por Portnet Tecnologia | Segurança em TI
Se você está considerando se tornar um criminoso virtual ou talvez um vilão tradicional procurando atualizar suas habilidades para o século 21, tenho certeza de que a sua escolha seria investir em operações com ransomware. Você poderia, graças à simplicidade de plataformas como Ransomware como um Serviço e a disposição das vítimas a pagarem resgates, estar dirigindo um negócio de muito sucesso — mesmo que ilegal — em questão de dias ou semanas. Esse é o nível de sucesso do ransomware como meio de extorquir dinheiro das vítimas.
O principal motivo para o sucesso desenfreado do ransomware como um vetor de ataque é sua efetividade e capacidade de gerar dinheiro para os criminosos virtuais. Serviços de pagamento anônimo como o Bitcoin tornam os pagamentos de resgate simples para vítimas e sem riscos para os invasores. As empresas estão até começando a manter pagamentos em Bitcoin preparados no caso de serem atacadas e não conseguirem se recuperar.
E o Bitcoin não é o único meio disponível de pagamento de resgates. Os criminosos virtuais oferecem meios flexíveis na hora de ajustar suas contas. Os primeiros ransomwares e Lockerwares (o velho malware que bloqueava sua tela) eram primitivos quando se tratava de cobrar o pagamento: Mensagens de extorsão via SMS eram comuns, assim como o uso de cupons Ukash (atualmente extintos). Hoje em dia, o Bitcoin permanece como o método mais popular de pagamento, mas outras criptomoedas como a mais sofisticada Ethereum e as menos conhecidas, Litecoin e Dogecoin, também são opções. As últimas duas moedas ficam atrás do Bitcoin em termos de transação, mas todas essas criptomoedas podem ser facilmente lavadas pela darknet, possibilitando cobranças fáceis e anônimas.
Uma pesquisa recente feita pela Google, Chainalysis, Universidade da Califórnia em San Diego e o Instituto Politécnico da Universidade de Nova Iorque revelou que o ransomware gerou uma renda de mais de US$ 25 milhões nos últimos dois anos. Ao analisar os 34 tipos diferentes de ransomware e rastrear seus métodos de pagamentos através dos registros de “blockchain”, foi possível obter o fluxo dos pagamentos de resgates em Bitcoins feitos pelas vítimas. Uma das variantes mais bem-sucedidas do ransomware é o Locky, que dizem ter dado mais de US$ 7 milhões aos seus donos.
Se você já foi afetado por um ransomware, sabe que o resgate exigido para poder ter acesso aos seus dados geralmente é pequeno. Em média, um resgate custa em torno de US$ 700 a US$ 1.500 dólares. Essa estratégia de baixo custo é feita para ter certeza de que você pode pagar o resgate em vez de procurar alternativas de recuperação mais caras. O pagamento do resgate é desenvolvido pelos criadores de malwares para ser a opção mais fácil para você de propósito, assim eles podem maximizar seus lucros. Existe uma teoria econômica consistente por trás disso: A elasticidade do preço na demanda, por exemplo, mas também a noção de que o preço baixo, investimento pequeno e o grande volume vão facilitar o pagamento ao dono do ransomware em vez de alternativas custosas e de alto risco.
Relatos de que o ransomware é capaz de alterar seu preço baseado na localização geográfica do computador da vítima auxilia a economia do ransomware também. A plataforma do Fatboy Ransomware como Serviço é conhecida por usar o índice Big Mac da The Economist para oferecer às suas vítimas um meio acessível de se livrar dessa situação difícil. O índice Big Mac mensura as diferenças na paridade do poder de compra entre moedas mundiais para ajustar o preço de um hambúrguer. Agora ele é utilizado por criadores de ransomware para garantir que seja qual for o lugar que seu malware atacar, o preço do resgate estará de acordo com a localização e a moeda.
É importante notar que nós também observamos o preço do ransomware estar deliberadamente alto em alguns segmentos do mercado, geralmente onde há um risco significativo de não fazer nada sobre a situação. Hospitais, por exemplo, têm notado demandas altas de resgate quando sistemas médicos importantes ou vitais são afetados. A moral desses invasores obviamente não existe.
