0
0
RSA CONFERENCE 2023 – São Francisco — Instrutores especializados do SANS Institute aqui ontem detalharam o que eles citam como as formas mais perigosas de ataques cibernéticos para 2023.
Alguns dos principais temas que borbulham à superfície incluíam a interseção da IA com padrões de ataque e as maneiras pelas quais os invasores estão aproveitando os ambientes de desenvolvimento altamente flexíveis.
“Este é o meu painel favorito do ano”, disse Ed Skoudis, presidente do SANS Technology Institute College e moderador do painel, que apresentou os painelistas do SANS como professores de suas organizações, bem como profissionais especializados com experiência no mundo real sobre o que está acontecendo atualmente no cenário de ataques.
“Essas são as pessoas a quem eu recorro e muitas outras pessoas se voltam para obter as últimas notícias sobre o que são os ataques e o que precisamos fazer para nos defender contra eles”, disse ele.
1. Ataques impulsionados por SEO
Assim como as empresas regulares utilizam a otimização de mecanismos de pesquisa (SEO) para aumentar os rankings de certos termos para comercializar seus produtos e direcionar o tráfego para sites geradores de receita, os bandidos também se voltam para o SEO. No caso deles, eles o usam para aumentar os rankings de seus sites carregados de malware, a fim de enviar mais vítimas para o seu caminho, explicou Katie Nickels, diretora sênior de inteligência digital da Red Canary e instrutora de SANS. Ela disse que, à medida que os defensores de segurança fazem um trabalho melhor de bloquear cliques de saída para sites maliciosos, bloqueando tentativas de phishing e afins, os invasores estão se ajustando atraindo-os através de ataques watering hole. E o SEO está jogando nesse esquema.
“Então, imagine que alguns de vocês estão no marketing e estão usando a otimização de mecanismos de pesquisa para levar os resultados da sua empresa ao topo”, explicou Nickels. “Bem, os adversários fazem a mesma coisa, mas para o mal, certo? Eles usam palavras-chave e outras técnicas de SEO para garantir que seus resultados, seus sites maliciosos, estejam no topo desses resultados dos mecanismos de pesquisa. “
Nickels percorreu umataque GootLoader que foi propagado usando SEO para aumentar os rankings de uma pesquisa por “acordos legais” para atingir usuários desavisados que procuram um download fácil de um modelo de documento legal.
2. Malvertising
Semelhante a como os profissionais de marketing utilizam técnicas de pesquisa orgânica via SEO e técnicas de pesquisa paga que utilizam publicidade, os cibercriminosos estão fazendo o mesmo. Nickels disse que os ataques drive-by também são igualmente alimentados por campanhas de publicidade maliciosa (malvertising) que aumentam artificialmente os rankings de sites para certas palavras-chave.
“E fato engraçado, eu realmente não planejei isso, mas o malvertising foi adicionado ao MITRE ATT & CK como uma nova técnica ontem”, disse ela.
O exemplo que ela trouxe à luz neste caso foi uma campanha semelhante para um software gráfico 3D gratuito chamado Blender.
“Pesquise por isso e você obterá alguns anúncios e alguns resultados”, disse ela. “Aquele primeiro anúncio, isso é ruim. Em segundo lugar, se eu clicar nisso, isso também seria em um site malicioso. O terceiro tem que ser legítimo, certo? Não, neste caso, o terceiro anúncio também foi malicioso. Não é até o quarto resultado nessa palavra-chave que você obtém o site de software legítimo.”
Somando-se ao desafio desses altos rankings, ela explicou que os sites parecidos são quase idênticos ao site real do Blender, já que os bandidos estão ficando realmente bons em imitar certos sites como este.
Embora nem os ataques impulsionados por SEO nem o malvertising sejam técnicas novas, ela observou, a razão pela qual ela os colocou no topo de sua lista é a crescente prevalência desses ataques este ano.
3. Desenvolvedores como um alvo
Johannes Ullrich, reitor de pesquisa do SANS Technology Institute College e chefe do Internet Storm Center, disse que sua escolha para o ano são ataques cibernéticos direcionados a desenvolvedores de software e aplicativos.
“O que notei no ano passado, acho que é algo que realmente vai aumentar, é que os ataques visam especificamente os desenvolvedores”, disse Ullrich. “Falamos muito sobre dependências e componentes maliciosos. O primeiro indivíduo em sua organização que está exposto a esses componentes mal-intencionados é o desenvolvedor.”
Os desenvolvedores são um alvo extremamente atraente, pois geralmente têm privilégios elevados em sistemas de TI e de negócios, os sistemas que usam podem ser subvertidos para envenenar a cadeia de suprimentos de software e tendem a trabalhar em máquinas que são menos bloqueadas do que o usuário médio, a fim de permitir que eles experimentem código e enviem software diariamente.
“Muito desse software de proteção de endpoint é voltado para sua estação de trabalho corporativa aleatória”, disse Ullrich. “Eles não são necessariamente usados ou projetados para proteger sistemas que têm ferramentas de desenvolvedor instaladas.”
4. Usos ofensivos da IA
Com a explosão de grandes modelos de linguagem (LLMs) como o ChatGPT, os defensores devem esperar que os invasores – mesmo os muito não técnicos – aumentem seu desenvolvimento de explorações e descobertas de dia zero utilizando essas ferramentas de IA. Essa foi a técnica de ataque destacada por Steven Sims, líder do currículo de operações ofensivas da SANS e pesquisador de vulnerabilidades e desenvolvedor de exploração de longa data.
Sims percorreu a facilidade com que ele poderia fazer com que o ChatGPT descobrisse um dia zero. Ele demonstrou alguns prompts que ele usou apontando-o para um pedaço de código vulnerável à falha de DNS SigRed que recentemente veio à tona e fez com que ele explorasse esse código para encontrar a falha como se fosse uma falha de dia zero.
Além disso, ele demonstrou os prompts que ele usou para obter o ChatGPT para ajudá-lo a escrever código para um simples pedaço de ransomware. Embora o ChatGPT tenha algumas proteções embutidas no sistema para se recusar a desenvolver código de ransomware, ele conseguiu convencê-lo dividindo as peças em partes discretas.
“De uma perspectiva defensiva, basicamente não há nada que você possa fazer. “A profundidade defensiva é importante. Mitigações de especialistas são importantes. Entender como isso funciona é importante. Escrever sua própria IA e aprendizado de máquina para entender mais sobre isso é importante. Essas coisas são realmente tudo o que você pode fazer porque está lá fora e é incrível.”
5. Armando a IA para a Engenharia Social
Além dos usos técnicos ofensivos da IA, espere que os invasores este ano aumentem drasticamente o uso da IA para tornar suas tentativas de engenharia social e representação altamente críveis, alertou Heather Mahalik, diretora de inteligência digital da Cellebrite e líder de forense digital e resposta a incidentes da SANS.
Ela ilustrou seu ponto de vista com um experimento de engenharia social que fez com seu filho, levando o ChatGPT a escrever textos convincentes – com emojis – que os fariam soar como uma menina de 9 anos tentando fazer com que seu filho lhe dissesse seu endereço.
“Ele pode ser usado para segmentar pessoas em suas organizações”, disse ela. “Eu escolhi atacar meu filho porque tentei tornar tudo realmente agradável e mostrar que somos todos atacados.”
FONTE: DARK READING