Malware-as-a-Service e Detecção de Anexos Maliciosos
Em uma época em que as práticas de Malware-as-a-Service implica em mais elementos responsáveis por desenvolvimento de ameaças do que nunca, e que têm à disposição ferramentas e técnicas capazes de violar as defesas de uma organização, é necessário fazer a detecção em tempo real em relação à toda a cadeia de destruição de ameaças. Nesse contexto, existe um ponto crítico: faz dez anos ou um pouco mais em que o principal vetor utilizado para realizar ataques eram os e-mails. Hoje, eles permanecem na lista das ferramentas preferidas de cybercriminosos para invasões e roubo de dados. Para se ter uma ideia, no ano passado, 81% de todos as mensagens eletrônicas escaneadas pela Websense foram identificadas como maliciosas - resultando em 25% a mais em relação ao ano anterior. Só no último mês do ano de 2014, foram detectados mais de 3 milhões de anexos de e-mails com macros embutidos.
Qualificação de Profissionais
Outro ponto crítico identificado no decorrer desta análise foi em relação à qualidade do profissional contratado para a segurança, porque até o ano de 2017 haverá uma carência de 2 milhões de profissionais especializados em Segurança da Informação, isso de forma global. Além disso, as ameaças internas continuarão sendo um dos principais fatores de risco para o roubo de dados, tanto por ações acidentais quanto por ações maliciosas por parte de funcionários. A Internet das Coisas (IoT, na sigla em inglês), também deverá ser uma questão importante a ser analisada. E junto com ela, as oportunidades de exploração aumentarão de maneira exponencial, já que a previsão é que existirão de 20 a 50 bilhões de dispositivos conectados no mundo até o ano de 2020.
Slow and Low: Nova Categoria de Ataques Cibernéticos
Como sabemos, o cenário atual de ameaças é sustentado fortemente por criminosos não mais motivados apenas pela fama e reconhecimento, mas sim pelas vantagens econômicas ou ou políticas que podem tirar a partir disso. Com incentivos financeiros significativos para a realização de ataques bem-sucedidos, o ataque silencioso é agora um verdadeiro "xeque-mate". Os atacantes estão mais competentes e capacitados, aproveitando-se discretamente das brechas na segurança para ocultar e dissimular a atividade maliciosa, e assim, todos passam a conhecer abordagens que jamais foram vistas. Os ataques "slow and low" (o que significa "Lento e baixo") utilizam o tráfego lento, que parece legítimo em termos de regras e taxas de protocolo, com a intenção de explorar uma falha da segurança. Vale ressaltar que ele não viola qualquer política padrão de rede ou de segurança e assim, acabam passando desapercebidos, voando abaixo do radar das estratégias tradicionais de mitigação. Nesse contexto, foi possível listar cinco técnicas do tipo "slow and low", as quais os criminosos cibernéticos utilizam para conseguir acesso às redes e atingir os seus intuitos e que os profissionais de segurança precisam entender como as mesmas funcionam para defender, de forma mais eficaz, as suas organizações contra essas investidas.- Kits Exploit: no mundo dos corporativo, as empresas vem se esforçando para ganhar um reconhecimento cada vez maior como líderes da indústria. Porém, quando se trata de exploits (pacotes de dados que se aproveitam de vulnerabilidades), o primeiro lugar não é tão pretendido assim, pelo contrário. Os desenvolvedores kits exploit de alto-perfil, como é o caso do "Blackhole", têm sido alvo das autoridades ou tem sido inativados. Como resultado disso, os cybercriminosos estão percebendo que ser o maior e o mais ousado nem sempre é melhor, isso independente do tamanho das infraestruturas maliciosas dos servidores C & C (servidores usados de comando e controle) ou a forma como é realizada a invasão das redes. Ao invés disso disso, os exploits melhor sucedidos são o quarto ou quinto mais comuns. Isso vem caracterizando-se como um modelo de negócio sustentável, já que não atrai muita atenção.
- Snowshoe Spam: essa prática recebeu esse nome por ser muito parecida com uma bota de neve ("Snowshoe"), que deixa uma pegada grande, mas fraca, mais difícil de ser detectada. Através do uso dessa técnica, o atacante espalha um monte de mensagens em uma grande área para evitar a detecção por métodos tradicionais de defesa. O spam Snowshoe envia e-mails em massa não solicitados, com a utilização de um grande número de endereços IP e em um volume baixo de mensagem. Essas atividades vem em uma tentativa de contornar as tecnologias de reputação AntiSpam baseadas em IP. Além do mais, eles rapidamente modificam o corpo do texto, os links, os endereços de IP usados para o envio e sempre variam a combinação para não levantar nenhuma suspeita.
- Spear phishing: dotado de maior sofisticação, através dele os criminosos continuam a aperfeiçoar suas mensagens, muitas vezes usando táticas de engenharia social, e até os usuários mais experientes têm dificuldade em detectar tais mensagens falsas. A última rodada de mensagens de phishing parece vir de fornecedores conhecidos ou prestadores de serviços de quem os usuários geralmente recebem mensagens, como por exemplo serviços de entrega, sites de compras online e provedores de música e entretenimento. Esses e-mails podem incluir um nome de confiança, um logotipo ou um título que pareça familiar aos destinatários, como um aviso sobre uma compra recente ou um número de rastreamento da entrega. Esta construção bem planejada e cuidadosa dá aos usuários uma falsa sensação de segurança, induzindo-os a clicar em links maliciosos que vem contidos no e-mail.
- Compartilhamento de exploits entre dois arquivos diferentes: Os Malware Flash agora podem interagir com JavaScript ao compartilhar um exploit entre dois arquivos e formatos diferentes: um flash e um JavaScript. Isso esconde a atividade maliciosa, tornando-se muito mais difícil a identificação, o bloqueio e a análise do exploit com ferramentas de engenharia reversa. Essa abordagem também torna os criminosos mais eficientes e capazes de ataques mais eficazes. Por exemplo, se a primeira fase de um ataque for inteiramente em JavaScript, a segunda fase, a transmissão do payload (onde encontram-se os efeitos destrutivos do software), não ocorre até que o JavaScript tenha sido executado com sucesso. Sendo assim, somente os usuários que executarem o arquivo malicioso receberão o payload.
- Técnicas de Malvertising: essa é a combinação de malware com advertising que resulta em publicidade maliciosa provenientes dos complementos do navegador: os desenvolvedores de malware passaram a criar um modelo de negócio refinado, usando os complementos (add-on) do navegador Web como um meio para a distribuição de malware e aplicativos indesejados, como pop-ups, por exemplo. Os usuários pagam uma pequena taxa para fazer o download e instalar aplicativos como ferramentas em formato PDF ou players de vídeo, a partir de fontes que eles acreditam serem legítimas. Porém, todos esses aplicativos estão infectados com software malicioso. Essa forma de distribuição de malware está garantindo o sucesso dos desenvolvedores maliciosos, já que muitos usuários confiam inerentemente nesses add-ons ou simplesmente acreditam que sejam benignos. Além do mais, os invasores ganham dinheiro com muitos usuários individuais, com pequenos incrementos persistentemente infectando seus browsers e facilmente se escondendo em seus computadores.
Saiba Mais:
[1] Websense 2015 Threat Report http://www.websense.com/content/webs...at-report.aspx
[2] Segs - Info & TI http://www.websense.com/content/webs...at-report.aspx