Pagar o resgate, seja com Bitcoin ou outro método, sempre vai parecer ser o jeito mais fácil de se livrar do problema, mas nunca é a garantia de que você poderá voltar à sua atividade normal. Em primeiro lugar, é pouco provável que o ransomware descriptografe todos os seus dados. Você pode esperar cerca de 80% deles de volta, no máximo. Segundo, o ransomware vai ficar nos seus sistemas e pode levar a mais problemas e violações. E em terceiro lugar, saiba que ao pagar o resgate, você está negociando com terroristas e ajudando a financiar as partes mais sombrias e sinistras da natureza humana, como terrorismo, tráfico de pessoas, lavagem de dinheiro, tráfico de drogas, prostituição e todo tipo de atividade criminosa.
Claro, nós sabemos que existem situações em que você não tem nenhum backup ou meios para se recuperar de um ataque de ransomware, e assim, sem opções a não ser pagar o resgate. Mas, nos ambientes corporativos, você tem uma escolha e, portanto, nenhuma desculpa. NÃO PAGUE o resgate. Em vez disso, confie na sua proteção e preparação.
Mantenha-se seguro. Fale com um dos nossos especialistas!
Fonte: Veem
por Portnet Tecnologia | Segurança em TI
Na terça-feira, 24 de outubro, uma nova vertente de ransomware chamado Bad Rabbit apareceu na Rússia e na Ucrânia. À noite, o foco estava se espalhando para a Europa, incluindo a Turquia e a Alemanha. As vítimas relatadas até agora incluem aeroportos, estações de trem e agências de notícias.
O primeiro foi encontrado depois de atacar meios de comunicação russos e grandes organizações na Ucrânia. O instalador inicial é mascarado por uma atualização do Flash. Curiosamente, este malware contém uma lista de credenciais de Windows codificadas, com maior probabilidade de entrada de força bruta em dispositivos na rede.
Já existem infecções espalhadas pelos países europeus e é praticamente certo vermos infecções no Brasil nas próximas horas.
Segundo análise da Kaspersky, fabricante russa de antivírus, o ataque não usa explorações (exploits). É um drive-by attack: as vítimas baixam um falso instalador Adobe Flash Player de sites infectados e iniciam manualmente o arquivo .exe, infectando os seus PCs.
Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo usada tecnologia html5.
Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.
Ao clicar no botão “Instalar”, o download de um arquivo executável é iniciado. Este arquivo, encontrado como install_flash_player.exe, é que causa o bloqueio dos seus dados na máquina.
A firma de cibersegurança russa Group-IB relata que pelo menos três veículos de imprensa russos foram atacados, contando também “instituições estatais e objetos estratégicos na Ucrânia como vítimas”. A firma contou à Motherboard que um aeroporto em Odessa, o metrô de Kiev e o ministério da Infraestrutura da Ucrânia foram todos afetados por um “novo ciberataque em massa”.
A agência de notícias russa Interfax anunciou no Twitter que estava trabalhando para restaurar seus sistemas depois de os hackers derrubarem seus servidores.
Uma vez infectadas, as vítimas eram redirecionadas a um site escondido por Tor em que um resgate de 0,05 bitcoins (cerca de R$ 911 na cotação atual) era exigido. Se não for pago dentro de aproximadamente 40 horas, o custo para descriptografar os dados perdidos aumenta. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC. A mensagem de resgate, em fonte vermelha sobre um fundo preto, parece ser similar àquela usada nos ataques do NotPetya em junho deste ano.
De acordo com a Kaspersky Lab, de Moscou, as infecções de Bad Rabbit foram detectadas também na Turquia e na Alemanha. “Baseado em nossa investigação, esse é um ataque direcionado contra redes corporativas, usando métodos parecidos àqueles usados no ataque do [NotPetya]”, afirmou a empresa. “Entretanto, não podemos confirmar que ele esteja relacionado ao NotPetya. Vamos continuar nossa investigação.”
