0
0
Atualmente, os invasores combinam ofuscação de última geração e recursos adaptativos específicos do ambiente para evitar a detecção por sistemas tradicionais de análise de malware. Se sua equipe de segurança está contando com abordagens legadas, como sandboxing tradicional, para verificar arquivos que entram em sua rede, eles podem perder essas explorações perigosas que visam sua organização. Se suas equipes de segurança estão gastando seu tempo com vulnerabilidades comuns fáceis de detectar e não em ataques direcionados, elas estão expondo sua organização a riscos desnecessários de cibercriminosos.
Nada sobre esse padrão é novo: os pesquisadores desenvolvem uma nova tecnologia antimalware para detectar ataques de malware. Os cibercriminosos adaptam suas variantes de malware para evitar a detecção. E o ciclo continua.
Os invasores estão adotando técnicas, como impressão digital de máquina e geofencing, em que usam informações sobre a pilha de aplicativos e os ambientes do sistema da vítima para comprometer os sistemas.
Tenho que pegar todos eles: Geofencing
Há muitas maneiras de o malware entrar na máquina da vítima. Uma vez lá, algumas variantes de malware permanecem inativas se a máquina ou rede da vítima não estiver em um país específico. Isso é cortesia do geofencing.
O malware procura a região geográfica do endereço IP externo por meio de um banco de dados ou serviço externo e verifica se o dispositivo está localizado na região de destino. Se a localização geográfica do dispositivo estiver em uma região de interesse, o malware é detonado. Ele pode instalar um malware de segundo estágio; roubar informações úteis, como credenciais de administrador; exfiltrar dados para um sistema controlado por criminosos; e remova todos os vestígios de sua atividade na máquina.
Os invasores adicionam recursos de geofencing ao malware por vários motivos. Pode ser mais fácil evitar a detecção por locais com fortes posturas de segurança. Às vezes, eles não querem infectar redes em seus países de origem , onde podem ser processados. Criminosos experientes têm como alvo países ricos habitados por pessoas de confiança que têm maior probabilidade de abrir documentos e pagar resgates. Ou eles podem saber que os líderes empresariais em uma região específica dependem de posturas defensivas fracas ou são menos propensos a usar a autenticação de dois fatores.
Um exemplo de ataque específico da região: o governo sul-coreano usa amplamente o processador de texto Hangul (HWP). Atacantes norte-coreanos escrevem malware em Hangul para penetrar em sistemas críticos do governo. Tentar usar esse malware para comprometer os funcionários do governo dos EUA, no entanto, seria um desperdício de recursos.
Encontrando a imagem dourada: impressão digital
Os autores de malware contam com diversas técnicas de impressão digital para determinar se as máquinas são suscetíveis a suas cadeias de ataque. A impressão digital ajuda o malware a evitar a detecção, parecendo inofensivo para as tecnologias antivírus.
O malware permanece inativo na máquina da vítima, a menos que o ambiente atenda a condições predefinidas, como ter um aplicativo específico instalado ou determinadas definições de configuração ativadas. Os invasores também usam técnicas de impressão digital para descobrir se o sistema comprometido é realmente uma máquina virtual usando uma imagem pré-configurada, pronta para uso ou de instalação inicial. Se for esse o caso, o malware não detona.
Como é a análise adaptativa e dinâmica
Sandboxes tradicionais podem não detectar malware avançado ou ataques de dia zero direcionados se o invasor estiver usando técnicas como geofencing ou impressão digital. Por exemplo, o malware que usa geofencing deve procurar endereços IP para determinar sua localização geográfica. Por outro lado, a tecnologia de análise dinâmica adaptativa pode ajudar a detectar ataques direcionados muito específicos porque pode detectar e ignorar automaticamente as verificações de ambiente e anti-análise.
A análise adaptativa realiza a execução apenas de instruções relacionadas ao malware, ao contrário das sandboxes tradicionais, que são sistemas operacionais totalmente virtualizados que executam instruções de cada serviço e aplicativo do sistema. Como resultado, a utilização total de recursos para análise adaptativa é significativamente menor. Ser capaz de extrair inteligência na forma de indicadores de comprometimento (IOCs) permite a busca de ameaças, melhorias proativas de autodefesa e atribuição de agentes de ameaças.
FONTE: DARK READING