À medida que as tecnologias de segurança melhoram na detecção e bloqueio de malwares e ataques cibernéticos, adversários e cibercriminosos são forçados a desenvolver novas técnicas para evitar a detecção. Uma dessas técnicas avançadas envolve exploits “sem arquivo” (fileless) , onde nenhum arquivo executável é gravado no disco.
Os ataques “sem arquivos” não são novos. Uma pesquisa em 2016, da CrowdStrike, já indicava que 8 em cada 10 ataques utilizam-se destas técnicas para bular os sistemas de antivírus, uma vez que não utilizam arquivos salvos em disco para que os AVs possam scanea-los e determinar se eles são mal-intencionados.
“Oito dos 10 vetores de ataque que resultaram em uma violação bem-sucedida usaram técnicas de ataque sem arquivo“
Artigo da CrowdStrike, aborda este tema e detalha os ataques do tipo fileless e detalha a sua abordagem de proteção. Aqui neste post quero trazer apenas os principais contextos apresentados e o leitor que queira pode consultar o artigo da CrowStrike para mais detalhes.
O que é um ataque fileless?
Um ataque sem arquivo ou sem malware ocorre quando um invasor burla a detecção, eliminando o passo tradicional de copiar um PE (Portable Executable) para a unidade de disco. Existem múltiplas técnicas que podem ser usadas para comprometer um sistema nessa modalidade.
Exploits e kits, que atuam diretamente no manuseio de programas em memória, uso de credenciais roubadas, malwares residentes no Register da máquina e código maliciosos contidos em URLs são exemplos de ataques do tipo fileless . A Verizon em seu relatório “Data Breach Investigations Relatório“, aponta que 81% das violações de dados envolvia senhas fracas, padrão ou roubadas, que permitiu o invasor acessar diretamente o sistema com o perfil do usuário e executasse as ações maliciosas sem ao menos ter baixado qualquer arquivo no sistema infectado.
O artigo cita, relaciona 4 técnicas utilizadas nas diferente etapas de um ataque:
- Comprometimento inicial através de injeção de SQL ou códigos maliciosos
- Comando e Controle utilizando PowerShell e acessos remotos
- Escalada de Privilégios usando script do PowerShell
- Estabelecendo Persistência através de modificação de registro e configurações
Segundo a CrowdStrike os ataques do tipo fileless estão em ascensão porque são extremamente difíceis para soluções de segurança tradicionais detectar, pois :
Legacy antivirus (AV) são projetados para procurar assinaturas de malwares conhecidos. Uma vez que os ataques sem arquivo não possuem malware, há nada para o AV detectar. As análises de aprendizado de máquina e whitelisting envolvem aprender o comportamento e listar bons processos em uma máquina, para evitar que processos desconhecidos sejam executados. O problema com ataques sem arquivos é que eles exploram aplicativos legítimos da whitelist que são vulneráveis
Sandboxing, que pode assumir várias formas, incluindo detonação baseada em rede e micro virtualização. Uma vez que os ataques sem arquivo não usam arquivos PE, não há nada para que a sandbox analisar. Mesmo que algo tenha sido enviado para a sandbox, uma vez que os ataques sem arquivo geralmente sequestram processos legítimos, a maioria das sandboxes o ignorariam.
Em resumo as técnicas tradicionais não são eficientes contra ataques do tipo fileless desta forma devemos abordar este problema de uma forma mais holística nos equipamentos de end-point e junto ao usuário final. Procurando soluções que controlem a execução de códigos ainda em memória e protejam a máquinas de ameaças contidas nos códigos das páginas web infectadas. Soluções de controle de acessos privilegiados também podem mitoogar o risco uma vez que impõe um controle maior nos equipamentos não permitindo acessos críticos a partir da conta do usuário logado.
Veja também:
Como proteger dados sensíveis de ataques de hackers
Especialista Compila Lista de Ataques de 2017
Ataques em Cloud Aumentaram 300%
fonte CrowStrike por Kleber Melo - Sócio Diretor da MindSec Segurança e Tecnologia da Informação
Deixe sua opinião!