A firma de cibersegurança tcheca ESET disse em um post de blog que o ataque aos sistemas do metrô de Kiev foram uma variante do ransomware Petya, no qual o NotPetya também foi baseado — embora o NotPetya tenha sido determinado posteriormente como um malware wiper, projetado para danificar dados permanentemente, e não coletar resgates.
Como se proteger do Bad Rabbit Ransomware?
- Aplique todos os patches aos sistemas operacionais;
- Remova o Flash completamente;
- Desative o WMI do Windows para evitar infecções em rede;
- Faça backup;
- Use uma senha de boa complexidade;
- Proteja os pontos finais com uma solução anti-vírus atualizada;
- Certifique-se de que o firmware do ponto de extremidade e do ponto final esteja atual;
- Implemente sandbox de rede para descobrir e mitigar novas ameaças;
- Implante um firewall de próxima geração com uma assinatura de segurança do gateway para interromper ameaças conhecidas.
Os clientes SonicWall estão protegidos?
Sim. Protegidos desde o dia zero! A SonicWall Capture Labs lançou assinaturas para proteger contra o malware Bad Rabbit que estão disponíveis para qualquer pessoa com uma assinatura de Gateway Security ativa (GAV / IPS). Além disso, o serviço de sandbox SonicWall Capture Advanced Threat Protection (ATP) é projetado para fornecer proteção em tempo real contra novas ameaças de malware, mesmo antes que as assinaturas estejam disponíveis no firewall.
É recomendado que os clientes da SonicWall garantam imediatamente que o serviço Sandbox Capture ATP esteja ativado nos firewalls de próxima geração com o recurso Block Until Verdict. Para o Bad Rabbit, não é necessário atualizar as assinaturas nos firewalls da SonicWall, pois são propagadas automaticamente para a base instalada em todo o mundo após a implantação.
Os clientes Sophos estão protegidos?
Sim. Os clientes da Sophos Intercept X e Exploit Prevention foram protegidos contra este ataque de forma proativa, sem atualizações necessárias.
Fontes: nakedsecurity.sophos.com; blog.sonicwall.com; gizmodo.uol.com.br; techtudo.com.br
As soluções da Portnet além de aumentar a segurança e a disponibilidade do seu ambiente, proporcionam a tranquilidade necessária pra você pensar no seu negócio.
Converse com os especialistas de segurança Portnet e encontre a solução ideal para a sua empresa!
por Portnet Tecnologia | Segurança em TI
No mundo hiperconectado de hoje, as comunicações baseadas em e-mail não são apenas comuns, elas se tornaram uma peça fundamental para efetivamente conduzir negócios, com o volume total de e-mails enviados por dia projetados para aumentar em pelo menos 5% a cada ano. Dada a natureza universal das comunicações por e-mail, eles são e continuarão a ser um vetor popular para uma variedade de ameaças.
O uso do e-mail continua a crescer
Independentemente da proliferação de texto e mídia social, a comunicação por e-mail ainda cresce com força. De acordo com um estudo recente conduzido pelo Radicati Group, o volume total de e-mails enviados e recebidos no mundo atingiu 205 bilhões por dia, com este volume projetado para aumentar em pelo menos 5% a cada ano. E esse fato não é desconhecido para os hackers que estão constantemente buscando oportunidades para explorar as organizações.
Ameaças por email que as organizações enfrentam hoje em dia
Os e-mails oferecem aos hackers um veículo para distribuir uma série de vulnerabilidades para uma organização. Algumas das ameaças mais comuns, oriundas dos e-mails, são:
• Malware – e-mails são um dos principais mecanismos de fornecimento para distribuir malwares conhecidos e desconhecidos, que normalmente são incorporados em anexos de e-mail na esperança de que o anexo seja aberto ou baixado em um computador ou rede, permitindo que os hackers obtenham acesso aos recursos, roubem dado ou invadam sistemas.
• Ransomware – uma variante especialmente prejudicial de malware é o ransomware. Assim que um anexo de um e-mail é ativado, o código se integra na rede e o ransomware geralmente criptografa ou bloqueia arquivos e sistemas críticos. Os hackers então coagem a organização a pagar uma taxa de extorsão para que os arquivos ou sistemas não sejam ou desbloqueados.
