O uso de APTs de TTPs menos conhecidos não é menos uma dor de cabeça

Views: 136
0 0
Read Time:6 Minute, 27 Second

Os ataques APT (ameaça persistente avançada) já foram considerados principalmente um problema para grandes corporações, mas o número desses ataques (geralmente patrocinados pelo estado) contra pequenas e médias empresas aumentou significativamente .

Todos são um jogo justo, e a natureza em constante evolução dos vetores de ataque exige que as organizações sejam proativas e atualizem continuamente suas defesas , o que é uma pressão constante de recursos, especialmente considerando as várias táticas, técnicas e procedimentos (TTPs) usados ​​nos ataques.

TTPs incomuns

Com tempo, dinheiro e outros recursos ao seu lado, APTs como Cozy Bear (também conhecido como APT29 ), OceanLotus (também conhecido como APT32) e Grim Spider (também conhecido como APT-C-37) conduzem ataques de ponta tecnicamente intrincados que potencialmente ameaçam qualquer organização. Uma vítima também pode ser um dano colateral para um ataque a um alvo maior.

Embora alguns de seus TTPs – como spear phishing, roubo de credenciais, vivendo da terra (LOL) e exfiltração de dados – sejam bem conhecidos e amplamente documentados, TTPs menos comuns que os APTs podem usar podem causar tanto estrago. Esses incluem:

Ataques watering hole: esses ataques envolvem sites comprometedores que os funcionários ou indivíduos da organização-alvo visitam com frequência. Os invasores injetam código malicioso nesses sites legítimos, fazendo com que os visitantes baixem malware sem saber. É uma tática que permite aos APTs obter acesso à organização-alvo por meio dos sistemas dos usuários sem atacá-los diretamente. Um ataque bem conhecido envolveu o site do Departamento do Trabalho dos EUA em 2013, onde um código malicioso foi injetado para infectar os sistemas dos visitantes e atingir funcionários e contratados do governo.

Island hopping: Nesses ataques, os APTs visam não apenas a organização da vítima principal, mas também outras organizações dentro de sua cadeia de suprimentos, parceiros ou afiliados. Ao comprometer primeiro as empresas terceirizadas menos seguras, elas podem usá-las como trampolim para atingir o alvo final e evitar a detecção direta. O Cozy Bear mirou no Comitê Nacional Democrata em 2016 e depois usou técnicas de salto de ilha para violar outras agências do governo dos EUA.

Malware sem arquivo: o malware sem arquivo reside na memória do sistema, deixando pouco ou nenhum rastro no disco rígido. Ele aproveita processos e ferramentas legítimos para realizar atividades maliciosas, dificultando a detecção por soluções de segurança tradicionais. O malware sem arquivo pode ser fornecido por meio de scripts maliciosos (como macros e comandos do PowerShell), entradas de registro maliciosas, LOLBins, LOLScripts, WMI/WSH e injeção reflexiva de DDL (para destacar os mais comuns). O APT32 (OceanLotus) usou malware sem arquivo para comprometer várias organizações no sudeste da Ásia, incluindo agências governamentais e empresas privadas, evitando a detecção e a atribuição.

Ataques baseados em hardware: APTs podem usar ataques baseados em hardware, como comprometer firmware, implantes de hardware ou manipular dispositivos periféricos, para ganhar persistência e escapar das medidas de segurança tradicionais. Esses ataques podem ser difíceis de detectar e remover sem conhecimento e ferramentas especializadas. Um exemplo notável é o malware do Equation Group para reprogramar o firmware dos discos rígidos.

Explorações de dia zero: os APTs podem implantar explorações de dia zero para atingir vulnerabilidades anteriormente desconhecidas em software ou hardware. Esses ataques podem ser altamente eficazes, pois não há patches ou defesas disponíveis contra eles. Quem poderia esquecer o ataque Stuxnet? O Stuxnet era um worm sofisticado e direcionado que explorava várias vulnerabilidades de dia zero em sistemas de controle industrial, tornando-o altamente eficaz e difícil de detectar.

