Na cibersegurança moderna, por décadas, a defesa foi construída sob a metáfora do castelo e fosso: um perímetro forte, com firewalls e sistemas de prevenção de intrusão, projetado para manter os adversários do lado de fora. Contudo, a ascensão da computação em nuvem e a necessidade de colaboração pulverizaram esse perímetro. As ferramentas que impulsionam a produtividade Google Workspace, GitHub, Dropbox, Microsoft 365 tornaram-se onipresentes e, crucialmente, confiáveis. É exatamente essa confiança que uma nova classe de adversários está explorando para executar ataques quase indetectáveis, muitas vezes recorrendo ao uso de LOTs, ferramentas legítimas já presentes nos ambientes corporativos, para se moverem lateralmente, exfiltrar dados e manter persistência sem disparar alertas convencionais.

Imagine um espião que não tenta escalar as muralhas do castelo, mas entra e sai pela porta da frente, disfarçado como um comerciante legítimo. Ele não usa ferramentas suspeitas ou se comunica com servidores em listas de bloqueio. Em vez disso, ele usa os mesmos canais de suprimento que o próprio castelo utiliza, enviando informações críticas para fora em carroças de aparência inofensiva. Esta é a essência dos ataques LOTS (Living off Trusted Sites), uma tática que abusa de serviços de nuvem legítimos como a principal arma de camuflagem.

Este cenário não é uma fantasia. A exfiltração de dados não ocorre mais apenas através de malwares ruidosos que se conectam a domínios maliciosos, mas sim através de uploads silenciosos para o Google Drive ou da coordenação de ataques via repositórios privados no GitHub. No geral, este artigo oferece uma análise investigativa desta ameaça, detalhando por que as defesas tradicionais são cegas a ela e fornecendo um guia estratégico para evoluir a detecção para além das assinaturas, focando no comportamento e no contexto para proteger os ativos mais críticos da organização.

O Paradoxo da Confiança: Definindo o Cenário dos Ataques LOTS

É fundamental fazer uma distinção clara. A tática Living off Trusted Sites é uma evolução de um conceito mais antigo conhecido como “Living off the Land” (LotL).

• Living off the Land (LotL): Nessa técnica, os atacantes exploram ferramentas já presentes no sistema da vítima — como PowerShell, WMI ou curl — para executar suas ações. Dessa forma, evitam instalar malwares no disco, o que reduz o risco de detecção por antivírus. Logo, o ataque se sustenta apenas com os recursos do próprio ambiente.
• Living off Trusted Sites (LOTS): Aqui, a tática atinge um novo patamar: em vez de depender apenas de ferramentas locais, os atacantes passam a abusar de serviços de nuvem amplamente confiáveis. Ao explorar APIs do Google Drive, repositórios do GitHub ou canais do Telegram, eles hospedam malware, emitem comandos e, sobretudo, exfiltram dados. Dessa maneira, o ataque passa a “viver de sites confiáveis” — que nenhuma organização pode bloquear sem comprometer sua operação.quear.

A genialidade por trás dos ataques LOTS é que eles exploram o ponto cego fundamental da segurança de perímetro. As defesas são programadas para desconfiar do desconhecido e do mal-intencionado, mas são forçadas a confiar em domínios como api.github.com ou storage.googleapis.com. Bloquear esses serviços significaria paralisar as operações do negócio. Os atacantes sabem disso e usam essa confiança como seu escudo principal, tornando a segurança em nuvem um desafio muito mais complexo.

O Arsenal Escondido na Nuvem: Como Serviços Legítimos São Transformados em Armas

A teoria dos ataques LOTS se materializa em técnicas práticas e devastadoras. Os adversários não precisam de uma infraestrutura complexa; eles simplesmente abrem contas gratuitas nos mesmos serviços que seus alvos utilizam.

GitHub como Plataforma de Command and Control (C2) e Hospedagem de Malware

O GitHub, essencial para o desenvolvimento de software, é um terreno fértil para atividades maliciosas camufladas. Um atacante pode usar um repositório privado ou até mesmo um Gist secreto como um servidor de command and control (C2).

• Como Funciona: Um malware implantado na rede da vítima não se conecta diretamente a um IP suspeito. Em vez disso, ele faz uma requisição API para um Gist ou para um arquivo específico em um repositório no GitHub. Nesse arquivo, o conteúdo traz os comandos a serem executados (como “colete arquivos .docx” ou “faça uma captura de tela”). Depois de executar a ordem, o malware pode fazer um commit de volta para o repositório com os dados roubados ou com o status da operação. Como resultado, para qualquer ferramenta de monitoramento de rede, essa atividade se assemelha ao tráfego normal de um desenvolvedor interagindo com o GitHub.