• Phishing – esta tática comum entre os hackers utiliza e-mails com links integrados para invadir sites. Quando os usuários inocentes visitam esses sites, eles recebem a solicitação para inserir PII (Personably Identifiable Information, ou Informações Pessoais Identificáveis) que, por sua vez, são usadas para roubar identidades, comprometer dados corporativos ou acessar outros sistemas críticos.
• Spear Phishing/Whaling – nesta modalidade de phishing, os principais profissionais de TI/rede ou os executivos da empresa são afetados ao utilizarem e-mails maliciosos que parecem vir de uma fonte confiável, em esforços para obter acesso aos sistemas e dados internos.
• Comprometimento de e-mail corporativo/Fraude de CEO/E-mail impostor – nos últimos dois anos, os esquemas de Comprometimento de e-mail empresarial (BEC) causaram pelo menos US$ 3,1 bilhões em perdas totais a aproximadamente 22.000 empresas em todo o mundo, de acordo com os dados mais recentes do FBI1. O FBI define o Comprometimento de e-mail corporativo como um esquema de e-mail sofisticado que visa as empresas que trabalham com parceiros estrangeiros que realizam regularmente pagamentos de transferência bancária.
• Spam – os e-mails são usados para distribuir spam ou mensagens não solicitadas, que podem obstruir caixas de entrada e recursos de rede, diminuir a produtividade das empresas e aumentar os custos operacionais.
• Sequestro de e-mails enviados – as corporações também estão sujeitas a políticas corporativas e regulamentações governamentais, que mantêm as empresas responsáveis por seus e-mails de saída e assegurando que protejam a PII de seus clientes. Os ataques de zumbis e sequestro de IP podem disseminar a PII de clientes, arruinando a reputação de um negócio.
A anatomia de um ataque por e-mail:
• Um CFO recebe um e-mail de um Diretor Executivo autorizando uma transferência emergencial de fundos.
Mas, na verdade, o e-mail foi enviado por um cibercriminoso;
• Um funcionário com direitos administrativos aos principais sistemas recebe um e-mail urgente da
equipe de TI para atualizar sua senha de rede. E acaba por divulgar a sua senha para cibercriminosos:
• Um funcionário recebe um e-mail para ler um anexo importante sobre seu fornecedor de benefícios. Ao abrir
o anexo, o malware de Trojan escondido é inadvertidamente ativado.
As comunicações por e-mail são essenciais para as organizações de hoje, algo de que os hackers estão conscientes. Dadas as ameaças complexas e maduras de hoje, é plausível que as organizações implantem uma solução de segurança multicamadas que inclua a proteção de e-mail dedicada e de ponta. Para combater com eficácia as ameaças emergentes de hoje, as organizações são devidamente aconselhadas a implementar uma solução de gerenciamento de segurança de e-mail de próxima geração que forneça uma proteção de e-mail fundamental.
Para saber mais sobre as formas de proteger os e-mails de sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Um advanced persistent threat (APT) é um conjunto de processos ocultos e contínuos de invasão de computadores, muitas vezes organizados por criminosos com foco em uma entidade específica. Com frequência, essas ameaças incluem malware não documentado e desconhecido, incluindo ameaças de zero day. São projetadas para serem crescentes, polimórficas e dinâmicas. E são destinadas a extrair ou comprometer dados confidenciais, incluindo informações de controle, acesso e identidade. Embora esses tipos de ataques sejam menos comuns do que as ameaças automatizadas ou comoditizadas, que são mais amplamente direcionadas, as APTs representam uma séria ameaça.
Para detectar melhor as APTs, os profissionais de segurança estão implantando tecnologias de detecção de ameaça avançadas que, muitas vezes, incluem sandboxes virtualizados, que analisam o comportamento de arquivos suspeitos e detectam malwares ocultos anteriormente desconhecidos. No entanto, as ameaças estão ficando mais inteligentes e várias técnicas de sandbox dos fornecedores simplesmente não as acompanharam. Este resumo examina as cinco áreas em que as técnicas de sandbox legados falham, e explora o que é necessário para que a sua empresa fique à frente das APTs.
