A Sophos revelou uma nova defesa contra cibercriminosos que tentam escapar da detecção carregando malwares fileless, ransomwares e agentes de acesso remoto na memória temporária de computadores comprometidos.
Na pesquisa chamada “Código secreto enfrenta vários problemas na memória”, os especialistas da Sophos detalham como descobriram que o código de ataque secreto é injetado diretamente na região dinâmica “Heap” da memória do computador e, em seguida, tenta obter um adicional com direitos de execução de código, comportamento que não é visto em softwares comuns. A partir disso, os pesquisadores desenvolveram uma nova proteção que é acionada sempre que esse comportamento de alocação de memória “Heap” é detectado.
A defesa, chamada Dynamic Shellcode Protection, tornará significativamente mais difícil para os cibercriminosos usarem a memória como parte de seu arsenal de técnicas de evasão de defesa.
Como a Sophos relatou recentemente em uma série de artigos sobre a realidade do ransomware Conti, a memória dos computadores comprometidos é um esconderijo popular para cibercriminosos que procuram esconder sua presença dos defensores enquanto carregam e executam os agentes de acesso remoto que servirão para facilitar o resto do ataque. No caso do Conti, o agente de acesso remoto utilizado foi o Cobalt Strike.
“Impedir que cibercriminosos se apoderem de uma rede comprometida é o objetivo dos defensores em todos os lugares”, comenta Mark Loman, Diretor de Engenharia da Sophos. “Essa meta é crítica porque, uma vez que o agente de acesso remoto foi instalado, ele pode facilitar a maioria das táticas adversas ativas que ocorrem durante o ataque. Isso inclui execução, acesso a credenciais, escalonamento de privilégios, descoberta, movimento lateral, coleta, exfiltração e liberação do ransomware”, explica Loman.
A Dynamic Shellcode Protection é baseada no fato de que o código, como os aplicativos, são armazenados em regiões da memória que têm direitos de “execução”, o que permite que os aplicativos sejam executados. No entanto, eles geralmente precisam de algum espaço de trabalho adicional e temporário na memória, por exemplo, para descompactar ou armazenar dados. Essa área de trabalho variável é comumente chamada de memória “Heap”.
“O código destinado ao uso malicioso evita a detecção por ser fortemente ofuscado, compactado e carregado diretamente na memória. A memória do computador não é verificada rotineiramente por ferramentas de segurança, de modo que mesmo quando o código é descoberto e descompactado para ser executado, sua presença muitas vezes não é detectada. A Sophos identificou uma característica — alocação de memória Heap — que é típica em agentes de acesso remoto de vários estágios, além de outro código de ataque carregado na memória e, por isso, desenvolveu uma proteção contra isso”.
Na maioria dos ataques cibernéticos, no entanto, o carregador de um agente de acesso remoto é injetado diretamente na memória Heap. Em seguida, ele precisa obter mais memória executável do Heap para acomodar as necessidades do agente de acesso remoto de entrada. Isso é conhecido como comportamento de alocação de memória “Heap-Heap”.
Nesse cenário, os pesquisadores da Sophos perceberam que tal comportamento era um indicador claro de atividade potencialmente suspeita e projetaram uma proteção prática que bloqueia a alocação de permissões de execução de uma memória Heap para outra. Ao fazer isso, a proteção pode interceptar muitos ataques cibernéticos envolvendo agentes de acesso remoto, malwares fileless e ransomwares, ao mesmo tempo em que é compatível com aplicativos normais.
“A nova proteção não pretende ser uma solução mágica para todos os ataques, mas significa que os adversários enfrentam um novo obstáculo que bloqueia um comportamento fundamental de seu código furtivo. Esperamos que isso torne o trabalho dos cibercriminosos mais difícil e complicado. A Dynamic Shellcode Protection não depende da nuvem ou do aprendizado de máquina. Como tal, representa uma mudança de paradigma na batalha contínua contra muitos malwares ofuscados e agentes de pós-exploração entregues por memória, incluindo Cobalt Strike Beacon”, comenta Loman.
