0
0
As ameaças avançadas estão agora mais acessíveis do que nunca. Na Dark Web, você pode comprar ou alugar ataques de dia zero, malware sem arquivo, comprometimento da cadeia de suprimentos e malware que tem como alvo os processos de memória do dispositivo.
Em 2021, o comprometimento da memória foi a mais comum das cinco principais técnicas de ataque MITRE, e o número de ataques sem arquivo aumentou em mais de 900%. O número de zero-dias vistos na natureza mais do que dobrou em relação a 2020, de acordo com o Project Zero do Google. Em 2022, as violações de dados ficaram apenas 60 abaixo do recorde histórico de 1.862 violações, estabelecido em 2021. Houve uma queda notável nos volumes de violação de dados durante o primeiro semestre de 2022, provavelmente porque os cibercriminosos baseados na Rússia estavam muito distraídos ou preocupados com a invasão da Ucrânia, juntamente com a volatilidade no mercado de criptomoedas.
Ataques cibernéticos avançados contra redes bem defendidas resultaram em oleodutos paralisados, sistemas escolares e até países inteiros. E nunca saberemos quantos ataques bem-sucedidos a grandes empresas ocorreram que nunca se tornaram públicos.
Ameaças se escondem na memória para evitar a detecção
As tecnologias de detecção são defesas essenciais em qualquer ambiente de TI. Eles incluem antivírus de próxima geração (NGAV), plataforma de proteção de endpoints (EPP), detecção de endpoints e resposta/detecção e resposta estendidas (EDR/XDR) e detecção e resposta gerenciadas (MDR). Mas as ameaças mais avançadas e as novas variantes das ameaças existentes são projetadas especificamente para evitar essas ferramentas, geralmente se escondendo na memória.
Os scanners tentam identificar malware e atividades maliciosas observando assinaturas conhecidas. Mas mesmo que você tenha várias camadas de tecnologias de segurança, esses scanners não podem ver ameaças que não têm assinaturas reconhecíveis, não têm arquivo ou existem na memória, o que é impossível de verificar efetivamente em tempo de execução. Afinal, se você não sabe o que procurar e não consegue ver seu ambiente em tempo real, não consegue encontrar o que não consegue ver.
A memória é uma grande vulnerabilidade na segurança cibernética moderna porque as ferramentas de segurança cibernética padrão não conseguem encontrar ameaças furtivas, desconhecidas e evasivas na memória – certamente não rápido o suficiente para impedir ataques. Como resultado, as equipes de segurança acabam um passo atrás dos agentes de ameaças.
A lacuna de segurança de memória está crescendo
Os agentes de ameaças estão direcionando a memória porque ela é o melhor lugar para persistir em um dispositivo enquanto permanece invisível. Isso ocorre porque a memória de tempo de execução é um espaço tão grande que é basicamente impossível digitalizar sem degradar massivamente o desempenho, deixando-o praticamente indefeso pelos controles de segurança.
Para evitar comprometer o desempenho, as soluções baseadas em detecção, como o EDR, devem analisar a memória seletivamente. Eles dependem de escolher horários e espaços específicos na memória para digitalizar e procurar certos indicadores, como as regras do Cobalt Strike Yara recentemente lançadas.
Como as ameaças podem se esconder em um vasto espaço e ser reconfiguradas para evitar o acionamento de conjuntos de regras, as soluções de varredura perdem ameaças evasivas quase o tempo todo.
No ambiente de memória de tempo de execução de um dispositivo, as ameaças podem roubar credenciais, sequestrar processos legítimos e até mesmo transformar um usuário com poucos privilégios em um administrador de sistema.
Por exemplo, versões mal-intencionadas da estrutura de teste de caneta Cobalt Strike permitem que os agentes de ameaças implantem um carregador na memória de um aplicativo legítimo, como o PowerShell. Isso significa que a ameaça existe puramente no ambiente de memória enquanto um aplicativo está em execução.
Adicionando defesas de memória
A única maneira de evitar de forma confiável o comprometimento por ameaças avançadas é implantar uma postura de segurança em camadas que dificulte a vida dos invasores. Isso significa criar redes seguras, proteger sistemas e implantar tecnologias de segurança como EDR, EPP e AV para detectar comportamentos maliciosos e manter as equipes de segurança informadas sobre a atividade da rede. As equipes de segurança também precisam considerar soluções que protejam a memória, negando acesso a atores não confiáveis.
Uma maneira de proteger a memória é usando a tecnologia de defesa de alvo em movimento para randomizar o ambiente de memória em tempo de execução para que os invasores não possam encontrar o que estão procurando, quebrando sua cadeia de ataque. Em vez de um ambiente de destino estático e conhecido, um invasor enfrenta um ambiente de memória dinâmica contendo armadilhas de isca que capturam atividades não autorizadas para análise forense.
À medida que as ameaças avançadas se tornam mais comuns, a segurança em camadas que incorpora a defesa da memória está se tornando essencial. Sem ele, não há uma maneira eficaz de impedir que as ameaças direcionem a memória do dispositivo.
FONTE: DARK READING