0
0
Os endpoints são o ponto de entrada, dados, credenciais e potencialmente todo o negócio. Um endpoint comprometido fornece tudo o que um invasor precisa para se posicionar na rede, roubar dados e potencialmente pedir resgate. A menos que você proteja os endpoints críticos (incluindo servidores, laptops e desktops), a porta da frente estará aberta para os invasores.
Os criminosos descobriram como ignorar o antivírus tradicional com ataques sem arquivos, projetados para se esconder dentro de aplicativos permitidos e até dentro do próprio sistema operacional. De acordo com o Instituto Pokémon, os ataques sem depender de arquivos representaram 77% de todos os comprometimentos relatados em 2017.
Portanto, mesmo se a organização estiver vigilante em relação a instalação de atualizações, correções e a atualização de antivírus, é provável que a organização ainda esteja em risco.
A seguir descreveremos como os atacantes adaptaram as táticas para evitar os antivírus tradicionais, como esses ataques cada vez mais comuns funcionam e como evoluir rapidamente a estratégia de detecção de ameaças.
Malware de Criptomineração
As ferramentas de criptomineração convertem o poder da computação em receita. Enquanto o mercado de criptomoedas cresce rapidamente, verifica-se que o processamento necessário para minerar criptomoedas é muito caro. Assim, os invasores criam malwares e outros ataques para desviar silenciosamente os recursos de computação das vítimas para criptomineração.
Os métodos incluem:
- A exploração de recursos expostos em ambientes de nuvem ou das credenciais da conta desses ambientes para roubar recursos de computação em nuvem, geralmente chamados de “criptojacking”;
- Ataques baseados no browser que funcionam enquanto um visitante está navegando em um site legítimo, porém comprometido;
- Malware com criptografia, geralmente entregue por meio de campanhas de phishing, que consome CPU nos seus endpoints.
Qualquer tipo de ataques podem ter efeitos desastrosos para os negócios. Os invasores podem transformar endpoints e nuvens comprometidos em exércitos zumbis silenciosos de mineradores de criptomoedas (todos sem um único alerta antivírus).
Sem ferramentas avançadas de detecção de ameaças que incluam endpoints e nuvens, a única indicação de que os recursos de computação podem ter sido comprometidos, podem ser um problema no desempenho de aplicações, rede ou um aumento dramático da fatura do provedor de serviços de nuvem.
De acordo com a CheckPoint, os atacantes podem usar até 65% da capacidade de processamento de um endpoint.
Ataque Reversos em Powershell
Todo mundo sabe que a melhor maneira de evitar a detecção é agir como um componente que faz parte do ambiente. Os invasores seguem essa abordagem, pois usam cada vez mais o PowerShell e outros serviços permitidos para evitar o antivírus tradicional.
Ao obter acesso a credenciais privilegiadas (administrador, root, sa, etc.) e executar ações administrativas autorizadas, os criminosos reduzem a dependência de kits de malware e exploração e facilmente evitar a detecção, facilitando o roubo de dados.
Jacking de Sessão RDP
O RDP (Remote Desktop Protocol) permite a conexão remota a um sistema Windows, geralmente exigindo a senha do usuário antes de obter acesso. No entanto, existe uma vulnerabilidade conhecida para contornar isso, é o tscon.exe (o processo do cliente RDP) como usuário do sistema, que não solicita uma senha. E, nenhum alarme antivírus é disparado.
Recomendação: os serviços RDP disponíveis publicamente servem como um convite aberto aos invasores, por isso, é fundamental verificar se a política de firewall bloqueia essas conexões ou apenas permite conexões de endereços IP autorizados.
APTS / ROOTKITS
Ameaças persistentes avançadas (APTs) envolvem uma série de etapas, cada uma das quais pode escapar facilmente aos métodos tradicionais de detecção. Essas ameaças combinadas geralmente começam com um e-mail de phishing para capturar credenciais e depois passam para a instalação de malware como rootkits, que se inserem profundamente no sistema operacional do endpoint. Depois do acesso privilegiado no nível do núcleo do sistema operacional, todas as proteções são desativadas e o sistema está totalmente vulnerável.
Ransomware
Os atacantes inovam, sendo que as inovações recentes incluem a oferta de ransomware como serviço, além de visar aplicativos em nuvem amplamente utilizados. Um exemplo que facilmente contorna o antivírus é o ransomware ShurL0ckr, que tem como alvo as plataformas de compartilhamento de arquivos corporativos baseadas na nuvem. O ransomware como serviço permite que os invasores paguem ao autor uma porcentagem do resgate.
