0
0
Para alguns analistas, a análise de memória é apenas uma etapa opcional nas investigações de segurança cibernética.
Suas razões são simples. Um: lidar com memória e dados voláteis é um empreendimento complexo, dificultado pelas ferramentas legadas. Dois: O analista médio é um indivíduo altamente educado, mas geralmente não é um especialista em arquitetura de memória. Esse conhecimento é muitas vezes reservado para engenheiros de sistemas. E três: os poucos analistas que possuem esse conhecimento estão escrevendo código ou se concentrando na caça a ameaças. Para os analistas, essas tarefas são a alternativa preferida e mais produtiva à análise de memória, um processo que tradicionalmente apresenta uma experiência de usuário ruim e requer horas para ser concluído.
Esses desafios não devem desencorajar as equipes de segurança de coletar e analisar a memória proativamente e em resposta a violações cibernéticas. Ao negligenciar a análise de memória, eles correm o risco de expor seus sistemas a malware sem arquivo — uma ameaça que coleta silenciosamente informações valiosas e permite que os invasores se movam lateralmente entre os sistemas, sem deixar rastros para as ferramentas de resposta a incidentes identificarem.
Malware sem arquivo evita soluções de segurança de endpoint amplamente usadas
Quando estão sob pressão após a detecção de uma ameaça, o instinto de muitas equipes de segurança é se concentrar imediatamente em contê-la, desligando e isolando os sistemas. O Instituto Nacional de Padrões e Tecnologia (NIST) discorda dessa abordagem, descrevendo a coleta de memória como uma etapa importante que deve ocorrer no início da maioria das investigações de resposta a incidentes.
Sem recursos de análise de memória, as equipes de segurança seriam pressionadas a identificar malware sem arquivo porque difere do malware tradicional na forma como viola os sistemas. O malware sem arquivo obtém acesso e evita a detecção usando scripts e ferramentas ocultos que já estão integrados aos sistemas de destino.
Essa mudança tática permite que as infecções passem pelas ferramentas de detecção e resposta de endpoint ( EDR ) e de detecção e resposta estendida (XDR) e plataformas de proteção de endpoint (EPP) que muitas organizações implantam hoje. O malware sem arquivo explora seu ponto cego: eles estão constantemente verificando os discos em busca de ameaças, mas não a memória do sistema.
Essas ferramentas ainda podem ser úteis se forem reconfiguradas para avisar os analistas sempre que programas como o PowerShell forem acessados por funcionários (qualquer uso por funcionários que não estejam no departamento de TI ou em uma equipe de desenvolvedores deve ser considerado suspeito). Mas mesmo assim, essa estratégia pode apenas sugerir um problema em potencial – não pode confirmar que existe um.
As soluções antivírus também não ajudarão e, sem uma cadeia de evidências em desenvolvimento no nível do arquivo, uma análise forense digital completa não descobrirá a ameaça. O que resta às equipes de segurança é um cenário em que o malware sem arquivo não é detectado por meses ou até anos.
Já vimos isso acontecer com o SockDetour , um backdoor sem arquivo que foi usado em sistemas pertencentes a empreiteiros de defesa dos EUA. O SockDetour sequestrou conexões de rede em servidores Windows por meio do pacote de bibliotecas Microsoft Detours e conseguiu evitar a detecção por dois anos.
Malware sem arquivo está evoluindo e se tornando mais popular
A cada poucos meses, os pesquisadores descobrem uma nova evolução do malware sem arquivo. Antes do SockDetour, o Prevailion encontrou malware sem arquivo usando o Registro do Windows para armazenamento para evitar mecanismos antimalware. Muito antes de ambos, havia The Dark Avenger e Frodo usando técnicas semelhantes em 1989.
Não é difícil ver por que os ataques sem arquivo estão ganhando popularidade. Em seu Relatório de Segurança na Internet do primeiro trimestre de 2022, a WatchGuard Technologies revelou que 88% de todas as detecções de malware estão vinculadas a scripts. O PowerShell representa 99% dos incidentes detectados, disse a empresa.
Abordagens e soluções modernas
A única maneira de detectar e confirmar a presença de ameaças sem arquivo é analisar o código em execução na memória. A análise de memória permite que as equipes de segurança identifiquem malware sem arquivo, recuperem informações valiosas sobre como ele foi implantado e determinem os danos causados.
Existem novas abordagens que resolvem alguns dos problemas que os analistas tiveram no passado. Entre eles está a decisão de focar na recuperação de despejos de memória em vez de despejos de memória completos. O primeiro requer horas para ser concluído e envolve a coleta de muitos dados que acabarão sendo inúteis em uma investigação. Com despejos de memória, a recuperação de memória pode ser concluída em minutos.
Uma solução ainda mais rápida seria aproveitar minidespejos gerados pelos agentes Microsoft Process Explorer, ProcDump e EDR para direcionar um processo suspeito específico para aquisição.
Com o despejo de memória e a recuperação de minidespejo sendo tão eficientes, as equipes de segurança podem executar avaliações contínuas de comprometimento. A busca e descoberta proativa de ameaças sem arquivos elimina o principal perigo que elas representam em poder escapar das soluções de detecção, análise forense digital e resposta a incidentes.
A abordagem proativa também deve se estender à forma como as equipes de segurança se preparam para lidar com ameaças sem arquivos. Com uma solução de análise de memória, eles poderão executar simulações de equipe azul e roxa para desenvolver uma estratégia detalhada de resposta a incidentes que pode ser colocada em ação quando uma ameaça sem arquivo for detectada.
A análise também é mais simplificada com as equipes de segurança sendo capazes de alavancar indicadores de comprometimento para caçar ameaças. Um método envolve o uso de hashes das seções executáveis de binários na memória para procurar IOCs baseados em memória. Outra envolve atribuir tags MITRE ATT&CK a consultas do tipo SQL para fornecer mais clareza nos resultados.
Mais do que identificar e analisar as ameaças atuais, a análise de memória desbloqueia a capacidade das equipes de segurança de retro-caça. Quando as equipes de segurança tomam conhecimento de um novo indicador de comprometimento, elas podem analisar seus instantâneos de memória adquiridos anteriormente e determinar se o mesmo invasor os atacou no passado e como eles o fizeram. Se eles estiverem tentando explorar a mesma vulnerabilidade, as equipes de segurança entenderão que precisam mudar sua abordagem atual e começarão a tomar as medidas necessárias para fazê-lo.
Somente ameaças sem arquivo à espreita devem garantir a implementação da análise de memória em fluxos de trabalho regulares. Embora as preocupações das equipes de segurança com abordagens anteriores à análise de memória sejam válidas, soluções inovadoras melhoraram significativamente a experiência do usuário e aceleraram o processo de coleta e análise. Continuar a desconsiderar a análise da memória neste estágio só serviria para causar mais mal do que bem.
FONTE: HELPNET SECURITY