5 formas como hackers escondem seus rastros

Views: 400
0 0
Read Time:8 Minute, 12 Second

De ferramentas confiáveis de pentesting a LOLBINs, os invasores abusam de plataformas e protocolos confiáveis para escapar dos controles de segurança

Ax Sharma, CSO

Os CISOs têm uma gama de ferramentas em constante aprimoramento para ajudar a detectar e impedir atividades maliciosas: ferramentas de monitoramento de rede, scanners de vírus, ferramentas de análise de composição de software (SCA), soluções forenses digitais e resposta a incidentes (DFIR) e muito mais.

Mas é claro que a segurança cibernética é uma batalha contínua entre ataque e defesa, e os invasores continuam a apresentar novos desafios.

Técnicas mais antigas, como a esteganografia – a arte de ocultar informações, incluindo cargas maliciosas em arquivos benignos, como imagens – estão evoluindo, levando a novas possibilidades. Por exemplo, recentemente um pesquisador demonstrou que mesmo o Twitter não era imune à esteganografia, e as imagens na plataforma poderiam ser usadas para empacotar arquivos ZIP de até 3MB dentro delas.

No entanto, em minha própria pesquisa, percebi que, além de usar técnicas de ofuscação, esteganografia e de empacotamento de malware, os agentes de ameaças hoje frequentemente aproveitam serviços, plataformas, protocolos e ferramentas legítimas para conduzir suas atividades. Isso permite que eles se misturem ao tráfego ou atividade que pode parecer “limpa” para analistas humanos e máquinas.

Aqui estão cinco táticas que os cibercriminosos estão usando para encobrir seus rastros hoje.

Abuso de plataformas confiáveis que não disparam alarmes

Este foi um tema comum visto por profissionais de segurança em 2020 e que surgiu este ano.

De serviços e ferramentas de teste de penetração, como Cobalt Strike e Ngrok, a ecossistemas de código aberto estabelecidos como GitHub, a sites de imagem e texto como Imgur e Pastebin, os invasores têm como alvo uma grande variedade de plataformas confiáveis apenas nos últimos anos.

Normalmente, o Ngrok é usado por hackers éticos interessados ​​em coletar dados ou configurar túneis de simulação para conexões de entrada como parte de exercícios de recompensa de bug ou compromissos de pen-testing. Mas atores mal-intencionados abusaram do Ngrok para instalar malware de botnet diretamente ou conectar um serviço de comunicação legítimo a um servidor mal-intencionado. Em um exemplo mais recente, Xavier Mertens, do SANS Institute, identificou uma amostra de malware escrita em Python que continha código codificado em base64 para plantar um backdoor no sistema infectado que usava Ngrok.

Como o Ngrok é amplamente confiável, o invasor remoto pode se conectar ao sistema infectado por meio de um túnel Ngrok, que provavelmente contornará firewalls corporativos ou proteções NAT.

O GitHub também sofreu abusos para hospedar malware do Octopus Scanner para o Gitpaste-12. Recentemente, invasores astutos abusaram do GitHub e do Imgur combinados com um script PowerShell de código aberto que possibilitou a eles hospedar um script simples no GitHub que calcula a carga útil do Cobalt Strike a partir de uma foto Imgur benigna. Cobalt Strike é uma estrutura de pen-testing popular para simular ataques cibernéticos avançados do mundo real, mas como qualquer produto de software de segurança, pode ser mal utilizado por adversários.

Da mesma forma, as ferramentas de automação das quais os desenvolvedores dependem não estão imunes a serem exploradas.

Em abril, os invasores abusaram do GitHub Actions para direcionar centenas de repositórios em um ataque automatizado que usou o servidor e os recursos do GitHub para mineração de criptomoedas.

Esses exemplos mostram por que os invasores valorizam a segmentação de plataformas legítimas que muitos firewalls e ferramentas de monitoramento de segurança podem não bloquear.

Ataques upstream que capitalizam o valor, reputação ou popularidade de uma marca

As preocupações com a segurança da cadeia de suprimentos de software podem ter ganhado a atenção do público após a recente violação do SolarWinds, mas esses ataques estão aumentando há algum tempo.

Seja na forma de typosquattingbrandjacking ou confusão de dependência (que inicialmente veio à tona como uma pesquisa de prova de conceito, mas mais tarde foi abusada para fins maliciosos), os ataques “upstream” exploram a confiança em ecossistemas de parceiros conhecidos e capitalizam a popularidade ou reputação de uma marca ou componente de software. Os invasores têm como objetivo enviar código malicioso para uma base de código confiável associada a uma marca, que então é distribuída para o alvo final: parceiros, clientes ou usuários dessa marca.

Qualquer sistema aberto a todos também está aberto aos adversários. Portanto, muitos ataques à cadeia de suprimentos têm como alvo ecossistemas de código aberto, alguns dos quais têm validação frouxa em vigor para manter o princípio “aberto a todos”. No entanto, as organizações comerciais também estão sujeitas a esses ataques.

Em um caso recente que alguns compararam ao incidente da SolarWinds, a empresa de testes de software Codecov divulgou um ataque contra seu script Bash Uploader que não foi detectado por mais de dois meses.

Os mais de 29.000 clientes da Codecov incluem algumas marcas globais proeminentes. Nesse ataque, o uploader usado pelos clientes da empresa foi alterado para exfiltrar as variáveis ​​de ambiente do sistema (chaves, credenciais e tokens) para o endereço IP do invasor.

