Tem havido muito burburinho sobre ransomware ultimamente, e com razão. Sua prevalência cresceu 59% em 2017 e os números do quarto trimestre demonstram que não está desacelerando. É assustador - perder dados significa perder dinheiro, negócios, propriedade intelectual e clientes. Ainda mais alarmantes, os atacantes de ransomware estão visando a vida pública - sistemas municipais, escolas, hospitais e outros alvos vulneráveis ​​de altas apostas. A maioria de nós acha mais fácil entender o ransomware e o que motiva os invasores - ele cria uma história melhor do que scripts de shell nefastos e explorações de protocolos remotos.

No entanto, o ransomware e outras formas de malware vão muito além de simples explorações para obter ganhos financeiros. Eles reforçam e, às vezes, fornecem cobertura distrativa para Ameaças Persistentes Avançadas (Advanced Persistent Threats - APTs). Esses ataques prolongados e em múltiplos estágios são realizados por criminosos e hackers patrocinados pelo Estado para fins de espionagem, roubo de credenciais e dados, roubo de IP, fraude, interrupção generalizada - ou alguma combinação dos mesmos. Os ataques no estilo APT estão aumentando a uma taxa exponencial. Uma vasta indústria de produtos de segurança cibernética, que vai muito além das soluções de anti-vírus e firewall de geração anterior, surgiu para combater e enfrentar essas novas ameaças nos vários estágios do ciclo de vida da exploração..

Embora os APTs possam variar significativamente um do outro, há um denominador comum claro que está no centro de todo ataque bem-sucedido - a capacidade de se infiltrar em uma rede, permanecer sem ser detectado e executar ações mal-intencionadas. As defesas tradicionais, mesmo as mais avançadas, como o Sandboxing, têm sido baseadas na suposição de que técnicas avançadas poderão detectar 'intenções maliciosas' e separá-las de 'boas intenções'..

Este jogo de gato e rato é a dinâmica essencial que molda a indústria de segurança no momento. Mas os invasores costumam prevalecer, porque eles desenvolvem com sucesso suas técnicas para contornar a detecção baseada em heurística. Por natureza, as tecnologias de defesa tradicionais têm uma alta taxa de detecção incorreta e falsos alarmes, obscurecendo vulnerabilidades e criando mais problemas para as equipes de segurança maximizadas.

Para inverter essa dinâmica frustrante e cara, precisamos identificar um “elo mais fraco” comum para a maioria dos ataques cibernéticos que poderia dar aos defensores a mão superior.

Terreno comum

Para estabelecer um beachhead, os atacantes precisam de uma maneira de instalar um 'pedaço' de código executável em uma máquina na rede de destino. Eles usarão vários métodos para que um usuário legítimo acesse e ative conteúdo malicioso (spear phishing). Para evitar a detecção, o código executável (também conhecido como 'shellcode') é oculto em objetos de dados (documentos de escritório) e executado pela exploração de vulnerabilidades em aplicativos comuns..

O impacto dessas infiltrações tem sido impressionante e continua a se espalhar. Segundo a Cybersecurity Ventures, os custos globais de danos por crimes cibernéticos atingirão US $ 6 trilhões anualmente até 2021. Os gastos com produtos e serviços de segurança cibernética somarão mais de US $ 1 trilhão nos próximos 3 anos. Enquanto isso, milhões de empregos de segurança cibernética permanecem vazios devido à escassez de habilidades e à insuficiência de canais educacionais..

É sobre prevenção, não remediação

Os APTs continuam a usar uma rota familiar para alcançar a exploração. De acordo com M-Trends da Mandiant, os detalhes do ciclo de vida de exploração podem ser resumidos da seguinte forma:

  • Passo 1: Reconhecimento
  • Passo 2: Intrusão Inicial na Rede
  • Etapa 3: estabelecer um backdoor de rede
  • Etapa 4: Obter Credenciais do Usuário
  • Etapa 5: instalar vários utilitários
  • Etapa 6: Escalonamento de Privilégios / Movimento Lateral / Exfiltração de Dados
  • Etapa 7: manter a persistência

O passo 2 - a intrusão inicial - continua a ser o passo crítico para os operadores do APT. Ganhar uma posição segura no ambiente alvo é o objetivo principal da intrusão inicial. Uma vez que uma rede é explorada, o atacante geralmente coloca malware no sistema comprometido e o utiliza como um ponto de partida ou proxy para outras ações. O malware colocado durante a fase inicial de intrusão é comumente um simples downloader, um Trojan de acesso remoto básico ou um shell simples. O problema é que poucas ferramentas de segurança cibernética podem detectar o shellcode usando empacotadores dinâmicos para os quais não há assinaturas ou padrões conhecidos disponíveis.

É claro que evitar uma invasão cedo - antes da necessidade de remediação dispendiosa - é a melhor (e mais barata) prática para combater os APTs. Em 60% dos casos, os invasores podem comprometer uma organização em questão de minutos, mas a maioria das empresas leva cerca de 197 dias para detectar uma violação em sua rede, fazendo com que os custos de correção disparem.

Detectando o evasivo

Apesar dos consideráveis ​​avanços e investimentos em segurança, os atacantes ainda possuem a vantagem, particularmente em ataques de dia zero. O software tradicional de segurança cibernética é muitas vezes contraproducente porque, uma vez identificado um conteúdo malicioso, ele passa a analisá-lo in situ - expondo assim o ambiente que deve contaminar e comprometer. Na tentativa de se manter à frente da prevenção, você precisa de uma arquitetura de proteção de segurança elegante que seja à prova de evasão.

Uma arquitetura à prova de evasão procura sistematicamente por instruções de códigos ocultos - ou quaisquer outros comandos que possam indicar intenção maliciosa - e não abrirá nem executará arquivos recebidos. Observando o código versus a exploração, nenhum dispositivo do Juízo Final será acionado e a plataforma poderá capturar qualquer código suspeito, colocá-lo em quarentena e revisá-lo posteriormente. Em última análise, o código malicioso não chega ao ponto de evitar a detecção porque nunca tem a chance de se executar e se espalhar pela rede..

Da mesma forma, a abordagem à prova de evasão requer análise e interpretação de scripts, avaliando cada afirmação linha por linha. Todo fluxo possível de execução, incluindo ramos condicionais, deve ser exposto e normalizado.

Quando se trata de URLs mal-intencionados, esse método detecta e diferencia com precisão os hiperlinks e os objetos remotos chamados automaticamente, produzindo informações sobre o propósito de cada objeto remoto e seu comportamento. A análise à prova de evasão determina o tipo de incorporação usada - sem precisar buscar o arquivo ou objeto remoto real - para descobrir seu nível de mal-intencionado em tempo real e bloquear até mesmo o malware mais evasivo.

A tarefa de avaliar as pontuações heurísticas, anomalias comportamentais, falsos positivos e falsos negativos rapidamente se torna um fardo incontrolável para as equipes de segurança que já estão se esgotando. E no momento em que a análise é feita, o malware pode ter entrado na sua rede. Por não depender de variações de pilha de tecnologia subjacentes ou exigir um ambiente cuidadosamente curado para análise de tempo de execução, uma arquitetura à prova de evasão pode ser mais eficaz para impedir invasores de hoje - e proteger contra novas formas de ataque que certamente serão implantadas no futuro.

Boris Vaynberg, CEO e co-fundador da Solebit

  • Também destacamos o melhor antivírus