• Bloqueio de Exploits Zero-Day: Uma Nova Abordagem Preventiva

    Os cibercriminosos continuam a desenvolver novos métodos para contornar os mecanismos de segurança, com a má intenção de instalar malware em endpoints corporativos. A mais recente descoberta Advanced Threat Persistent (APT), o Trojan.APT.BaneChant, usa técnicas de evasão múltiplas para contornar algumas das novas abordagens de detecção que estão sendo utilizados. Em primeiro lugar, o malware evita máquinas virtuais e passa a executar a segunda etapa do ataque após uma atividade ameaçadora às suas ações ser detectada. Isso permite que o malware possa escapar de vários mecanismos de detecção comuns, incluindo sandboxing, a execução da máquina virtual e sistemas de análise automática de malware.

    O malware, então, faz o download de um arquivo malicioso com extensão .JPG, com a intenção de para comprometer o dispositivo do usuário final e abrir a comunicação com o centro de comando e controle, a fim de roubar dados confidenciais. Este é outro exemplo de um ataque direcionado, que explora a fraqueza maior das empresas - aplicações de terminais vulneráveis. O ataque explora vulnerabilidades em aplicações de estações de trabalho para introduzir o malware, que então, permite a progressão do ataque. Ao bloquear o exploit, o ataque inteiro pode ser interrompido.


    Mas isso não pode ser feito com soluções de blacklist, como vimos com as recentes violações contra o New York Times, Washington Post e Wall Street Journal. Como a maioria dos ataques direcionados explora vulnerabilidades zero-day, uma solução eficaz deve ser capaz de bloquear o ataque sem saber nada sobre a vulnerabilidade alvo ou o malware usado na ação.


    Proteção Endpoint Contra Ação de Malware

    Uma abordagem sobre proteção endpoint que fornece tanto a eficácia e a capacidade de gerenciamento, deve começar com uma compreensão dos vetores de ataque que exigem mitigação. Malware pode comprometer dispositivos de usuário final de várias maneiras. Por exemplo, o malware pode instalar silenciosamente através da exploração de uma aplicação ou vulnerabilidade do sistema operacional, que pode ser baixado pelo usuário final através de engenharia social ou pode ser pré-instalado no dispositivo. Portanto, as empresas precisam tomar as medidas preventivas para evitar roubo de informações.


    Novas Camadas de Segurança

    Stateful Application Control é uma nova abordagem para proteger dispositivos contra ações de malware, direcionadas para roubo de dados avançado. Ele combina dois componentes importantes: o primeiro é projetado para impedir a instalação de malwares no dispositivo e o segundo, é projetado para evitar a execução das pragas no dispositivo. A primeira camada, a prevention exploit aplication, implementa whitelisting ao invés dos próprios aplicativos. Este método evita a exploração de vulnerabilidades de aplicativos e a introdução de malware para o sistema de arquivos do computador.

    Ao analisar estados de memória de aplicações durante as operações normais, esta abordagem mapeia os estados legítimos de aplicações específicas, como navegadores, Adobe, Flash e Java, quando estas aplicações são escritas para o sistema de arquivos. Por exemplo, um "state aplication" legítimo ocorre quando um usuário salva uma planilha para disco, ou quando o aplicativo atualiza o seu código. A criação de arquivos executáveis ​​que ocorrem fora de um estado de aplicativo legítimo, como acontece quando exploits tentam instalar malware, são impedidos.

    A prevention exploit aplication permite maior estabilidade na segurança de terminais, de forma mais eficaz e controlável do que as abordagens tradicionais de controle de aplicativos. Isto porque há estados de aplicação muito menos estáticos e que exigem um maior processo de análise e manutenção, em comparação com o grande número de arquivos de aplicativos que as abordagens de controle aplicativos devem fiscalizar e gerenciar.

    No caso em que o malware é um elemento capaz de instalar em um dispositivo de ponto final, uma segunda camada e diferente de proteção devem ser implementadas para evitar que o malware de realizar seu objetivo de roubar informações. Este mecanismo também utiliza o conceito de whitelisting e os aplica aos states data exfiltration. Em outras palavras, há um monitoramento e é permitida a comunicação legítima, a ser transmitida a partir do dispositivo endpoint.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/article.php?id=1824&p=2

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L