• Combatendo Novas Ameaças: Propagação de Malware Disfarçado de Publicidade

    Os gastos com publicidade na Internet tem superado todas as outras formas de mídia, de acordo com os relatórios mais recentes divulgados pela Nielsen. Juntos, a exibição de publicidade mundial na Web, o acesso a Internet móvel e a utilização de aplicativos, cresceu em torno de 32,4% apenas no ano de 2013 - sendo este, de longe, o maior aumento relacionado a qualquer tipo de mídia. Além disso, a publicidade na Internet é importante porque permite que as pessoas passem a consumir, livremente, a grande maioria dos produtos que estiverem disponíveis na Web.


    Oportunidades com a Publicidade na Web

    Se esse modelo fosse para implementação de mudanças ou se as pessoas parassem de confiar em publicidade na Internet por completo, as repercussões para a Internet poderia registrar números bem maiores. Mas, assim como os anunciantes veem grandes oportunidades para atingir os seus objetivos com anúncios na grande rede, os cybercriminosos vem oportunidades semelhantes, logicamente, agindo na contramão da legalidade.




    Práticas de Malvertsing Sendo Fortemente Propagadas

    "Malvertising", o tipo de publicidade on-line que vem sendo muito usada para espalhar malware, está se tornando mais prevalente. Apoiada pela economia cybercriminosa que se formou em torno da cadeia de ataque, esta prática tornou-se cada vez mais fácil para os adversários terem acesso às ferramentas que precisam para lançar estas campanhas altamente segmentadas. Por exemplo, um malvertiser que quer atingir uma população específica de cada vez -como fãs de futebol assistindo a um jogo de Copa do Mundo, pode transformar um legítimo "ad exchange" legítimo em uma porta aberta para alcançar o seu objetivo.

    Da mesma forma, os anunciantes legítimos, que entram em contato com empresas, são agentes facilitadores para as trocas de anúncios. Eles vão pagar adiantado pela publicidade, talvez cerca de US$ 2.000 ou mais por anúncio em um determinado prazo, e instruir as empresas para contabilizar esse intercâmbio publicitário, para que os anúncios sejam oferecidos o mais rápido possível, deixando pouco ou nenhum tempo para que o conteúdo do anúncio seja inspecionado.


    Infecções Ocorrem sem Necessidade de Cliques nos Anúncios

    As vítimas das ações de Malvertising, estão sendo infectadas com malware no curso de sua navegação na Internet normal, mesmo sem clicar no anúncio e, portanto, não há a mínima idéia de onde ou como elas foram infectadas. Estes ataques drive-by sobre os visitantes de alto perfil, a partir de sites legítimos, são praticamente impossíveis de serem detectados pelos usuários. Os visitantes do site, são redirecionados para sites que hospedam kits exploits que o adversário tem alugado ou comprado. Estes kits liberam um dropper nos sistemas dos usuários, e passa a infectar sistemas vulneráveis​​.

    O problema não é identificar apenas os seus métodos de infiltração furtiva, mas a fonte de onde vem os ataques (o que é quase impossível). Em face de todos esses problemas, como podem os profissionais de segurança ajudar a evitar que esses ataques sejam bem sucedidos? Se formos falar sobre os gateways Web, eles estão se tornando um componente cada vez mais importante para qualquer estratégia de segurança cibernética. No entanto, gateways Web seguros convencionais operam em um ponto no tempo - ou seja, "one shot" para detectar as investidas e parar o tráfego.


    Detecção de Ataques Avançados

    Ataques avançados não ocorrem em um único ponto no tempo, por isso, enquanto a visibilidade e bloqueio no ponto de entrada é importante, não é suficiente. Estes ataques estão em curso e requerem um exame contínuo. Ao avaliar gateways web seguros, profissionais de segurança devem identificar soluções que incluem uma série de verificações em todo o ciclo de ataque total - antes, durante e depois de um ataque - para que haja uma proteção mais eficaz.

    Antes de um ataque - os defensores precisam ter um nível de consciência abrangente, além de maior visibilidade para implementar políticas e controles para defender o meio ambiente. Filtragem de URL e filtragem de reputação Web, são as primeiras verificações durante esse processo. Com a filtragem de URL, os administradores do sistema podem definir políticas para bloquear sites maliciosos conhecidos, mas também podem bloquear categorias de URLs com base no conteúdo, por exemplo, permitindo notícia, mas o bloqueio de todos os anúncios que puderem surgir com ela.