Google Drive e Dropbox como Vetores de Exfiltração de Dados

Este é o caso de uso mais comum e perigoso dos ataques LOTS. A exfiltração de dados é o objetivo final de muitos ataques, e usar serviços de armazenamento em nuvem é o método perfeito para fazê-lo de forma silenciosa.

• Como Funciona: Um script malicioso na máquina de um funcionário pode, de forma programada, coletar e compactar arquivos sensíveis (planilhas financeiras, propriedade intelectual, dados de clientes). Em seguida, utilizando as próprias APIs oficiais do Google Drive ou do Dropbox, ele autentica (usando tokens de acesso roubados ou credenciais de uma conta pessoal) e faz o upload desses arquivos. O tráfego de rede gerado é uma conexão HTTPS legítima para www.googleapis.com/upload/drive/v3/. Não há assinaturas de malware, não há domínios suspeitos. É apenas um upload, indistinguível de um milhão de outros uploads legítimos que ocorrem todos os dias. Aprimorar a segurança do Google Drive e de plataformas similares torna-se, portanto, um desafio comportamental, não de reputação.

A Anatomia da Camuflagem: Por Que as Defesas Tradicionais São Cegas aos Ataques LOTS

A principal razão pela qual os ataques LOTS são tão eficazes é que eles exploram as suposições fundamentais sobre as quais as defesas de perímetro foram construídas. A lógica de um firewall tradicional é binária: permitir o tráfego bom e conhecido, e bloquear o ruim e desconhecido. Os ataques LOTS quebram essa lógica.

O problema central reside no tráfego criptografado. Quando um funcionário — ou um malware disfarçado — faz upload de um arquivo para o Dropbox, o firewall apenas enxerga uma conexão TLS/SSL com um domínio confiável (como dropbox.com). Como resultado, ele não tem visibilidade sobre o conteúdo transmitido. Ou seja, não sabe se o arquivo é apenas uma apresentação de slides ou um banco de dados com 500 mil registros de clientes, o que torna a exfiltração praticamente invisível.

A defesa baseada em reputação de IP ou domínio torna-se inútil. O IP é do Google. O domínio é do GitHub. A assinatura do tráfego é legítima. Então, sem a capacidade de inspecionar o conteúdo desse tráfego e analisar o contexto do comportamento do usuário, as equipes de segurança estão efetivamente cegas.

Evoluindo a Defesa: Estratégias de Detecção e Resposta para Ataques LOTS

Derrotar os ataques LOTS exige uma mudança estratégica fundamental: de uma abordagem focada no perímetro para uma abordagem focada em dados e identidade. A pergunta não é mais “De onde vem este tráfego?”, mas sim “Quem está enviando, o que está sendo enviado, por que está sendo enviado e isso é normal para este usuário?”.

A Necessidade Crítica da Inspeção SSL/TLS

A primeira etapa para combater o que se esconde no tráfego criptografado é obter visibilidade. As organizações precisam implementar soluções de inspeção SSL/TLS (também conhecidas como SSL Decryption ou Break-and-Inspect). Essa tecnologia atua como um proxy, descriptografando o tráfego de saída para análise, antes de criptografá-lo novamente e enviá-lo ao destino. Embora apresente desafios, é a única maneira de permitir que outras ferramentas de segurança analisem o conteúdo real que está sendo enviado para sites confiáveis.

Detecção de Anomalias com UEBA: O Pilar Contra os Ataques LOTS

Uma vez que a visibilidade é estabelecida, a próxima camada é a inteligência comportamental. A Análise de Comportamento de Usuário e Entidade (UEBA) é a tecnologia mais eficaz contra os ataques LOTS. As soluções de UEBA não dependem de assinaturas. Em vez disso, elas usam machine learning para construir uma linha de base do comportamento “normal” para cada usuário e entidade (como servidores e endpoints) na rede.

• Como o UEBA Funciona: O sistema aprende que um desenvolvedor, João, normalmente faz commits de pequenos arquivos de texto para o repositório corporativo no GitHub durante o horário comercial. Um dia, a conta de João começa a fazer upload de arquivos binários de 500 MB para um repositório pessoal às 3 da manhã. Uma ferramenta baseada em regras ou assinaturas não veria nada de errado. Uma solução de UEBA, no entanto, sinalizaria isso imediatamente como uma anomalia de alto risco. Ela detecta o desvio do padrão, que é o principal indicador de um ataque Living off Trusted Sites. A detecção de anomalias é a chave.