A proteção contra ataques à cadeia de suprimentos requer ações em várias frentes. Os provedores de software precisarão aumentar o investimento para manter suas compilações de desenvolvimento seguras. As soluções de devops baseadas em IA e ML, capazes de detectar e bloquear automaticamente componentes de software suspeitos, podem ajudar a prevenir typosquatting, brandjacking e ataques de confusão de dependência.

Além disso, à medida que mais empresas adotam contêineres Kubernetes ou Docker para implantar seus aplicativos, as soluções de segurança de contêiner que têm um firewall de aplicativo da web integrado e são capazes de detectar erros simples de configuração incorreta antecipadamente podem ajudar a evitar um comprometimento maior.

Canalizar pagamentos de criptomoedas por meio de métodos difíceis de rastrear

Os vendedores do mercado Darknet e os operadores de ransomware frequentemente negociam com criptomoedas, devido ao seu design descentralizado e voltado para a privacidade.

Mas, embora não seja cunhada ou controlada por bancos centrais do governo, a criptomoeda ainda não possui o mesmo nível de anonimato que o dinheiro.

Os cibercriminosos, portanto, encontram maneiras inovadoras de desviar fundos entre contas.

Mais recentemente, mais de US$ 760 milhões em Bitcoins vinculados ao hack do Bitfinex de 2016 foram movidos para novas contas em várias transações menores – em valores que variam de 1 BTC a 1.200 BTC.

A criptomoeda não é uma maneira completamente infalível de esconder um rastro de dinheiro. Na noite da eleição presidencial dos EUA em 2020, o governo dos EUA esvaziou uma carteira de Bitcoin de US$ 1 bilhão que continha fundos vinculados ao mercado darknet mais notório, o Silk Road, que havia sido fechado em 2013.

Algumas outras criptomoedas como Monero (XMR) e Zcash (ZEC) têm habilidades de preservação de privacidade mais extensas do que o Bitcoin para anonimato de transações. O vaivém entre criminosos e investigadores continuará, sem dúvida, nessa frente, à medida que os invasores procuram maneiras melhores de esconder seus rastros.

Usar canais e protocolos comuns

Como plataformas e marcas confiáveis, canais, portas e protocolos criptografados usados ​​por aplicativos legítimos fornecem outra maneira de os invasores mascararem seus passos.

Por exemplo, HTTPS é um protocolo universalmente indispensável para a Web hoje e, por esse motivo, a porta 443 (usada por HTTPS/SSL) é muito difícil de bloquear em um ambiente corporativo.

No entanto, DNS sobre HTTPS (DoH) – um protocolo para resolução de domínios – também usa a porta 443 e foi abusado por autores de malware para transmitir seus comandos de comando e controle (C2) para sistemas infectados.

Este problema tem dois aspectos. Primeiro, ao abusar de um protocolo comumente usado como HTTPS ou DoH, os invasores desfrutam dos mesmos benefícios de privacidade dos canais criptografados de ponta a ponta que os usuários legítimos.

Em segundo lugar, isso apresenta dificuldades para os administradores de rede. Bloquear DNS de qualquer forma representa um desafio, mas agora, como as solicitações e respostas DNS são criptografadas por HTTPS, torna-se um incômodo para os profissionais de segurança interceptar, separar e analisar o tráfego suspeito de muitas solicitações HTTPS entrando e saindo através da rede.

O pesquisador Alex Birsan, que demonstrou a técnica de confusão de dependência para hackear eticamente mais de 35 grandes empresas de tecnologia, foi capaz de maximizar sua taxa de sucesso usando DNS (porta 53) para extrair informações básicas. Birsan escolheu o DNS devido à alta probabilidade de os firewalls corporativos não bloquearem o tráfego DNS, devido aos requisitos de desempenho e aos usos legítimos do DNS.

Usar binários assinados para executar malware ofuscado

O conceito familiar de malware sem arquivo usando binários vivos (LOLBINs) continua sendo uma técnica de evasão válida.

LOLBINs referem-se a executáveis ​​legítimos assinados digitalmente, como executáveis ​​do Windows assinados pela Microsoft, que podem ser usados ​​indevidamente por invasores para lançar código malicioso com privilégios elevados ou para escapar de produtos de segurança de endpoint, como antivírus.

No mês passado, a Microsoft compartilhou algumas orientações sobre técnicas defensivas que as empresas podem adotar para evitar que invasores abusem dos LOLBINs do Azure da Microsoft.

Em outro exemplo, um malware recentemente descoberto para Linux e macOS que analisei tinha uma taxa de detecção zero perfeita entre todos os principais produtos antivírus.

O binário continha código ofuscado, o que ajudava na evasão. No entanto, uma investigação mais aprofundada também revelou que o malware foi criado usando centenas de componentes legítimos de código-fonte aberto e conduziu suas atividades maliciosas, como obter privilégios administrativos, de maneira idêntica a como os aplicativos legítimos fariam.

Embora malware ofuscado, empacotadores de tempo de execução, evasão de VM ou ocultação de carga maliciosa em imagens sejam técnicas evasivas conhecidas usadas por ameaças avançadas, seu verdadeiro poder vem de contornar produtos de segurança ou voar sob seu radar.

E isso é possível quando as cargas úteis são combinadas em algum grau com componentes de software, protocolos, canais, serviços ou plataformas confiáveis.

FONTE: CIO

POSTS RELACIONADOS