• Ataques Drive-by Figuram Entre Grandes Ameaças da Internet

    Com certeza, muitos lembram dos dias em que os programas de conscientização de segurança só precisam avisar aos funcionários sobre o site spoofing. Mas, infelizmente, os métodos de ataque cibernético têm avançado ao ponto onde até mesmo sites bastante confiáveis e muito bem conhecidos podem, silenciosamente, infectar usuários através de ataques de download drive-by. No ano passado, o incidente que ocorreu com o NBC.com foi um bom exemplo dessa ameaça que está em constante crescimento na Internet. Além disso, o surgimento de spear-phishing como método top usado por cybercriminosos para obter acesso não autorizado a dados sensíveis, levou a implementação generalizada de programas de conscientização do usuário final.



    Minimizando os Riscos que Circulam na Grande Rede

    Para minimizar os riscos cibernéticos, é essencial que todos os funcionários dentro de uma organização passem a entender que ambos são um ativo e um passivo potencial de segurança. Depois de instituir esses programas, as chances são muito altas de que a maioria dos funcionários saberá que não deve abrir o anexo de e-mail da "advogada nigeriana", que afirma que eles são beneficiários de uma grande fortuna ou mesmo que não devem, em hipótese alguma, clicar um link de e-mail dizendo ser do seu banco, pedindo-lhes para confirmar suas credenciais de acesso.

    E como grande parte das pessoas sabe (e muito bem), os bancos não costumam mandar e-mails solicitando quaisquer tipos de informações, principalmente se forem altamente confidenciais. A parcela de indivíduos que ainda não tem esse conhecimento, é presa fácil para que os cybercriminosos possam aplicar ser golpes e obter sucesso em suas investidas.


    Alertas Tradicionais Porém Necessários

    No passado, programas de conscientização de segurança foram simplesmente obrigados a se concentrar em phishing e-mail e site spoofing threats, oferecendo as melhores práticas, tais como:

    • Não abrir anexos de pessoas que você não conhece;

    • Não abrir anexos de pessoas que você conhece, mas de quem você não está esperando receber um determinado tipo de arquivo;

    • Não siga links de sites de e-mail de remetentes desconhecidos;

    • Verifique a convenção de nomenclatura do site/link, para melhor garantir que eles estão direcionando-o para um site legítimo.

    Infelizmente, o ataque a uma variedade de sites da NBC no ano passado, comprova que os funcionários não estão mais a salvo de ameaças de malware drive-by, ao visitar sites de boa reputação. No caso do ataque NBC, os cybercriminosos tinham incorporado elementos maliciosos invisíveis em diferentes sites pertencentes à emissora. Para evitar a detecção, esses elementos passaram a se locomover de forma periódica. Portanto, quando um usuário clicar sobre eles, um RedKit recebe um "called" para direcionar o computador com até três diferentes kits exploit, incluindo a kit de ferramentas de crimeware Citadel, que é projetado para roubar informações financeiras.

    O RedKit, inicialmente verificava se o usuário estava executando versões desatualizadas do software ou plug-ins. Se detectado qualquer software desatualizado, a vulnerabilidade era fortemente explorada, com a intenção de instalar software malicioso no computador do usuário.


    Crescimento de Ataques do Tipo Drive-by

    Vale ressaltar que estes tipos de ataques drive-by estão crescendo cada vez mais, porque kit exploits permitem que cybercriminosos possam comprometer sites tão facilmente acessíveis no mercado negro. Eles são muito sofisticados e automatizados, o que torna mais fácil para os cybercriminosos escalarem seus ataques através do maior número de servidores web o quanto possível. Além disso, a crescente complexidade dos ambientes de navegador adiciona à propagação de drive-by downloads. Como o número de plug-ins, add-ons e versões crescentes dos browsers, há mais pontos fracos para crackers explorarem e adicionarem à sua lista de explorações.

    Como resultado, os usuários que simplesmente navegam na Internet podem, inadvertidamente, tropeçar em um site comprometido, o que pode parecer completamente normal. Por uma questão de fato, os cyberataques, muitas vezes especificamente tem como alvo sites muito conhecidos e de alta popularidade, uma vez que os usuários confiam que estes sites estão sendo mantidos livres de malware.

    Além disso, muitos ataques drive-by são lançados após a liberação de novos patches de segurança para aplicações comuns, como é o caso do Acrobat e daqueles que são executados na plataforma Java. Uma vez que os fabricantes lançam um patch, os cybercriminosos usam as informações para a engenharia reversa, revelando a vulnerabilidade subjacente. Como conseqüência disso, os usuários que não atualizam rapidamente seu software continuam altamente vulneráveis ​​a ter seu computador infectado por malware. Isso pode, naturalmente, conduzir a sua informação pessoal identificável que está sendo roubada, às atividades registradas, e seu computador acaba tornando-se parte de uma botnet.