Políticas de DLP Granulares e a Segurança em Nuvem

A Prevenção de Perda de Dados (DLP) é outra camada crítica. As soluções de DLP modernas, quando combinadas com a inspeção SSL, podem analisar o conteúdo dos arquivos em trânsito. É possível criar políticas granulares que vão além de simplesmente bloquear um serviço.

• Exemplos de Políticas:
  • Bloqueio por Conteúdo: Impedir o upload de qualquer arquivo contendo números de cartão de crédito ou CPF para qualquer destino de armazenamento em nuvem.
  • Bloqueio por Contexto: Permitir uploads para a conta corporativa do Google Drive, mas bloquear qualquer tentativa de upload para uma conta pessoal do Gmail ou do Google Drive. Isso melhora drasticamente a segurança do Google Drive.
  • Alertas por Volume: Alertar a equipe de segurança sempre que um usuário tentar fazer o upload de mais de 1 GB de dados para qualquer serviço de nuvem em uma única hora.

Regulações de Privacidade: Impactos da LGPD, GDPR e HIPAA

Os ataques LOTS geram implicações devastadoras para regulação e compliance. Por exemplo, para regulamentações como a LGPD no Brasil e a GDPR na Europa, a exfiltração de dados já configura uma violação grave. Além disso, a natureza furtiva desses ataques dificulta a detecção em tempo hábil, o que impede que a organização cumpra prazos rigorosos para notificar autoridades e titulares dos dados, gerando multas pesadas. No setor de saúde, regulamentado pela HIPAA, a exfiltração de informações protegidas (PHI) para serviços de nuvem não autorizados viola a confidencialidade e acarreta penalidades severas. Ademais, durante auditorias ou investigações, a incapacidade de demonstrar visibilidade e controle sobre o tráfego para sites confiáveis revela falhas na segurança. Por consequência, a defesa legal da organização torna-se insustentável.

Recomendações Adicionais de Defesa

Para fortalecer a defesa contra os sofisticados ataques LOTS, as organizações devem adotar táticas proativas e granulares. Primeiramente, o Monitoramento de API analisa o comportamento das chamadas para serviços de nuvem, em vez de focar apenas no volume de tráfego, permitindo detectar anomalias como uso incomum de endpoints, autenticações de locais atípicos e exclusões em massa de arquivos. Em seguida, realizar Simulações periódicas de Red Team com cenários LOTS testa a eficácia das defesas, desafiando a equipe a exfiltrar dados por canais permitidos e identificando pontos cegos em UEBA e DLP. Por fim, integrar Threat Intelligence enriquece as plataformas de segurança com indicadores de comprometimento específicos, como nomes de arquivos usados por malware, repositórios públicos no GitHub associados a C2 e padrões de API ligados a grupos adversários conhecidos.

Técnicas Adicionais de Ataque: Abuso de Plataformas de Mensagens

A superfície de ataque do Living off Trusted Sites continua a crescer, agora incluindo plataformas de mensagens como Telegram, Discord e Slack. Por serem amplamente utilizados, criptografados e permitidos em redes corporativas, esses serviços se tornam vetores ideais para command and control e exfiltração discreta de dados. Atacantes criam canais privados e programam o malware para se conectar, aguardar comandos e executar ações como capturar telas ou roubar credenciais. Logo após, o malware envia os dados de volta por mensagens ou pequenos uploads. Assim, ferramentas de monitoramento de rede não distinguem essa atividade do uso legítimo de apps de chat, o que torna a detecção altamente dependente da análise comportamental no endpoint.

A Batalha pela Visibilidade na Nova Fronteira da Segurança

A princípio, a ascensão dos ataques LOTS marca uma mudança estratégica e silenciosa no cenário do cibercrime. Os adversários pararam de bater na porta da frente e aprenderam a usar os próprios corredores internos da confiança digital para atingir seus objetivos. Eles transformaram os pilares da produtividade em nuvem em seus principais aliados, explorando a confiança que depositamos em serviços como Google, Dropbox e GitHub como seu maior escudo.

Na Resh, entendemos que esta nova realidade exige uma defesa que pense além do perímetro e das assinaturas. A segurança eficaz na era da nuvem não é sobre construir muros mais altos, mas sobre ter uma visibilidade mais profunda e um entendimento contextual do que acontece dentro deles. A batalha não é mais vencida bloqueando o mal conhecido, mas identificando o comportamento anômalo dentro do tráfego supostamente bom.

Em suma, ao adotar essa mentalidade e usar ferramentas como inspeção TLS, UEBA e DLP, as organizações ganham vantagem contra ameaças furtivas como o LOTS. A jornada para uma segurança em nuvem resiliente é uma busca contínua por contexto, onde proteger nossos ativos mais valiosos significa entender a intenção por trás de cada byte que flui para os serviços que aprendemos a confiar.