Como esses ataques evitam a detecção por antivírus
Embora diferentes, esses ataques compartilham algumas características específicas que os ajudam a evitar a detecção pelos antivírus convencionais.
Entrega de Código Malicioso
Os antivírus baseados em assinatura tentam capturar e colocar em quarentena arquivos maliciosos à medida que são baixados ou executados nos endpoints.
A questão é que ataques modernos operam sem baixar ou executar arquivos maliciosos no disco rígido. Em vez disso, eles aproveitam a engenharia social (phishing), exploram as vulnerabilidades do sistema operacional e empacotam código malicioso em arquivos com aparência normal para evitar a detecção.
Por exemplo, o trojan bancário Emotet, usa phishing para entregar um código malicioso como uma macro do Microsoft Office. Ataques recentes de ransomware, incluindo WannaCry e NotPetya, exploraram a vulnerabilidade EternalBlue SMB no Windows para execução de código remota.
Depois que um invasor se posiciona no endpoint da vítima, ele pode usar o PowerShell para baixar e propagar o código malicioso. E, como o antivírus convencional é criado para procurar arquivos incomuns, o PowerShell e outros processos nativos são executados facilmente sem suspeitas.
Evasão
O melhor ataque é usar os componentes nativos de um sistema contra si mesmo. Ao usar o que já está em um endpoint (por exemplo, tscon.exe, PowerShell etc.), os ciber atacantes executam ataques muito mais rapidamente e evitam a detecção de antivírus.
Movimento Lateral
Os endpoints fornecem aos atacantes um ponto de apoio na rede da vítima. Depois que o endpoint for comprometido, a próxima etapa é mover-se lateralmente pela rede para encontrar os ativos e destinos desejados (credenciais de alto privilégio, servidores de arquivos, etc.).
Quando um invasor possui credenciais de alto privilégio, ele pode se mover literalmente para qualquer lugar dentro do ambiente local ou da nuvem, roubando e exfiltrando dados sem que o antivírus envie um único alerta.
Cover Tracks
Depois de fazer o trabalho sujo, o criminoso cobrirá seus rastros. Com as credenciais de alto privilégio, o atacante exclui facilmente os arquivos de log em cada endpoint para evitar deixar evidências forenses para os investigadores. Com um script do PowerShell, todas as pegadas digitais do incidente desaparecem e nenhum antivírus é criada para perceber isso.
Apresentamos três estratégias para uma defesa de endpoint eficaz, escalável e responsiva:
Prevenção é necessária, mas não é suficiente
A detecção de ameaças aos endpoints em cada um dos estágios descritos anteriormente exige que as atividades sejam realizadas de forma mais holística, como uma cadeia de eventos, e não como eventos distintos que passam despercebidos. É necessário coletar e arquivar logs de eventos do endpoint (fora do endpoint) para capturar os principais dados forenses necessários para investigações de violação de dados.
Monitorar tudo, não apenas o endpoint
O monitoramento de segurança é mais valioso quanto mais abrangente. Além de monitorar os endpoints, ,e necessário monitorar os aplicativos em nuvem aos quais eles se conectam, sistemas de autenticação que lhes permitiram acesso, os firewalls que permitiram as conexões e os controladores de domínio, apenas para nomear um poucos.
Monitoramento escalável e automatizado
Para acompanhar os riscos emergentes é preciso simplificar o conjunto de ferramentas e automatizar sempre que possível. Ao unificar os recursos de monitoramento de segurança de rede, host e nuvem em uma única plataforma, é possível responder mais rapidamente a incidentes e oferecer uma visão completa e abrangente. Além disso, os recursos de automação e orquestração de segurança permitem interromper alguns ataques enquanto eles estão acontecendo.
Como a Neotel pode ajudar
A Neotel, através de serviços profissionais e parceiros tecnológicos, fornece detecção e resposta ao endpoint como parte de uma plataforma unificada para detecção de ameaças, resposta a incidentes e conformidade.
A solução baseada nas instalações do Cliente e também em nuvem, centraliza e automatiza a busca de ameaças em todos os lugares onde as ameaças apareçam para detectar ameaças mais cedo e responder mais rapidamente.
Diferentemente das soluções de segurança pontuais, combinamos vários recursos de segurança em uma plataforma unificada oferecendo recursos essenciais de segurança necessários em um único dashboard reduzindo drasticamente os custos e a complexidade.
Para saber mais ou falar com um consultor envie um e-mail para info@neotel.com.br.