{"id":18302,"date":"2021-10-20T13:31:42","date_gmt":"2021-10-20T16:31:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18302"},"modified":"2021-10-20T13:31:42","modified_gmt":"2021-10-20T16:31:42","slug":"most-used-lolbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/most-used-lolbins\/18302\/","title":{"rendered":"Cibercrime usa ferramentas leg\u00edtimas para ciberataques"},"content":{"rendered":"

Os cibercriminosos h\u00e1 muito usam programas leg\u00edtimos e componentes do sistema operacional para atacar usu\u00e1rios do Microsoft Windows, uma t\u00e1tica conhecida como Living off the Land<\/a>. Ao fazer isso, tentam matar v\u00e1rios p\u00e1ssaros com uma pedra cibern\u00e9tica, reduzindo o custo de desenvolvimento de um kit de ferramentas de malware, minimizando os rastros em seu sistema operacional e disfar\u00e7ando sua atividade entre a\u00e7\u00f5es de TI leg\u00edtimas.<\/p>\n

Em outras palavras, o objetivo principal \u00e9 dificultar a detec\u00e7\u00e3o de sua atividade maliciosa. Por esse motivo, especialistas em seguran\u00e7a monitoram h\u00e1 muito tempo a atividade de execut\u00e1veis, scripts e bibliotecas potencialmente inseguros, chegando ao ponto de manter uma esp\u00e9cie de registro no projeto LOLBAS<\/a> no GitHub.<\/p>\n

Nossos colegas do servi\u00e7o Kaspersky Managed Detection and Response<\/a>, que protegem v\u00e1rias empresas em uma ampla gama de \u00e1reas de neg\u00f3cios, costumam ver essa abordagem em ataques na vida real. No Managed Detection and Response Analyst Report<\/a>, examinam os componentes do sistema mais usados para atacar empresas modernas. Eis o que descobriram.<\/p>\n

O ouro vai para PowerShell<\/h2>\n

O PowerShell, mecanismo de software e linguagem de script com interface de linha de comando, \u00e9 de longe a ferramenta leg\u00edtima mais comum entre os cibercriminosos, apesar dos esfor\u00e7os da Microsoft para torn\u00e1-lo mais seguro e control\u00e1vel. Dos incidentes identificados por nosso servi\u00e7o MDR, 3,3% envolveram uma tentativa de explora\u00e7\u00e3o do PowerShell. Al\u00e9m do mais, restringindo a pesquisa apenas a incidentes cr\u00edticos, vemos que o PowerShell participou de um em cada cinco (20,3%, para ser mais espec\u00edfico).<\/p>\n

A prata vai para rundll32.exe<\/h2>\n

Em segundo lugar, temos o processo host rundll32, usado para executar c\u00f3digo de bibliotecas de v\u00ednculo din\u00e2mico (DLLs), que esteve envolvido em 2% de todos os incidentes e 5,1% dos cr\u00edticos.<\/p>\n

Bronze vai para v\u00e1rias ferramentas<\/h3>\n

Encontramos cinco ferramentas em 1,9% de todos os incidentes:
\n\u25cf te.exe<\/em>, parte do Test Authoring and Execution Framework,
\n\u25cf PsExec.exe<\/em>, ferramenta para executar processos em sistemas remotos,
\n\u25cf CertUtil.exe<\/em>, ferramenta para lidar com informa\u00e7\u00f5es de certifica\u00e7\u00e3o,
\n\u25cf Reg.exe<\/em>, ferramenta do console de registro da Microsoft, que pode ser usada para alterar e adicionar chaves no registro do sistema a partir da linha de comando,
\n\u25cf wscript.exe<\/em>, Windows Script Host, projetado para executar scripts em linguagens de script.
\nEsses cinco arquivos execut\u00e1veis foram usados em 7,2% dos incidentes cr\u00edticos.<\/p>\n

Os especialistas do Kaspersky MDR tamb\u00e9m observaram o uso de msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt. exe, dllhost.exe, regsvr32.exe, winword.exe e shell32.exe.<\/p>\n

Veja aqui<\/a> mais resultados do Managed Detection and Response Analyst Report.
\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Ciberataques geralmente dependem de apenas alguns componentes comuns do sistema operacional.<\/p>\n","protected":false},"author":61,"featured_media":18303,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,2053,2794,2357,230],"class_list":{"0":"post-18302","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-incidentes","11":"tag-lolbins","12":"tag-mdr","13":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/most-used-lolbins\/18302\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/most-used-lolbins\/23392\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/most-used-lolbins\/18861\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/most-used-lolbins\/25456\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/most-used-lolbins\/23525\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/most-used-lolbins\/22977\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/most-used-lolbins\/26092\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/most-used-lolbins\/25682\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/most-used-lolbins\/31557\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/most-used-lolbins\/10109\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/most-used-lolbins\/42180\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/most-used-lolbins\/15350\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/most-used-lolbins\/27489\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/most-used-lolbins\/27657\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/most-used-lolbins\/24393\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/most-used-lolbins\/29758\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/most-used-lolbins\/29554\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18302"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18302\/revisions"}],"predecessor-version":[{"id":18305,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18302\/revisions\/18305"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18303"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}