Ultimamente, você pode ter ouvido falar sobre ataques baseados em memória, ataques sem arquivos e ataques de subsistência (living-off-the-land attacks). Se assim for, é excelente que você se mantenha atualizado. Todos esses termos se referem à mesma coisa. Como sugerem os nomes, trata-se de um ataque à memória do sistema, tanto à ROM quanto à RAM.
Por que agora?
Os atacantes estão usando cada vez mais esse tipo de ataque porque funciona. É menos detectável pelos mecanismos antivírus (AV) e até mesmo por algumas soluções AV de última geração. Por causa disso, os cibercriminosos que usam essa técnica têm mais chance de ter sucesso em sua missão, que é roubar seus dados – sejam credenciais, segredos corporativos ou recursos de computação.
Como esse ataque funciona
Esse tipo de ataque se concentra em obter instruções ou dados fora da memória, em vez de nas áreas de foco tradicionais, como os diretórios do disco ou chaves do registro. A maneira como esse ataque é normalmente executado é a seguinte:
Etapa 1: um script ou arquivo chega ao endpoint. Ele evita a detecção porque parece um conjunto de instruções, em vez de ter recursos típicos de arquivo.
Etapa 2: essas instruções são carregadas na máquina (vamos explicar onde e como mais tarde).
Etapa 3: depois de executadas, elas trabalham usando as próprias ferramentas e recursos do sistema para realizar o ataque.
Exemplos de ataque
Um exemplo comum desse ataque usa uma combinação de macros do Word: Powershell, Meterpreter e Mimikatz. Essas ferramentas nativas, bem como aplicativos da Web, são executadas na memória e possuem alto nível de direitos de execução.
Acontece da seguinte maneira: um usuário recebe por e-mail um documento do Word contendo macros que solicitam ativação após a abertura do documento. As orientações das macros entram em contato com um servidor Command and Control (C2) para baixar um script, que permite que o Powershell faça um segundo download do Meterpreter e do Mimikatz (ambos aplicativos com usos legítimos) para começar a localizar e enviar credenciais ao servidor C2. Uma carga do malware também pode ser baixada, o que pode ser capturada por uma boa solução antivírus de próxima geração.
Talvez o usuário acesse um site e seja solicitado a executar o Flash, que geralmente apresenta algum tipo de vulnerabilidade. Depois que o usuário o habilitar, o Flash comprometido poderá enviar o código de shell ou as instruções para o endpoint do usuário, para ser executado na linha de comando e na memória sem o conhecimento da vítima.
Como esses ataques são baseados em orientações da própria máquina e no uso de aplicativos locais, fica mais fácil entender de onde vêm os nomes “sem arquivo” e “de memória”.
Como deter esses ataques hoje
É possível, no entanto, evitar esses ataques, sendo vigilante:
– Manter-se atualizado sobre patches;
– Bloquear sites que executam Flash, Silverlight ou Javascript, ou bloquear a exibição desses softwares em sites que solicitem sua ativação;
– Restringir o uso de macros em documentos.
Infelizmente, alguns desses métodos não são realistas para seus usuários, principalmente quando estão tentando trabalhar, mas são opções legítimas.
Você também pode detectar manualmente esses tipos de ataques, se notar um tráfego estranho usando seu software de SIEM (security information and event management, ou gerenciamento e correlação de eventos de segurança, em português) – supondo que você tenha um. Você pode ainda usar seus firewalls para inspecionar o tráfego. A utilização de ambos os métodos como sua estratégia de detecção envolve a integração de inteligência de ameaças externas de alta qualidade e regras para detectar a execução interna de aplicativos.
Você também pode investigar os eventos manualmente ou realizar varreduras diárias com uma ferramenta de análise da memória. Como sugestão, a Volatility Foundation tem software de código aberto altamente renomado.
Como deter esses ataques amanhã
Se você acha que isso parece um monte de trabalho que exige vigilância constante e talento, você tem razão. E discutimos apenas dois exemplos de técnicas de ataque de toda a matriz Mitra ATT&CK, que possui dezenas de técnicas diferentes. É importante, no entanto, entender a grande quantidade de esforço manual necessário para comparar com o que acontece quando essas ações podem se tornar automatizadas e mais eficientes.
Outra opção para detectar e interromper esses ataques é obter um produto de detecção e resposta de endpoint (EDR) com ações automatizadas em um mercado muito concorrido neste momento, com palavras que soam muito semelhantes. É por isso que é muito importante informar-se sobre o que sua organização precisa e se um fornecedor pode atender a essas necessidades com rapidez, facilidade e eficácia.
Independentemente de como você implementar sua estratégia de segurança, é importante que tenha consciência desse tipo de ameaça e informe-se sobre suas possíveis opções para interrompê-la.
Ao pesquisar suas opções, não deixe de fazer perguntas detalhadas sobre como cada solução funciona, incluindo quais ações automatizadas elas oferecem e quão avançadas são suas detecções e ações. E lembre-se: o objetivo das soluções de um fornecedor é melhorar o tempo de resposta de um analista e de sua equipe, não aumentar a quantidade de trabalho deles.
* Josh Fu é engenheiro de segurança da Cylance
