0
0
As técnicas de evasão são usadas por cibercriminosos para evitar a detecção, e são especialmente prevalentes no contexto de scripts, que por si só têm usos legítimos (por exemplo, para automatizar processos em um sistema de computador). Infelizmente, os scripts também podem ser usados para fins maliciosos, e é improvável que scripts maliciosos sejam detectados ou bloqueados pela solução média de antimalware. É por isso que os cibercriminosos estão se voltando para ataques baseados em script e outros malwares evasivos – como o Emotet – mais frequentemente do que nunca.
Embora a Emotet seja um exemplo de ameaça que usa scripts como parte de sua estratégia evasiva, existem muitos outros tipos de técnicas de evasão baseadas em script que as organizações precisam estar cientes para manter seus sistemas seguros.
LoLBins
Vivendo fora dos Land Binaries (“LoLBins”) são aplicativos padrão já presentes em um sistema Windows, que podem ser usados indevidamente por cibercriminosos para realizar etapas comuns de um ataque sem ter que baixar ferramentas adicionais no sistema de destino. Por exemplo, os criminosos podem usar LoLBins para criar persistência pós-reinicialização, acessar dispositivos em rede, ignorar controles de acesso ao usuário e até mesmo extrair senhas e outras informações confidenciais.
Existem dezenas de LoLBins nativos do sistema operacional Windows que os criminosos podem usar, por exemplo, powershell.exe, certutil.exe, regsvr32.exe e muito mais. Esta é uma das maneiras pelas quais os criminosos cibernéticos disfarçam suas atividades, porque é improvável que os aplicativos padrão do SO sejam sinalizados ou bloqueados por uma solução antimalware. A menos que você tenha forte visibilidade sobre os comandos exatos que esses processos estão executando, pode ser muito difícil detectar comportamentos maliciosos originários de LoLBins.
Ofuscação de conteúdo de script
O conteúdo “ofuscação” esconde o verdadeiro comportamento de um script. Embora a ofuscação também tenha propósitos legítimos, no contexto de uma ofuscação de ataque evasivo dificulta a análise da verdadeira natureza de um roteiro. As capturas de tela mostram um exemplo de código ofuscado (topo), com sua versão desobfada (inferior).
Execução sem arquivos e evasiva
Com scripts, é possível executar ações em um sistema sem precisar de um arquivo. Um script pode ser escrito para alocar memória no sistema, em seguida, escrever shellcode para essa memória e passar controle para essa memória. Isso significa que as funções maliciosas são realizadas na memória, sem um arquivo, tornando a detecção da origem da infecção e impedindo-a extremamente difícil.
No entanto, com a execução sem arquivo, a memória é limpa quando o computador é reiniciado. Isso significa que a execução de uma infecção sem arquivos pode ser interrompida apenas reiniciando o sistema.
Sem surpresa, os cibercriminosos estão sempre trabalhando em novos métodos para garantir a persistência mesmo usando ameaças sem arquivo. Alguns exemplos incluem armazenar scripts em Tarefas Programadas, arquivos LNK e o Registro do Windows.
Como ficar protegido
A boa notícia é que o sistema operacional Windows 10 agora inclui a Interface de Varredura Anti-Malware(AMSI)da Microsoft para ajudar a combater o uso crescente de scripts maliciosos e ofuscados. Isso significa que uma das primeiras coisas que você pode fazer para ajudar a manter sua organização segura é garantir que todos os dispositivos Windows estejam na versão operacional mais atualizada.
Além disso, existem várias outras etapas que podem ajudar a garantir uma estratégia de cibersegurança eficaz e resiliente:
- Mantenha todos os aplicativos atualizados – Software desatualizado pode conter vulnerabilidades que os criminosos estão procurando explorar. Verifique todos os aplicativos do Windows e de terceiros regularmente para obter atualizações para reduzir seu risco
- Desativar macros e intérpretes de script – Embora as macros tenham aplicativos legítimos, é improvável que a maioria dos usuários domésticos ou comerciais precise deles. Se um arquivo que você ou outro funcionário baixado instruir você a habilitar macros para visualizá-lo, não o faça. Esta é outra tática evasiva comum que os cibercriminosos usam para colocar malware no seu sistema. Os administradores de TI devem garantir que macros e intérpretes de script sejam totalmente desativados para ajudar a evitar ataques baseados em script
- Remova aplicativos de terceiros não uso – Aplicativos como Python e Java são muitas vezes desnecessários. Se presente e não fordo, basta removê-los para ajudar a fechar uma série de possíveis falhas de segurança
- Educar os usuários finais – Os cibercriminosos projetam especificamente ataques para tirar proveito da confiança, ingenuidade, medo e falta geral de conhecimento técnico ou de segurança dos usuários finais. Educar os usuários finais sobre os riscos de ataques cibernéticos, como evitá-los e quando e como denunciá-los ao pessoal de TI pode melhorar drasticamente a postura geral de segurança da empresa e sua resiliência cibernética
- Use a segurança do ponto final que fornece várias camadas de proteções contra ameaças, incluindo ameaças baseadas em arquivos, sem arquivos, ofuscadas e criptografadas.
Embora a inovação implacável e a criatividade dos hackers tenha tornado as táticas evasivas comuns, entender a estrutura em que suas táticas operam permite que os profissionais de cibersegurança e DE TI criem defesas mais eficazes contra até mesmo o atacante mais persistente. Combinada com uma cultura de resiliência cibernética que se concentra na rede total, endpoint e proteção do usuário, bem como na recuperação de dados para os clientes, as empresas podem se recuperar de qualquer ameaça.
FONTE: HELPNET SECURITY