    Para aqueles que estiverem preocupados com o impacto que isso pode causar na experiência do usuário, o bloqueio de todos os anúncios de outras camadas de segurança pode ser adicionado. Semelhante a dar a um web site uma pontuação de crédito, a filtragem relacionada a reputação fornece outra camada de proteção. Ele aproveita a vasta quantidade de dados, incluindo o período de tempo em que o domínio esteve livre de malware, para atribuir uma reputação de um URL. Quando um usuário solicita uma página Web, a reputação é solicitada e com base em políticas pré-definidas, é tomada uma decisão sobre como ele deve ser tratado.

    Dessa forma, trabalhando juntos, os processos de filtragem de URL e filtragem de reputação ajudam bastante com referência aos ataques de Malvertising. Entretanto, os ataques são incrivelmente furtivos e os criminosos que os desencadeiam ainda podem ter sucesso em suas investidas.

    Durante um ataque - no que diz respeito à defesa, esta deve disponibilizar a capacidade de detecção, de forma contínua, e bloquear as ações de malware. Se o conteúdo da Web que o usuário solicitou passou pela filtragem de URL e filtragem de reputação, a verificação de malware em tempo real deve ser intensificada. Antes do conteúdo ser entregue ao usuário, o arquivo é verificado em relação a vários parâmetros, incluindo a inteligência de ameaças mais recentes, e bloqueado, caso seja encontrado para malware. Se a disposição ainda é desconhecida ou não confiável, é executado em um sandbox, um ambiente bem controlado e vigiado caso seja detectado comportamento suspeito ou malicioso.

    Se a análise que provem do sandbox for maliciosa, o administrador é notificado para tomar medidas cabíveis e as defesas são atualizadas para proteger contra futuros anúncios semelhantes. Dessa forma, a tecnologia Sandbox pode mitigar o risco, mas não removê-lo totalmente; portanto, os ataques continuam sendo projetados para evitar a deteção via sandbox.

    Depois de um ataque - devido ao fato de algumas ameaças avançadas ainda penetrarem redes, os defensores precisam de proteção que inclui uma "retrospective security". A questão da retrospectiva de segurança continua a rastrear arquivos e analisar o seu comportamento em tempo real (Global Threat Intelligence). Assim, caso um arquivo seja mais tarde identificado como malicioso, a "retrospective security" também pode determinar o alcance do ataque para que os defensores possam conter, rapidamente, a ameaça e em seguida, remediá-la. As várias camadas de defesas são, então, atualizadas com as últimas informações, de modo que um ataque do tipo "malvertising", semelhante, seja bloqueado no futuro.


    Malvertising e a Prevalência pelo Nível de Sofisticação

    As práticas de Malvertising afetam todos os usuários da Internet e passam a funcionar como um disruptor para a economia na Web. Ele ressalta a sofisticação da economia cybercriminosa moderna em termos da divisão do trabalho, a cooperação e a especialização em toda a cadeia de ataque. Além do mais, ele também ressalta a necessidade de uma abordagem de segurança que trata sobre o contínuo processo de ataque. Com a visibilidade permanente e maior controle, além da implementação de ações atualizações inteligentes e contínuas, os profissionais de segurança podem tomar medidas para dar um freio nessas práticas nefastas.


    Considerações Executivas

    Todas as informações divulgadas nesta publicação, tiveram base na experiência do executivo Marc Solomon, vice-presidente de Marketing de Segurança da Cisco. Ele possui mais de 15 anos de experiência em termos de gerenciamento de software e plataformas de software-as-a-service para operações de TI e segurança da área. Anteriormente, ele foi responsável pela estratégia de produtos, roadmaps e direção de MaaS360 (software on-demand) de Operações de TI da Fiberlink e serviços gerenciados de segurança.

    Antes da Fiberlink, Marc foi Diretor de Gestão de Produtos da McAfee, responsável por liderar um portfólio de produtos de $650M. ele também ocupou vários cargos de alto escalão na Everdream (que foi adquirida pela Dell), Deloitte Consulting e HP. Além disso, Marc tem bacharelado pela Universidade de Maryland, e MBA pela Universidade de Stanford.


    Saiba Mais:

    [1] Security Week http://www.securityweek.com/combatin...rtising-surges

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L