{"id":17539,"date":"2021-05-26T18:51:03","date_gmt":"2021-05-26T21:51:03","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17539"},"modified":"2021-05-26T19:46:58","modified_gmt":"2021-05-26T22:46:58","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-windows-xp-vulnbins\/17539\/","title":{"rendered":"Golpes \u00e0 moda antiga em um sistema atual"},"content":{"rendered":"

Os ataques do tipo Living off the Land<\/a>, que usam programas leg\u00edtimos ou recursos do sistema operacional para causar danos, n\u00e3o s\u00e3o novidade, mas com especialistas acompanhando softwares atuais suscet\u00edveis a LotL, os cibercriminosos tiveram de inovar. Os pesquisadores Jean-Ian Boutin e Zuzana Hromcova falaram<\/a> sobre uma dessas cria\u00e7\u00f5es, o uso de componentes e programas leg\u00edtimos do Windows XP, na RSA Conference 2021.<\/p>\n

Living off the Land e componentes vulner\u00e1veis do Windows XP<\/h2>\n

Estudando a atividade do grupo InvisiMole<\/a>, Boutin e Hromcova observaram que o uso de arquivos pelas ferramentas InvisiMole para o sistema operacional h\u00e1 muito obsoleto os ajuda a ficar fora do radar. Os pesquisadores deram a esses arquivos o nome gen\u00e9rico de VULNBins, semelhante ao nome LOLBins, que a comunidade de seguran\u00e7a aplica a arquivos usados em ataques Living off the Land.
\nClaro, baixar um arquivo desatualizado para o computador da v\u00edtima requer acesso ao computador. Mas os VULNBins s\u00e3o geralmente usados para estabelecer perman\u00eancia em um sistema sem serem notados, n\u00e3o para invas\u00e3o propriamente dita.<\/p>\n\n

Exemplos espec\u00edficos de uso de programas e componentes de sistema desatualizados<\/h2>\n

Se um invasor n\u00e3o conseguir obter direitos de administrador, uma t\u00e1tica que eles podem usar para estabelecer conex\u00e3o envolve o uso de um reprodutor de v\u00eddeo antigo com uma vulnerabilidade de estouro de buffer conhecida. Por meio do Agendador de tarefas, os cibercriminosos criam uma tarefa agendada regularmente que chama o player, cujo arquivo de configura\u00e7\u00e3o foi modificado para explorar a vulnerabilidade, para carregar o c\u00f3digo necess\u00e1rio que leva ao pr\u00f3ximo est\u00e1gio do ataque.<\/p>\n

Se, no entanto, os invasores do InvisiMole conseguirem obter direitos de administrador, eles podem se instalar com outro m\u00e9todo que usa o componente leg\u00edtimo do sistema setupSNK.exe, a biblioteca wdigest.dll do Windows XP e Rundll32.exe (tamb\u00e9m do sistema desatualizado), que \u00e9 necess\u00e1rio para executar a biblioteca. Em seguida, eles manipulam os dados que a biblioteca carrega na mem\u00f3ria. A biblioteca foi criada antes da aplica\u00e7\u00e3o da tecnologia ASLR, para que os cibercriminosos saibam o endere\u00e7o exato na mem\u00f3ria na qual ser\u00e1 carregada.<\/p>\n

Eles armazenam a maior parte da carga \u00fatil maliciosa no registro de forma criptografada e todas as bibliotecas e execut\u00e1veis \u200b\u200bque usam s\u00e3o leg\u00edtimos. Como tal, tudo o que denota a presen\u00e7a de um inimigo dentro \u00e9 o arquivo com as configura\u00e7\u00f5es do player e o pequeno exploit que aborda as bibliotecas desatualizadas. Como regra, isso n\u00e3o \u00e9 suficiente para levantar suspeitas do sistema de seguran\u00e7a.<\/p>\n

Como se manter seguro<\/h2>\n

Para evitar que os cibercriminosos usem arquivos antigos e componentes de sistema desatualizados (especialmente aqueles assinados por um editor leg\u00edtimo), ter um banco de dados desses arquivos seria um bom come\u00e7o. Isso permitiria que as defesas existentes os bloqueassem ou pelo menos os rastreassem (se por algum motivo o bloqueio n\u00e3o for poss\u00edvel). Mas isso \u00e9 se adiantar muito.<\/p>\n

At\u00e9 que tal biblioteca de dados exista, use nossa solu\u00e7\u00e3o de classe EDR<\/a> para:<\/p>\n

\u2022 Detectar e bloquear a execu\u00e7\u00e3o de componentes do Windows localizados fora da pasta do sistema,
\n\u2022 Identificar arquivos de sistema n\u00e3o assinados (alguns arquivos de sistema s\u00e3o assinados com um arquivo de cat\u00e1logo em vez de uma assinatura digital exclusiva, mas um arquivo de sistema movido para um sistema que n\u00e3o possui o arquivo .cat<\/em> necess\u00e1rio \u00e9 considerado n\u00e3o assinado),
\n\u2022 Criar uma regra para detectar a diferen\u00e7a entre a vers\u00e3o do sistema operacional e a vers\u00e3o de cada arquivo execut\u00e1vel,
\n\u2022 Desenvolver uma regra semelhante para outros aplicativos \u2013 por exemplo, para bloquear a execu\u00e7\u00e3o de arquivos compilados h\u00e1 mais de 10 anos.<\/p>\n

Como mencionamos, para baixar algo para o computador da v\u00edtima, os invasores primeiro precisam obter acesso. Para evitar que qualquer VULNBins chegue \u00e0s suas esta\u00e7\u00f5es de trabalho, instale solu\u00e7\u00f5es de seguran\u00e7a<\/a> em todos os dispositivos habilitados para Internet, conscientize os funcion\u00e1rios<\/a> sobre as amea\u00e7as cibern\u00e9ticas modernas e monitore de perto as ferramentas de acesso remoto.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores discutem a nova t\u00e1tica de cibercriminosos de baixar bin\u00e1rios desatualizados em computadores dos dias de hoje e explorar suas vulnerabilidades.<\/p>\n","protected":false},"author":2577,"featured_media":17540,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656],"tags":[1185,313,1888,2725,1889,267,2491],"class_list":{"0":"post-17539","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-business","12":"tag-golpes","13":"tag-rsa-conference","14":"tag-rsa2021","15":"tag-rsac","16":"tag-vulnerabilidades","17":"tag-windows-xp"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-windows-xp-vulnbins\/17539\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rsa2021-windows-xp-vulnbins\/22895\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rsa2021-windows-xp-vulnbins\/18380\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rsa2021-windows-xp-vulnbins\/24814\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rsa2021-windows-xp-vulnbins\/22806\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-windows-xp-vulnbins\/21976\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rsa2021-windows-xp-vulnbins\/25353\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rsa2021-windows-xp-vulnbins\/24738\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rsa2021-windows-xp-vulnbins\/30797\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-windows-xp-vulnbins\/9668\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rsa2021-windows-xp-vulnbins\/40033\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-windows-xp-vulnbins\/16990\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rsa2021-windows-xp-vulnbins\/14852\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rsa2021-windows-xp-vulnbins\/26825\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rsa2021-windows-xp-vulnbins\/30825\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rsa2021-windows-xp-vulnbins\/27083\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rsa2021-windows-xp-vulnbins\/23944\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rsa2021-windows-xp-vulnbins\/29272\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rsa2021-windows-xp-vulnbins\/29069\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17539","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2577"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17539"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17539\/revisions"}],"predecessor-version":[{"id":17541,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17539\/revisions\/17541"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17540"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}