0
0
Com pouco mais do que reconhecimento inteligente e ferramentas existentes, os adversários são cada vez mais capazes de comprometer uma rede corporativa sem fazer barulho ou deixar um rastro para trás.
De fato, de acordo com o CEO da CrowdStrike, George Kurtz, e o presidente Michael Sentonas, 71% dos ataques cibernéticos corporativos no ano civil de 2022 foram feitos sem malware.
Na Conferência RSA deste ano, Kurtz e Sentonas retornaram ao palco principal para guiar o público através de um estudo de caso de quão facilmente um agente de ameaças pode não apenas penetrar em uma rede, mas também se mover lateralmente e persistir sem fazer uma ondulação, ilustrando em termos gritantes o tipo de desafio que as equipes de segurança cibernética enfrentam tentando detectar, muito menos mitigar comprometimentos sem malware.
A lendária dupla de segurança cibernética perfilou o grupo de cibercrime “Spider” do palco como um exemplo perfeito do fenômeno.
“Eles estão muito bem preparados e têm muito bons recursos”, explicou Sentonas. “E eles realmente gostam de alavancar as ferramentas existentes; não há necessidade de ficar chique se você puder simplesmente se misturar.”
Spider: Anatomia de um ataque sem malware
Primeiro, o Spider inicia um esforço aprofundado de coleta de inteligência. Kurtz disse que sua equipe conseguiu estabelecer que o agente de ameaças passou mais de uma hora ao telefone com o help desk da empresa vítima tentando obter insights que pudessem alimentar a próxima fase da engenharia social.
Uma vez que eles tinham um usuário específico em sua mira, o Spider inicia uma chamada de voz informando ao usuário que suas credenciais foram comprometidas. As vítimas recebem um link malicioso e são solicitadas a inserir não apenas seus detalhes de login, mas também seus dados de autenticação multifator (MFA). Uma vez que o usuário é enganado para entregá-los, o Spider está desligado e correndo.
“Chamamos isso de problema da camada A”, brincou Kurtz, sobre o usuário entregar as mercadorias. “Está entre a cadeira e o teclado.”
O Spider então usa o sistema operacional Tails e o Evilginx2 para comprometer as credenciais do usuário para configurar uma conta AnyDesk controlada pelos ciberatacantes. O AnyDesk continua sendo uma ferramenta de área de trabalho remota popular entre os agentes de ameaças, acrescentou Kurtz.
O Spider também usa máquinas dedicadas que escondem sua identidade e executam seu código no hardware o máximo possível para evitar a detecção. “Pode ser de qualquer lugar”, disse Sentonas. “Ele se mistura porque não virá de algum domínio louco.”
Outras ferramentas, como o DigitalOcean Droplet, usado como uma máquina virtual, preenchem a cadeia de ataque. Em última análise, Kurtz e Sentonas explicaram, o ataque do Spider termina com o ator persistente configurado com seus próprios usuários na rede, livre e capaz de exfiltrar dados à vontade. E o mais importante, observou Sentonas, se o agente de ameaças puder entrar na rede local, a nuvem provavelmente será sincronizada e também ficará comprometida.
É importante ressaltar que Sentonas e Kurtz queriam desfazer o público da noção de que os agentes de ameaças precisam de acesso total de administrador para configurar novos usuários. Eles não o fazem, e Sentonas mostrou exatamente como apenas permissões delegadas poderiam permitir que ele se movesse livremente sobre o sistema de gerenciamento de relacionamento com o cliente da empresa, bem como se adicionasse como um administrador do SQL Server.
Nos últimos dois trimestres, a CrowdStrike tem lidado com cerca de uma empresa por semana se recuperando desse tipo de ataque cibernético livre de malware, disse Sentonas.
Como se defender contra ataques cibernéticos livres de malware
Quando se trata de defender a empresa, a detecção e resposta de endpoints (EDR) e outras ferramentas de detecção de malware não são muito úteis contra ataques cibernéticos livres de malware. Simplesmente não há código malicioso para detectar.
Em vez disso, Kurtz e Sentonas pediram que as empresas se concentrassem em reunir o máximo de telemetria possível do endpoint para a nuvem e gerenciar a identidade até os mínimos detalhes.
Mas reunir todos esses dados de telemetria e identidade deixa as equipes com vastos oceanos de informações que não são particularmente utilizáveis para a caça a ameaças. É aí que a inteligência artificial (IA) e o aprendizado de máquina (ML) podem ser implantados de forma significativa para procurar atividades anômalas, como contas de usuário adicionadas, para detectar atividades maliciosas, sem código mal-intencionado.
Também é importante proteger o serviço de MFA corporativo contra comprometimentos, acrescentaram.
“Mantenha uma boa higiene da loja de identidade”, disse Sentonas. E proteja os serviços que você usa para MFA.”
FONTE: DARK READING