Por que empresas falham tanto ao se prevenirem de ataques?

Atacantes sabem como contornar tecnologias de defesas, geralmente focadas em ameaças conhecidas; estudo revela que cibercriminosos utilizam plataformas de ataque automatizado especializadas em burlar produtos anti-malware

Compartilhar:

O ponto de entrada de um ataque é uma das etapas mais temidas de uma organização. Por conta disso, muitas empresas investem grande parte do orçamento em soluções preventivas. No entanto, os invasores têm pouco trabalho para contornar essas defesas iniciais, porque as tecnologias são fortemente focadas em ameaças esperadas e conhecidas. É aí que está um grande erro.

 

Segundo um paper recém-disponibilizado da 451 Research, divulgado pela Arbor Networks, os autores de malware e a comunidade de invasores aprenderam a contornar esses tipos de defesas há quase uma década e dominam bem essa técnica agora. Por exemplo, se um sandbox de malware tiver como objetivo interceptar todos os executáveis do Windows de 32 bits, os invasores ocultarão o executável em um arquivo Java JAR. Se o sandbox começar a inspecionar arquivos JAR, o invasor criará documentos do Office com macros mal-intencionados e instruções instruindo os funcionários para habilitar macros quando elas estiverem desabilitadas por padrão.

 

Se tudo mais falhar, os invasores usarão uma sessão criptografada, já que a maioria das empresas não inspeciona tráfego criptografado com SSL/TLS. Serviços emergentes que oferecem certificados SSL gratuitos tornam simples para os invasores criptografarem sessões. Existem infinitas maneiras de fugir das defesas de segurança de rede tradicionais.

 

O outro problema é a pressuposição de que o invasor deve invadir de fora para dentro. A verdade é que muitos invasores trabalham de dentro para fora, por meio de links e anexos de e-mail, bem como ataques de sites da web “drive-by” voltados para as vulnerabilidades em plug-ins e navegadores da web. Os atacantes também focam em usuários fora da segurança relativa do perímetro corporativo, se puderem. É comum que malware use vários estágios ou componentes.

 

O estágio inicial não se parece com um malware típico, pois sua função é apenas obter o ponto de entrada inicial e fazer download da verdadeira carga útil de malware que faz o trabalho sujo. Esse componente de download tem facilidade em ultrapassar as defesas de rede. É na etapa seguinte que as coisas ficam interessantes. O uso de DNS como um canal para comunicação de malware e até mesmo exfiltração de dados é uma abordagem padrão há muito tempo.

 

Os cibercriminosos têm tendência a compartilhar e reutilizar TTPs. Se continuarem funcionando, os invasores continuarão utilizando-os. Eles têm, inclusive, manuais detalhados, serviços de suporte de TI e especialistas técnicos e designers gráficos disponíveis para desenvolver uma campanha. Os invasores compilam, compartilham e distribuem instruções, manuais e inteligência.

 

Os endereços IP de honeypots e crawlers que pertencem a pesquisadores e fornecedores de segurança são compilados e evitados. Sites da web mal-intencionados servirão até mesmo como uma versão benigna de um site mal-intencionado para visitantes que pareçam investigadores, não vítimas.

 

A mágica da automação também entra em jogo no lado do invasor. Plataformas de ataque automatizado podem gerar automaticamente malware que, com certeza, contornará produtos anti-malware. Os principais fornecedores anti-malware são monitorados e, assim que uma amostra de malware em particular é capturada, sinalizada e analisada, a plataforma sabe revogar automaticamente seu uso e substituí-la por uma amostra nova.

 

Os defensores, por meio de grupos de compartilhamento de informações, estão cada vez mais percebendo a vantagem de compartilhar inteligência e estratégias, mas ainda têm um longo caminho a percorrer antes de alcançarem uma organização criminosa bem organizada.

 

Conteúdos Relacionados

Security Report | Destaques

De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Na visão de Bruno Moraes, fundador do Cyber Horizon Group, o mercado brasileiro precisa virar a chave da Cibersegurança. Em...
Security Report | Destaques

Gerente do Banco da Amazônia é preso por facilitar fraude cibernética

O mandado foi executado em Santa Inês, no Maranhão, contra um suspeito de facilitar a fraude de R$ 107 milhões...
Security Report | Destaques

Operação conjunta prende dois novos envolvidos no incidente da C&M

A Polícia Federal, juntamente com o Ministério Público de São Paulo, deflagraram a operação Magna Fraus em Goiás e no...
Security Report | Destaques

“A linguagem de risco consiste em dinheiro”, diz CEO da Qualys

Durante a abertura do Cyber Risk Conference Brazil, o CEO da Qualys, Sumedh Thakar, defendeu que traduzir o risco cibernético...