Brasil, 24 de Junho de 2018

+ F O N T E -

Ataques baseados em memória estão em ascensão: proteja-se!

Ultimamente, você pode ter ouvido falar sobre ataques baseados em memória, ataques sem arquivos e ataques de subsistência (living-off-the-land attacks). Se assim for, é excelente que você se mantenha atualizado. Todos esses termos se referem à mesma coisa. Como sugerem os nomes, trata-se de um ataque à memória do sistema, tanto à ROM quanto à RAM.

Por que agora?

Os atacantes estão usando cada vez mais esse tipo de ataque porque funciona. É menos detectável pelos mecanismos antivírus (AV) e até mesmo por algumas soluções AV de última geração. Por causa disso, os cibercriminosos que usam essa técnica têm mais chance de ter sucesso em sua missão, que é roubar seus dados – sejam credenciais, segredos corporativos ou recursos de computação.

Como esse ataque funciona

Esse tipo de ataque se concentra em obter instruções ou dados fora da memória, em vez de nas áreas de foco tradicionais, como os diretórios do disco ou chaves do registro. A maneira como esse ataque é normalmente executado é a seguinte:

Etapa 1: um script ou arquivo chega ao endpoint. Ele evita a detecção porque parece um conjunto de instruções, em vez de ter recursos típicos de arquivo.

Passo 2: essas instruções são carregadas na máquina (vamos explicar onde e como mais tarde).

Etapa 3: depois de executadas, elas trabalham usando as próprias ferramentas e recursos do sistema para realizar o ataque.

Exemplos de ataque

Um exemplo comum desse ataque usa uma combinação de macros do Word: Powershell, Meterpreter e Mimikatz. Essas ferramentas nativas, bem como aplicativos da Web, são executadas na memória e possuem alto nível de direitos de execução.

Acontece da seguinte maneira: um usuário recebe por e-mail um documento do Word contendo macros que solicitam ativação após a abertura do documento. As orientações das macros entram em contato com um servidor Command and Control (C2) para baixar um script, que permite que o Powershell faça um segundo download do Meterpreter e do Mimikatz (ambos aplicativos com usos legítimos) para começar a localizar e enviar credenciais ao servidor C2. Uma carga do malware também pode ser baixada, o que pode ser capturada por uma boa solução antivírus de próxima geração.

Talvez o usuário acesse um site e seja solicitado a executar o Flash, que geralmente apresenta algum tipo de vulnerabilidade. Depois que o usuário o habilitar, o Flash comprometido poderá enviar o código de shell ou as instruções para o endpoint do usuário, para ser executado na linha de comando e na memória sem o conhecimento da vítima.

Como esses ataques são baseados em orientações da própria máquina e no uso de aplicativos locais, fica mais fácil entender de onde vêm os nomes “sem arquivo” e “de memória”.

Como deter esses ataques hoje

É possível, no entanto, evitar esses ataques, sendo vigilante:

· Manter-se atualizado sobre patches.

· Bloquear sites que executam Flash, Silverlight ou Javascript, ou bloquear a exibição desses softwares em sites que solicitem sua ativação.

· Restringir o uso de macros em documentos.

Infelizmente, alguns desses métodos não são realistas para seus usuários, principalmente quando estão tentando trabalhar, mas são opções legítimas.

Você também pode detectar manualmente esses tipos de ataques, se notar um tráfego estranho usando seu software de SIEM (security information and event management, ou gerenciamento e correlação de eventos de segurança, em português) – supondo que você tenha um. Você pode ainda usar seus firewalls para inspecionar o tráfego. A utilização de ambos os métodos como sua estratégia de detecção envolve a integração de inteligência de ameaças externas de alta qualidade e regras para detectar a execução interna de aplicativos.

Você também pode investigar os eventos manualmente ou realizar varreduras diárias com uma ferramenta de análise da memória. Como sugestão, a Volatility Foundation tem software de código aberto altamente renomado.

Como deter esses ataques amanhã

Se você acha que isso parece um monte de trabalho que exige vigilância constante e talento, você tem razão. E discutimos apenas dois exemplos de técnicas de ataque de toda a matriz Mitra ATT&CK, que possui dezenas de técnicas diferentes. É importante, no entanto, entender a grande quantidade de esforço manual necessário para comparar com o que acontece quando essas ações podem se tornar automatizadas e mais eficientes.

Outra opção para detectar e interromper esses ataques é obter um produto de detecção e resposta de endpoint (EDR) com ações automatizadas em um mercado muito concorrido neste momento, com palavras que soam muito semelhantes. É por isso que é muito importante informar-se sobre o que sua organização precisa e se um fornecedor pode atender a essas necessidades com rapidez, facilidade e eficácia.

Independentemente de como você implementar sua estratégia de segurança, é importante que tenha consciência desse tipo de ameaça e informe-se sobre suas possíveis opções para interrompê-la.

Ao pesquisar suas opções, não deixe de fazer perguntas detalhadas sobre como cada solução funciona, incluindo quais ações automatizadas elas oferecem e quão avançadas são suas detecções e ações. E lembre-se: o objetivo das soluções de um fornecedor é melhorar o tempo de resposta de um analista e de sua equipe, não aumentar a quantidade de trabalho deles.

Sobre o autor

Josh Fu, CISM (Certified Information Security Manager) e CISSP (Certified Information Systems Security Professional), é engenheiro de segurança da Cylance. Tem experiência como gerente de canal, consultor em infraestrutura de nuvem e engenheiro de vendas em segurança cibernética. Josh fundou o capítulo da Costa Oeste do Consórcio Internacional de Profissionais de Cibersegurança e apresenta-se para audiências do setor em todos os EUA.

Sobre a CYLANCE

A Cylance é uma empresa californiana que iniciou as atividades em 2012, pioneira no uso de inteligência artificial em tecnologia de antivírus. No Brasil desde 2016, é a única a oferecer uma solução de cibersegurança preventiva, que bloqueia ameaças avançadas e malware no ponto de entrada mais vulnerável, o endpoint. Com sua abordagem revolucionária de IA, o CylancePROTECT analisa o DNA do código antes de sua execução no endpoint para localizar e prevenir ameaças que as outras soluções não identificam, usando uma fração dos recursos do sistema associados às soluções de antivírus e detecção e resposta que estão implementadas nas empresas atualmente. Fundada por Ryan Permeh e Stuart McClure, um dos maiores nomes em segurança da informação do mundo, a Cylance tem soluções específicas para todo tipo de negócios, como varejo, energia, educação, infraestrutura crítica, healthcare, finanças e governo. Saiba mais em www.cylance.com.


Publicidade

Compartilhar::

Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...: https://www.facebook.com/groups/portalnacional/

Separador
IIMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...
 
www.segs.com.br
Separador
No Segs, sempre todos tem seu direito de resposta, basta nos contatar que voce sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta totalmente automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
Separador

ADICIONE SEU COMENTÁRIO..::
Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Esta ferramenta é automatizada...Sucesso!


voltar ao topo

Sobre nós::

Siga-nos::

Notícias::

Mais Itens::