1. Infiltração antes da análise
Primeiro, algumas soluções de sandbox não chegaram a uma conclusão da análise até que um arquivo potencialmente perigoso já tivesse entrado no perímetro da rede. Isso aumenta os possíveis vetores que um arquivo de malware executado tem para se infiltrar pela rede no perímetro.
2. Análises de arquivo limitadas
Segundo, algumas soluções de sandbox de gateway são limitadas em termos de tamanho e tipo de arquivos, ou pelo ambiente operacional que podem analisar. Elas somente podem cuidar das ameaças destinadas a um único ambiente de computação. Ainda assim, as empresas de hoje operam em vários sistemas operacionais, incluindo Windows, Android e Mac OSX.
Além disso, o aumento na adoção de dispositivos móveis e conectados ampliou a superfície de ataque de destino das ameaças. Em 2015, o SonicWall viu uma ampla variedade de novas técnicas ofensivas e defensivas que tentaram aumentar a força dos ataques contra o ecossistema Android, que corresponde a quase 85 por cento de todos os smartphones globalmente. Muitas vezes, as tecnologias de detecção de ameaça avançadas de hoje apenas analisam e detectam ameaças destinadas aos aplicativos e sistemas operacionais de produtividade em escritório legado. Isso também pode deixar as organizações vulneráveis a ataques destinados a ambientes modernos de dispositivo móvel e conectado.
Além disso, elas podem não conseguir processar uma ampla variedade de tipos de arquivos de negócios padrão, incluindo programas executáveis (PE), DLL, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK. Tais limitações podem fazer com que as ameaças de zero day desconhecidas passem pela rede sem análise e identificação.
3. Mecanismo de sandbox isolado
Terceiro, as soluções de sandbox de mecanismo único autônomas não são mais adequadas.
O Malware está agora sendo projetado para detectar a presença de um sandbox virtual e evitar a descoberta, limitando a eficácia das tecnologias de sandbox de primeira geração. As soluções de sandbox de mecanismo único apresentam um destino particularmente fácil para técnicas de evasão.
Além disso, as técnicas de mecanismo único criam lacunas de análise. Por exemplo, as análises que buscam chamadas entre aplicativos e sistemas operacionais podem ser menos granulares do que as análises que buscam chamadas entre hardware e sistemas operacionais, já que a maioria dessas chamadas está oculta das camadas de aplicativos.
Uma técnica mais eficiente seria integrar as camadas de vários mecanismos de sandbox. E, no entanto, as soluções de sandbox são muitas vezes dispositivos autônomos de mecanismo único e isolados ou serviços em cloud. Implantar várias tecnologias de sanbox, se fosse viável, poderia aumentar significativamente a complexidade de configuração, a sobrecarga administrativa e os custos.
4. Ameaças criptografadas
Por muitos anos, instituições financeiras e outras empresas que lidam com informações confidenciais optaram pelo protocolo HTTPS seguro que criptografa as informações compartilhadas. Agora outros sites, como Google, Facebook e Twitter, também estão adotando essa prática em resposta a uma crescente demanda por privacidade e segurança do usuário. Embora haja muitos benefícios em usar mais criptografia de Internet, surge uma tendência menos positiva conforme os hackers exploram essa criptografia como uma maneira de “ocultar” malware de firewalls corporativos.
Por meio do uso da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), ou do tráfego de HTTPS, os invasores experientes conseguem codificar comunicações de comando e controle e código malicioso para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das empresas não tem a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado de SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção.
5. Correção bloqueada
Além disso, muitas vezes as tecnologias de detecção de ameaças avançadas de hoje somente relatam sobre a presença e o comportamento do malware. Mesmo se a técnica de sanbox identificar de maneira eficiente uma nova ameaça evoluída em um endpoint específico, as organizações não possuem uma maneira clara de corrigir essa ameaça. Elas não possuem uma maneira simples e eficiente de atualizar todas as assinaturas de firewall em uma rede distribuída globalmente.
