O ponto de entrada de um ataque é uma das etapas mais temidas de uma organização. Por conta disso, muitas empresas investem grande parte do orçamento em soluções preventivas. No entanto, os invasores têm pouco trabalho para contornar essas defesas iniciais, porque as tecnologias são fortemente focadas em ameaças esperadas e conhecidas. É aí que está um grande erro.
Segundo um paper recém-disponibilizado da 451 Research, divulgado pela Arbor Networks, os autores de malware e a comunidade de invasores aprenderam a contornar esses tipos de defesas há quase uma década e dominam bem essa técnica agora. Por exemplo, se um sandbox de malware tiver como objetivo interceptar todos os executáveis do Windows de 32 bits, os invasores ocultarão o executável em um arquivo Java JAR. Se o sandbox começar a inspecionar arquivos JAR, o invasor criará documentos do Office com macros mal-intencionados e instruções instruindo os funcionários para habilitar macros quando elas estiverem desabilitadas por padrão.
Se tudo mais falhar, os invasores usarão uma sessão criptografada, já que a maioria das empresas não inspeciona tráfego criptografado com SSL/TLS. Serviços emergentes que oferecem certificados SSL gratuitos tornam simples para os invasores criptografarem sessões. Existem infinitas maneiras de fugir das defesas de segurança de rede tradicionais.
O outro problema é a pressuposição de que o invasor deve invadir de fora para dentro. A verdade é que muitos invasores trabalham de dentro para fora, por meio de links e anexos de e-mail, bem como ataques de sites da web “drive-by” voltados para as vulnerabilidades em plug-ins e navegadores da web. Os atacantes também focam em usuários fora da segurança relativa do perímetro corporativo, se puderem. É comum que malware use vários estágios ou componentes.
O estágio inicial não se parece com um malware típico, pois sua função é apenas obter o ponto de entrada inicial e fazer download da verdadeira carga útil de malware que faz o trabalho sujo. Esse componente de download tem facilidade em ultrapassar as defesas de rede. É na etapa seguinte que as coisas ficam interessantes. O uso de DNS como um canal para comunicação de malware e até mesmo exfiltração de dados é uma abordagem padrão há muito tempo.
Os cibercriminosos têm tendência a compartilhar e reutilizar TTPs. Se continuarem funcionando, os invasores continuarão utilizando-os. Eles têm, inclusive, manuais detalhados, serviços de suporte de TI e especialistas técnicos e designers gráficos disponíveis para desenvolver uma campanha. Os invasores compilam, compartilham e distribuem instruções, manuais e inteligência.
Os endereços IP de honeypots e crawlers que pertencem a pesquisadores e fornecedores de segurança são compilados e evitados. Sites da web mal-intencionados servirão até mesmo como uma versão benigna de um site mal-intencionado para visitantes que pareçam investigadores, não vítimas.
A mágica da automação também entra em jogo no lado do invasor. Plataformas de ataque automatizado podem gerar automaticamente malware que, com certeza, contornará produtos anti-malware. Os principais fornecedores anti-malware são monitorados e, assim que uma amostra de malware em particular é capturada, sinalizada e analisada, a plataforma sabe revogar automaticamente seu uso e substituí-la por uma amostra nova.
Os defensores, por meio de grupos de compartilhamento de informações, estão cada vez mais percebendo a vantagem de compartilhar inteligência e estratégias, mas ainda têm um longo caminho a percorrer antes de alcançarem uma organização criminosa bem organizada.