    Desatualização Favorece Ação Cybercriminosa

    Uma vez que muitos usuários não conseguem atualizar o ambiente Java em tempo de execução instalado em seus computadores, erros relacionados ao Java vão se tornando cada vez mais populares e eficazes para que os cybercriminosos possam colocar em prática seus ataques. No início deste ano, os criminosos transformaram os ataques drive-by em um nível mais alto, fazendo um front-ending com robocalls. Esses processos automatizados, pediram que vítimas pudessem visitar o site de um provedor de telefonia sem fio líder norte-americana, ganhando centenas de dólares em recompensas. Desde que o site tinha havia sido comprometido, até mesmo usuários cautelosos foram vítimas, levando a credenciais de acesso roubados.


    Então, o que pode ser feito para minimizar o risco de estas novas técnicas de ataque?

    De maneira bastante lógica, as melhores práticas fundamentais é manter o software em endpoints até à data e também desabilitar o Java, que é um dos vetores de ataque mais populares para muitos cybercriminosos. Além desses passos essenciais, as organizações devem estender seus esforços de realização de diagnóstico. O cracking que aconteceu contra a NBC provou que as medidas tradicionais de segurança de perímetro, muitas vezes não protegem contra ataques drive-by. Dessa forma, a análise post-mortem do ataque mostrou que a versão específica do Citadel que foi usado, só foi reconhecida por três dos 46 programas antivírus disponíveis no momento a partir do Virustotal.com.


    Monitoramento para Evitar Ataques

    Para limitar o risco de ter ataques drive-by de malware plantadas em seus sites, as organizações devem monitorar a carga de suas propriedades de Internet diferentes, o que para as grandes organizações pode, facilmente, tornar-se uma grande empresa. Ao fazer isso, no entanto, é possível detectar os primeiros sinais de um ataque em andamento e tomar medidas para reduzir a ameaça. Desde que os ataques drive-by são considerados apenas uma das muitas técnicas de ataque, o monitoramento de dados de carga útil deve ser parte do programa de diagnóstico contínuo da organização.

    Isto implica em um aumento significativo da frequência das avaliações de dados, e requer automação de dados de segurança através da agregação de informações relevantes e normalização de uma variedade de fontes, tais como informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de ativos, feeds threat e scanners de vulnerabilidade. Por sua vez, as organizações podem reduzir os custos unificando soluções, agilizando processos, criando consciência situacional para expor exploits e ameaças em tempo hábil, e realizar coleta dados de tendências históricas, que podem ajudar na segurança preventiva.


    Ataques Drive-by Pharming

    A Symantec alertou, em janeiro de 2008, que ataques do tipo Drive-by Pharming, assi conceituados incialmente pelos pesquisadores da empresa, foram utilizados por criminosos para alterar as configurações de um roteador popular no México e redirecionar os usuários de um dos maiores bancos do país para um servidor malicioso. Este servidor roubava os dados enviados pelas vítimas.

    O façanha acontecia da seguinte forma: os cybercriminosos enviaram e-mails em massa contendo uma "imagem" que apontava para o endereço local do roteador/modem ADSL. O alvo do ataque foi um equipamento largamente usado no México, que possuá uma falha grave e que facilitou a realização do ataque. Quando um usuário que possuísse este modelo de roteador/modem abrisse o e-mail, a configuração do aparelho era modificada para que os cybercriminosos pudessem controlar o serviço de DNS, que é responsável pela "tradução" em endereços nos quais os computadores podem se conectar.


    Usuários Direcionados para Controle dos Cybercriminosos

    Porém, se o usuário visitasse o site do banco alvo, a interpretação feita pelo servidor malicioso apontava para um computador controlado pelos cybercriminosos. Como resultado, qualquer informação enviada ao banco, sob a perspectiva do usuário, estava na verdade sendo enviada diretamente aos realizadores do ataque. Nesse contexto, o pesquisador da Symantec Zulfikar Ramzan, declarou, na ocasião, que o ataque era fácil de ser realizado. Ramzan disse que ficou muito surpreso pelo ataque ter levado tanto tempo para acontecer, mais de um ano desde a primeira vez que ele percebeu a possibilidade deste tipo de golpe.

    De acordo com as considerações executivas, qualquer modem ou roteador pode ser alvo do Drive-by Pharming. Neste caso, uma vulnerabilidade de segurança no equipamento facilitou com que o golpe fosse bem sucedido. Considerando-se que um equipamento não tenha uma falha deste gênero, apenas é necessário que a senha do modem seja alterada para alguma senha diferente do padrão, e os criminosos não irão conseguir fazer a alteração nas configurações.


    Saiba Mais:

    [1] Security Week http://www.securityweek.com/internet...-drive-attacks

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L