Quando o malware é descoberto, provavelmente após um sistema ser infectado, a correção recai sobre a organização de TI, deixando a equipe de TI com a demorada tarefa de rastrear e eliminar o malware e os danos associados dos sistemas infectados. Além disso, a equipe de TI também precisa criar e implantar rapidamente novas assinaturas de malware na organização para evitar ataques adicionais.
O que é necessário
Embora os sandboxes legados possam ser falhos, seu princípio subjacente é sólido. Ainda assim, esses problemas precisam ser resolvidos para que a sandbox seja eficiente. Para isso, sua solução de sandbox deve:
• Aplicar uma análise baseada em cloud em arquivos suspeitos para detectar e bloquear ameaças desconhecidas fora do gateway até que um veredito seja determinado;
• Analisar uma ampla variedade de tipos de arquivos e ambientes operacionais, independentemente da criptografia ou do tamanho do arquivo;
• Atualizar de maneira rápida e automática as assinaturas de correção;
• Integrar vários mecanismos de sandbox para resistir melhor às táticas de evasão, obter melhor visibilidade do comportamento mal-intencionado e aumentar a detecção de ameaças;
• Complexidade e custos mais baixos.
Saiba como proteger os dados confidenciais da sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Os firewalls de próxima geração utilizam assinaturas e heurísticas de forma muito bem-sucedida. Mas ao defender contra os ataques mal-intencionados de hoje em dia, eles não são mais suficientes. Os desafios dos ataques direcionados e das ameaças de zero-day fazem da inclusão de sandboxing uma atividade essencial para uma postura de segurança eficaz.
Entendendo o desafio real e o que fazer com ele
O crescimento das ameaças externas hoje em dia é impressionante. Os invasores combinam a natureza oportunista da automação com o conceito do fornecedor de software para evoluir suas ameaças constantemente, tudo para ter a maior amplitude possível, sem serem detectados. E dado o impacto negativo sofrido por uma organização que sofre uma violação de dados ou um ataque de ransomware, detectar códigos mal-intencionados antes que eles impactem a rede é de extrema importância para as organizações de TI.
O desafio real não é o ransomware que já se espalhou na Internet. Os desafios reais são os ataques direcionados e as ameaças zero-day. Os ataques direcionados envolvem códigos nunca antes vistos e criados com o propósito específico para a organização sendo atacada, enquanto as ameaças zero-day exploram vulnerabilidades recentemente descobertas para as quais os fornecedores ainda precisam emitir patches. As organizações precisam se preocupar mais com esses tipos de ataques, que, geralmente, são mais bem-sucedidos do que seus antigos equivalentes. Então, qual é a melhor maneira de evitar ameaças provenientes de dentro da sua rede?
Você tem algumas opções em termos de onde deseja abordar ataques mal-intencionados e como detectá-los e eliminá-los. O objetivo é detectar e remover códigos mal-intencionados o mais próximo possível da fonte do ataque. Em relação a onde abordar um ataque, as organizações normalmente optam por dois campos: o campo de segurança de endpoint, no qual o código mal-intencionado avança para um endpoint e então é detectado e destruído, e o campo de sandboxing, no qual o código mal-intencionado é identificado e destruído antes de entrar na rede. Até que haja uma solução 100% eficaz, ambas as tecnologias continuarão sendo camadas importantes de defesa. Uma solução de sandboxing pode fornecer prevenção na borda, se implementada da forma certa.
Mantenha o código mal-intencionado distante
Se você pensar na sua rede como um castelo, não há lugar melhor para interromper um ataque do que no portão, um ponto de bloqueio que nada nem ninguém passe sem ser inspecionado para obter permissão de entrada. Ao adotar uma solução capaz de detectar o código mal-intencionado dentro do firewall de próxima geração (NGFW), você coloca um guardião no portão do castelo. Nada entra sem o conhecimento do guardião. Durante a entrada dos dados, é realizada uma varredura nos dados do tráfego por meio de diversos métodos para a detecção de códigos mal-intencionados:
• Assinaturas: Com um banco de dados de assinaturas digitais mal-intencionadas, é realizada uma varredura no tráfego a procura de quaisquer dados que correspondam a uma assinatura. Se for encontrada uma correspondência, o código será identificado como mal-intencionado.
• Heurísticas: Diferente das assinaturas, que procuram por correspondências específicas dentro de um banco de dados, a varredura baseada em heurística utiliza regras e algoritmos para detectar códigos que possam ser mal-intencionados.
• Sandboxing: Em vez de tentar procurar pelo código para encontrar tentativas ou assinaturas mal-intencionadas, a solução de sandboxing permite que o código seja detonado ou executado como pretendido para monitorar o comportamento da atividade mal-intencionada. Esse processo é realizado em um ambiente criado com esse propósito, ou sandbox, que não causará nenhum dano.
Usar essa combinação de táticas é mais eficiente e eficaz, já que os códigos mal-intencionados mais comuns ou mais simples podem ser detectados pelas tecnologias tradicionais mais rápidas e com menos recursos. Isso permite que o sandbox se concentre no conteúdo restante que realmente requer seu nível de investigação.
O motivo pelo qual as assinaturas e as heurísticas não são boas o suficiente
A detecção baseada em assinatura é somente tão boa quanto o banco de dados que ela utiliza para identificar o código mal-intencionado. Mesmo se o seu banco de dados não for atualizado a cada minuto, você pode perder um ataque, pois demora certo tempo para os fornecedores de AV identificarem o malware, atualizarem seus bancos de dados e o distribuírem a você. Além disso, as pessoas que gravam um código mal-intencionado estão cientes da detecção baseada em assinatura e utilizam um código para evitá-la.
As heurísticas também podem ser imprecisas. Uma parte do código pode simplesmente ser o tráfego que não se enquadrou no padrão esperado, causando falsos positivos. Algumas vezes, o código mal-intencionado não parece perigoso inicialmente, até ser reconstituído no back-end e tornar as heurísticas ineficientes.
Vamos pegar o ransomware como exemplo. O código que foi feito download inicialmente não é perigoso. Ele vira uma arma quando é conectado a um servidor de comando e controle (C2) e faz download de um código adicional. Outro exemplo é uma macro dentro de um documento do Microsoft Word. A menos que a macro mal-intencionada utilize um método de ataque suspeito ou conhecido, nem as assinaturas e nem as heurísticas poderão dizer se a macro em si é boa ou ruim.
Usar assinaturas ou heurísticas para fazer uma varredura passiva do tráfego possui limitações. A varredura não permite que o código se torne ativo e os invasores conseguem ofuscar o código ruim (a partir de uma perspectiva de varredura) dentro de um código “bom”. Entretanto, a maneira mais eficaz de detectar um código mal-intencionado é interagir com uma versão completamente armada.
Brincando com fogo
A única forma de capturar um código mal-intencionado avançado é “detoná-lo”. O processo de detonação é muito diferente de simplesmente fazer uma varredura no código. Ele é similar ao processo de cultura de um micróbio perigoso em um laboratório de contenção de perigo biológico ou à detonação de uma bomba em uma câmara de contenção. A sandbox fornece um local seguro para que os dados interceptados sejam abertos e executados sob observação. Se for confirmado um comportamento suspeito ou mal-intencionado, o arquivo e a ameaça contida nele poderão ser eliminados.
Sandboxes tentam detonar todos os tipos de arquivo:
• Arquivos com conteúdo ativo: Esses arquivos incluem executáveis, scripts e DLLs. Os arquivos podem ser executados e interagir com a sandbox normalmente para que seja possível monitorá-los em relação a ações mal-intencionadas, como modificar as configurações de firewall do sistema operacional ou estabelecer conexões de saída com a Internet.
• Arquivos de conteúdo passivo: Esses arquivos incluem qualquer tipo de documento, PDFs, arquivos compactados (por exemplo, ZIP, JZIP, RAR) e até mesmo arquivos de imagem. Esses arquivos são analisados com o uso do aplicativo padrão para monitorar atividades mal-intencionadas, como uma tentativa de macro do Word em fazer download de um código adicional na Internet. Sem ter todas as partes do software disponíveis em uma sandbox, é impossível analisar cada arquivo passivo. No final, sua sandbox deve ser configurada com a capacidade de inspecionar a maior quantidade de tipos de arquivo possível.
Malware em uma imagem
Você deve se perguntar o motivo pelo qual os arquivos de imagem devem ser analisados, já que eles representam um dos tipos de dados mais supostamente benignos. Mas os arquivos de imagem podem conter dados de payload mal-intencionados. Pegue como exemplo um recente ataque no Brasil em que um PDF anexado continha um link para um arquivo ZIP. Dentro desse arquivo ZIP estava um executável e um arquivo PNG. Esse PNG era pequeno (inferior a 64 pixels quadrados), mas continha um arquivo de mais de 1 MB. Após a inspeção do executável adjacente, ficou evidente que o código foi projetado para ser extraído e executar um binário mal-intencionado e oculto de dentro do PNG.
Aprimoramento de assinaturas com a sandbox
Como mencionado anteriormente, uma abordagem multifacetada é a melhor maneira de detectar código mal-intencionado. Aprimorar o método de varredura passivo pode ajudar a tornar o processo de detecção mais eficiente, já que ele precisa de bem menos ciclos de CPU para concluir a verificação em um banco de dados de assinaturas do que para gerar e manter uma sandbox capaz de detonar uma única instância de código mal-intencionado.
Além da detonação, a sandbox pode ser utilizada para criar assinaturas quando o código for determinado a ser mal-intencionado, afinal, ela possui um lugar na primeira fila para a execução desses códigos. Quando um código mal-intencionado é identificado, é criada uma assinatura e um banco de dados de assinaturas pode ser atualizado, o que aprimora a velocidade e a precisão das futuras detecções de códigos mal-intencionados.
Ainda assim, as técnicas de varredura passivas possuem suas carências em relação à detecção. Por isso, é justo perguntar o quanto uma sandbox é mais bem-sucedida.
Como uma sandbox funciona
A sandbox funciona como um ambiente de “sacrifício”, que monitora o código mal-intencionado e sua interação com o sistema operacional. As sandbox procuram pelo seguinte:
• Chamadas do sistema operacional: inclusive chamadas do sistema de monitoramento e funções de API
• Alterações do sistema de arquivos: qualquer tipo de ação, inclusive a criação, modificação, exclusão e criptografia de arquivos
• Alterações na rede: qualquer tipo de estabelecimento atípico de conexões de saída
• Alterações de registro: quaisquer modificações para estabelecer persistência ou alterações nas configurações de rede ou segurança
• Além e entre: monitoramento das instruções que um programa executa entre as chamadas do sistema operacional para complementar o contexto de outras observações
Quão eficaz é uma sandbox?
A detecção baseada em assinatura é perfeita para descobrir o código malintencionado de ontem, mas não faz nada para interromper ataques zero-day ou ataques simplesmente alterados (ou seja, malware específico que não corresponde a uma assinatura devido à mutação). As heurísticas encaram a detecção como uma etapa na direção certa, à procura de padrões atípicos no código. Mas como demonstrado no uso de um arquivo de imagem para fornecer um payload, os arquivos iniciais (por exemplo, um PDF com um link para um arquivo ZIP externo) não levantam quaisquer suspeitas.
A questão é o motivo pelo qual a sandbox é um método de detecção tão eficaz. Mesmo com ataques zero-day sem nenhuma assinatura e um código nunca antes visto, a sandbox é o único método que detecta comportamentos mal-intencionados. No final do dia, o código mal-intencionado realiza um número limitado de ações, inclusive fazer uma conexão externa, fazer download de payloads adicionais, conectar a um servidor C2 e tentar fazer alterações no sistema operacional. Nenhuma dessas ações é necessariamente normal para arquivos relacionados ao trabalho.
Há diversas formas de proteger a sua organização contra um código mal-intencionado. Ao mesmo tempo que proteger o endpoint é importante, isso pode colocar a sua organização em um risco ainda maior ao permitir o código mal-intencionado na rede. Uma solução de sandboxing fornece uma maneira de interromper as ameaças antes que elas entrem na rede.
Podemos te ajudar com a sua estratégia de sandboxing com as soluções da nossa parceira Sonicwall. Fale com a gente!
Fonte: © 2017 SonicWall Inc.
