caos e danificar a infraestrutura em caso de uma grande crise ou conflito entre a China e os EUA.

No entanto, estas técnicas estão a ser cada vez mais utilizadas por um número crescente de cibercriminosos. Conforme indicado na secção Resumo do documento de orientação conjunta, "as agências autoras estão a divulgar este guia conjunto para defensores de rede (incluindo caçadores de ameaças), à medida que o uso malicioso de técnicas LOTL está a emergir cada vez mais no ambiente mais amplo de ameaças cibernéticas."

Assim, embora a orientação inicial relativa ao LOTL tenha sido dirigida principalmente a organizações que gerem sistemas de infraestrutura crítica, é claro que a orientação aqui fornecida é importante para qualquer pessoa envolvida em cibersegurança.

Melhores práticas para mitigar a atividade LOTL

O aviso mais recente começa com uma lista de ações a serem tomadas imediatamente "para mitigar a atividade do Volt Typhoon:"

  1. Aplicar patches para sistemas voltados para a internet. Priorizar a correção de vulnerabilidades críticas em appliances conhecidos por serem frequentemente explorados pelo Volt Typhoon.
  2. Implemente MFA resistente a phishing.
  3. Certifique-se de que o registo está ativado para registos de aplicação, acesso e segurança e armazene os registos num sistema central.
  4. Planear o "fim de vida" para a tecnologia além do ciclo de vida suportado pelo fabricante.

No entanto, estas são apenas um primeiro conjunto de atividades a nível de emergência. O documento de orientação conjunta lista um conjunto de melhores práticas para deteção, juntamente com um conjunto diferente de melhores práticas para reforçar os sistemas contra técnicas LOTL. Em forma resumida, estas são:

Melhores práticas de deteção:

  1. Implemente registos detalhados e agregue os registos num local centralizado, fora de banda, que seja write-once, read-many, para evitar o risco de atacantes modificarem ou apagarem registos.
  2. Estabelecer e manter continuamente linhas de base de atividade de rede, utilizador, administrativa e de aplicação, bem como restrições de privilégio mínimo.
  3. Construa ou adquira automação (como modelos de machine learning) para rever continuamente todos os registos, comparando as atividades atuais com as linhas de base comportamentais estabelecidas e alertando sobre anomalias especificadas.
  4. Reduza o ruído de alertas ajustando o nível de prioridade (urgência e gravidade) e reveja continuamente as detecções com base na atividade de tendências.
  5. Aproveitar a análise de comportamento de utilizadores e entidades (UEBA).

Melhores práticas de reforço:

  1. Aplique e consulte as orientações recomendadas pelo fornecedor para reforço de segurança.
  2. Implemente a lista de permissões de aplicações e monitorize o uso de LOLBins comuns.
  3. Melhore a segmentação e monitorização das redes de TI e OT.
  4. Implemente controlos de autenticação e autorização para todas as interações humano-software e software-software, independentemente da localização da rede.

O documento de orientação fornece explicações detalhadas e aprofundadas de todas estas best practices. Muitas destas práticas são provavelmente familiares das recomendações gerais de segurança que poderá ter visto noutros contextos. No entanto, a natureza específica dos ataques LOTL torna especialmente importante estabelecer controlos e processos que possam dar-lhe alguma vantagem na sua deteção.

Seguro por designo

A seção final do documento de orientação fornece uma lista de recomendações para os fabricantes de software reduzirem a vulnerabilidade dos seus produtos ao abuso por técnicas LOTL. Estas incluem:

  • Minimize as superfícies de ataque que podem ser exploradas por atores de ameaças cibernéticas utilizando técnicas LOTL.
  • Incorporar segurança na arquitetura do produto.
  • Exigir MFA, idealmente MFA resistente a phishing, para utilizadores privilegiados e tornar o MFA uma funcionalidade padrão, em vez de opcional.
  • Forneça registos de alta qualidade para plataformas e aplicações sem custo adicional.
  • Reduza o tamanho dos "guias de reforço" incluídos com os produtos e procure garantir que o tamanho diminua ao longo do tempo à medida que novas versões do software são lançadas.
  • Remova as palavras-passe padrão, exigindo que os clientes gerem palavras-passe mais seguras.
  • Remova ou limite a execução de código dinâmico, que pode ser facilmente explorada por técnicas LOTL.
  • Elimine credenciais codificadas.

Proteja a sua empresa

A Barracuda oferece uma plataforma de cibersegurança abrangente que protege o seu e-mail, rede, aplicações e dados. Visite o nosso site para ver como funciona.

 

 

 

Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Artigos Relacionados:
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
 Malware Brief: XWorm, TrickMo, and Remcos
Malware Brief: XWorm, TrickMo, and Remcos
 Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
 Cibercriminosos ficando mais jovens — e mais perigosos
Cibercriminosos ficando mais jovens — e mais perigosos

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.