Ataques baseados em memória: Os ataques baseados em memória exploram vulnerabilidades no software para obter acesso a dados confidenciais armazenados na RAM do computador. Esses ataques podem contornar as medidas de segurança tradicionais que se concentram em ameaças baseadas em arquivos. O APT32, que se acredita estar baseado no Vietnã, é conhecido por usar malware sem arquivos e técnicas de “viver da terra” para operar furtivamente na memória do computador e escapar das medidas de segurança tradicionais.

Túnel DNS: APTs podem usar túnel DNS para exfiltrar dados da rede da vítima. Essa técnica envolve a codificação de dados em solicitações ou respostas DNS, permitindo que os invasores contornem as medidas de segurança do perímetro que podem não inspecionar completamente o tráfego DNS. A Cozy Bear usou o túnel de DNS para se comunicar com seus servidores de comando e controle e roubar informações confidenciais de organizações visadas de maneira furtiva.

Técnicas anti-forenses avançadas: APTs investem esforços significativos para cobrir seus rastros e apagar evidências de sua presença. Eles podem empregar técnicas anti-forenses avançadas para excluir logs, manipular carimbos de data/hora ou criptografar dados para dificultar os esforços de investigação e resposta. Um conhecido ataque de técnicas antiforenses avançadas do Equation Group envolveu o uso de um rootkit chamado “DoubleFantasy” para ocultar e manter persistentemente sua presença em sistemas infectados, tornando extremamente desafiador para os analistas detectar e analisar suas atividades.

Multiplataforma ou malware personalizado: os APTs empregam malware capaz de atingir os sistemas Windows e macOS para maximizar seu alcance. Eles também podem implantar malware sob medida, como a estrutura de reconhecimento Scanbox para coletar informações. Um exemplo é o APT1 (também conhecido como Comment Crew ou Unit 61398), que utilizou malware personalizado para se infiltrar e roubar dados confidenciais de várias organizações em todo o mundo, principalmente nos Estados Unidos.

Espalhamento de senha: Os ataques de pulverização de senha são usados ​​para obter acesso inicial, tentando usar algumas senhas comuns em várias contas. O APT33 (Elfin) tinha como alvo organizações no Oriente Médio e globalmente, usando a pulverização de senhas para comprometer contas de e-mail e obter apoio para outras atividades de espionagem cibernética.

Os APTs vieram para ficar

As organizações podem tornar a vida dos grupos APT mais difícil. Veja como:

  • Estratégia de defesa em profundidade: Uma estratégia abrangente de defesa em profundidade é crucial para combater os APTs. Isso inclui a implementação de várias camadas de controles de segurança, como fortes defesas de perímetro, segmentação de rede, proteção de endpoint, sistemas de detecção de intrusão, criptografia de dados, controles de acesso e monitoramento contínuo de anomalias.
  • Inteligência e compartilhamento de ameaças: idealmente, as organizações devem participar ativamente de comunidades de compartilhamento de inteligência de ameaças e colaborar com colegas do setor, agências governamentais e fornecedores de segurança. Compartilhar informações sobre APTs e suas técnicas pode ajudar a detectar e mitigar ataques com mais eficiência.
  • Educação e conscientização dos funcionários: Programas regulares de conscientização de segurança, simulações de phishing e sessões de treinamento podem educar os funcionários sobre as ameaças mais recentes, técnicas de engenharia social e práticas seguras de computação.
  • Resposta e recuperação de incidentes: Apesar das medidas preventivas, as organizações devem ter um plano de resposta a incidentes bem definido. Isso inclui procedimentos de detecção, contenção, erradicação e recuperação de incidentes para minimizar o impacto de ataques APT e restaurar as operações normais.

Esses TTPs destacam as diversas e avançadas habilidades técnicas exibidas por diferentes grupos de ameaças. As organizações podem reforçar suas defesas e se proteger contra incursões de APT estudando suas táticas, técnicas e procedimentos.

Vigilância contínua, inteligência de ameaças e prontidão de resposta a incidentes são elementos cruciais na preparação e, às vezes, frustrando esses adversários persistentes e altamente qualificados. Entender as complexidades técnicas e os TTPs dos ataques APT do mundo real é vital para que as organizações aprimorem suas estratégias de defesa e se protejam contra essas ameaças persistentes.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS