0102 - Como a detecção e resposta de endpoints deram origem à caça de ameaças

No passado, uma solução de segurança cibernética baseada em assinatura podia ser usada para proteger sua organização contra malware – com atualizações sendo postadas em um disquete a cada mês. As soluções baseadas em assinatura são muito eficientes e precisas para detectar malware conhecido.

A detecção de assinaturas foi suficiente até as técnicas polimórficas (compactação e criptografia) aumentarem a proliferação de malware, significando que as assinaturas por si só não eram mais suficientes. Com cerca de 300.000 novas amostras de malware sendo detectadas no PandaLabs todos os dias, era necessário mais.

Heurísticas (supondo que um arquivo pareça uma variante de malware conhecido) e análise de comportamento local (sandboxing) são capazes de identificar variantes de malware conhecido. No entanto, essas técnicas são menos precisas e consomem mais recursos no dispositivo local.

Os arquivos suspeitos precisam ser avaliados pela equipe de TI para garantir que nenhum arquivo malicioso seja permitido ou, às vezes, pior: um arquivo legítimo é colocado em quarentena [falso-positivo], potencialmente desativando o sistema. Qualquer coisa que não seja identificada como malware ou suspeita poderá executar – apesar de não ser classificada. Este é um risco enorme.

Essas soluções tradicionais enfrentam ameaças desconhecidas de Dia Zero devido à sua visão isolada da atividade e recursos locais limitados. Isso levou a outra abordagem de segurança cibernética – a simples ideia de classificação de 100%, onde nenhum processo pode ser executado até que seja verificado como sendo um bom software – um serviço de atestado de 100%.

Todas as incógnitas são analisadas e classificadas antes de serem executadas, e todos os arquivos suspeitos são classificados ativamente como malware ou goodware – tudo como um serviço. Como isso acontece?

tecnologia gif - Como a detecção e resposta de endpoints deram origem à caça de ameaças

Panda Security desenvolve um novo paradigma

A partir de 2010, a Panda Security passou 5 anos desenvolvendo um sistema desde o início para incorporar o conhecimento de malware e goodware e aproveitar o poder do aprendizado de máquina para classificar novos executáveis de arquivos. Esta solução tornou-se o Panda Adaptive Defense 360.

Quando encontram um processo que não conhecem, enviam (apenas uma vez) aos laboratórios para serem classificados. Na grande maioria dos casos do PandaLabs, esse é um processo automatizado (99,999%). No restante, trabalham com uma equipe de analistas de segurança que inspecionam e classificam manualmente, criando regras para a melhoria contínua de detecções automáticas.

O valor desse círculo virtuoso de 100% de atestado foi confirmado pelo diretor técnico do PandaLabs, afirmando: “O malware baseado em arquivo está sob controle”. Portanto, o risco de infecção por malware baseado em arquivo é reduzido a zero (bem, quase; não existe 100% de segurança).

Essa classificação automática reduziu enormemente a necessidade de classificação manual. Então, o que os especialistas da PandaLabs estão fazendo agora?

O malware baseado em arquivo é apenas um dos muitos vetores de ataque

Quando a Panda Security começou a desenvolver a tecnologia para fornecer 100% de classificação, em 2010, ela forneceu as informações contextuais para reconhecer e classificar uma vasta gama de atividades potencialmente anômalas nos endpoints (que escapam às técnicas tradicionais) e fornecer ações corretivas ou acionar alertas se eles justificassem investigações adicionais.

Esse tipo de solução de segurança foi nomeado Endpoint Detection and Response em 2013 e foi reconhecido pelos principais analistas como um dos avanços mais significativos feitos pelos fornecedores de segurança de endpoint. Para detectar esses tipos de ataques, você precisa de visibilidade completa de todos os processos que ocorrem em cada nó de extremidade.

Uma busca ativa por ameaças cibernéticas

Em vez de responder de forma reativa às ameaças de malware, os analistas de segurança estão se engajando ativamente na caça às ameaças. Usando as informações coletadas em seus 30 anos de experiência no setor, eles procuram novas ameaças e executam hipóteses contra os dados coletados por meio da solução EDR para verificar sua legitimidade. Uma vez comprovada, cada nova técnica de detecção se soma às centenas existentes no Serviço Automático de Caça e Investigação de Ameaças ( Threat Hunting & Investigation Service – THIS).

THIS – Regras automáticas incluem atividades como:

  • Ataques de força bruta RDP
  • PowerShell com parâmetros ofuscados
  • Interação do Active Directory
  • Programas compilados localmente
  • Documentos com macros ou links da Internet
  • Modificação do Registro para executar quando o Windows iniciar
  • Injeção de código de processos legítimos. Um exemplo disso foi incluído no patch mais recente da Microsoft, em que o bloco de notas foi usado para iniciar um shell de linha de comando com privilégios no nível do sistema.
  • Aplicação e perfil de usuário, e detecção de desvios em seu contexto de execuções para detectar anomalias (por exemplo, este usuário nesta máquina nunca executou esse tipo de ferramentas …)

THIS – emite aos clientes alertas sobre qualquer comportamento anômalo, com o apoio da equipe técnica para remediar e aumentar a resiliência cibernética.

Se um invasor quiser entrar na sua rede e tiver tempo e recursos suficientes, acabará tendo êxito. Não se trata de SE eles podem acessar sua rede, mas QUANDO.

Isso pode ocorrer através de vários métodos:

  • Vulnerabilidades não corrigidas
  • Ataques de phishing de engenharia social
  • Ataques de força bruta do RDP
  • Wi-Fi – Dirija a guerra à rede Wi-Fi da sua empresa ou a um ponto falso de Wi-Fi em uma cafeteria
  • Dispositivo USB malicioso conectado ao computador
  • Documentos armados – macros ou conteúdo habilitado para Internet

Depois que o hacker estabelece uma conexão de ponte, existem vários objetivos, incluindo:

  • Poder – escalonamento de privilégios
  • Persistência – estabelecendo um backdoor para acesso contínuo
  • Exploração – identificação do alvo
  • Movimento – lateralmente na rede
  • Objetivo – Roubo de dados / credencial ou criptografia de dados [ransomware], destruição / negação de serviço, rede de bots ou criptografia.

Como desarmamos o hacker de usar malware baseado em arquivos, esses objetivos são alcançados usando as técnicas de Living-off-the-Land (LotL), nas quais o hacker usa software legítimo já instalado (como o PowerShell e o Active Directory) por conta própria para fins maliciosos.

Exemplo:

  • Alguém recebe um e-mail e o destinatário é enganado em “habilitar o conteúdo”, na verdade, desabilitando a segurança de macros.
  • Depois disso, é feito o download de um script, que invoca o PowerShell e a ferramenta de exploração Mimikatz para obter as credenciais necessárias para pesquisar na rede o destino, nesse caso, dados.
  • Uma pesquisa na rede encontrou os dados necessários e duas outras ferramentas legítimas – Socat & TOR foram usadas para transferir e extrair os dados.
  • Nesse caso, nenhuma vulnerabilidade foi explorada, nenhuma URL maliciosa foi usada e nenhum arquivo malicioso estava no disco para verificação.

Muitas empresas têm dificuldade em lidar com esses ataques de Living-off-the-Land, porque suas defesas tradicionais não são capazes de lidar com eles. Você precisa de visibilidade completa para ver ações em seus contextos para poder identificar essas ameaças.

Recomendações

Para manter sua empresa segura, há certas medidas vitais que devem ser tomadas. O primeiro é corrigir todos os sistemas para fechar qualquer vulnerabilidade que possa ser usada pelos invasores. O próximo passo é educar todos os usuários sobre os riscos cibernéticos enfrentados pela organização e compartilhar protocolos para lidar com qualquer incidente. A proteção de dados é essencial nos dias de hoje, uma vez que roubar esse ativo vital costuma ser um dos principais objetivos dos ciberataques. Por fim, todos os sistemas devem ser protegidos com a tecnologia EDR para garantir que todos os terminais se beneficiem