Método de Intrusão e Uso do Malware de Espionagem "Hammertoss"
A partir daí, a pessoa pensa e diz o seguinte: "eu posso sentir, ver e tocar a porta dos fundos da minha casa, pois eu sei onde ela fica". Mas, quando falamos a respeito de mundo cibernético, vem a indagação sobre o que seria, de fato, um backdoor. Muito bem. Um "backdoor" é um método comum de intrusão que oferece um caminho que leve um atacante até um sistema de computador. É um agente facilitador para atividades maliciosas contra um sistema. Quando explorado com êxito, ele permite que um intruso possa ter acesso ao seu sistema de computador e enviar e receber dados à vontade, incluindo os dados da sua empresa e seus dados pessoais. Além disso, um backdoor pode ser colocado em um sistema para utilização temporária ou a longo prazo. Eles normalmente se disfarçam de processos legítimos e podem ser configurados para ficar em atividade durante um período de tempo em que são considerados como uma "Ameaça Avançada Persistente" (APT), onde a ameaça muda de um sistema para outro, tornando-se difícil de controlar. Um exemplo disso é o grupo APT29, que utiliza o malware recém-descoberto "Hammertoss", voltado para espionar suas vítimas. No mundo de hoje, é imperativo que os engenheiros de segurança e profissionais de TI implantem, implementem e mantenham produtos de software/hardware que imitam uma boa equipe de oficiais de segurança física a partir de um cenário no qual eles estão sempre observando, protegendo e alertando quando intrusos ou suspeitos tentarem ou parecerem ter comprometido a infraestrutura crítica de um sistema.
O que é Necessário Fazer
De forma lógica, sabemos que não é possível proteger uma infra-estrutura de dispositivos variados interligados sem saber o que existe nela e como esta funciona, como está conectada e como a sua comunicação é estabelecida. Portanto, uma descoberta completa sobre essa infraestrutura e saber qual é exatamente o seu perfil, é o primeiro passo na construção de um modelo de segurança gerenciável e funcional.
Etapas mais Comuns no Processo de Implementação da Segurança e Proteção
- Hardening Systems/Aplicações através de uma orientação regulamentar ou política específica
- Manutenção de um estado consistente/persistente de existência - uma base sólida
- De instrumentos de detecção de ameaças que alertam quando alguma coisa sofre alteração ou quando existem tentativas de alterar esse estado, de forma persistente
- A avaliação da vulnerabilidade e processo de gerenciamento
- Um sistema de gerenciamento com patches sólidos e eficácia comprovada
- Detecção Anti-Virus em todos os endpoints
- Soluções de auditoria log Management/SIEM
Descoberta Diária de Vulnerabilidades em Sistemas e Aplicações
Voltando a esse "fantasminha" chamado "backdoor", é importante ressaltar que novas vulnerabilidades em sistemas e aplicações informáticas são descobertos diariamente. Como resultado disso, os fabricantes resolvem criar patches para tentar corrigir essas falhas, que muitas vezes, são de alta gravidade. Infelizmente, nem todos os sistemas conseguem ter suas vulnerabilidade corrigidas em tempo hábil, deixando os usuários expostos aos perigos que os atacantes trazem. Em outros casos, é o atacante que explora um até então desconhecido backdoor, que faz com que alguns patches de emergência precisem ser liberados. E um dos métodos mais comuns o cybercriminoso vai usar para finalmente explorar uma falha de rede é o que é chamado de "port-scan." Com a utilização de ferramentas prontamente disponíveis na Internet, um intruso irá procurar uma rede para avaliar quais portas e protocolos estão abertas e assim, ele possa entrar. Com essa informação, eles vão utilizar técnicas já conhecidas ou podem muito bem desenvolver novas técnicas (bad-code) para conseguir descobrir quais as "armas" de proteção utilizadas e assim, conseguir dar um bypass nas mesmas.
Indicadores de Comprometimento
Em meio aos perigos de intrusão e possíveis explorações de falhas, vem a pergunta: Como posso proteger a infra-estrutura pela qual eu sou responsável? E se alguém obtiver acesso a ela? Como eu vou saber se houver essa invasão? Quais são os "Indicadores de Comprometimento"? Para os fins deste artigo, o autor resolveu focar no que ele considera ser alguns dos comprometimentos mais negligenciados que ocorrem: ports, processos, usuários e código. Como mencionado anteriormente, é imperativo que os engenheiros de segurança e profissionais de TI possuam um "known good state recorded of their systems". Naturalmente, esse status não precisa ser mantido, atualizado e monitorado por desvios. A partir da utilização de uma solução de segurança que utiliza uma exibição em um scrennshot, será possível notar vários itens que tenham indicado e alertado sobre as alterações a partir do "status" desejado.
- Minha lista de usuários locais válidos mudou, e uma nova conta de usuário local foi criado.
- Minha lista de software permitida mudou, e um novo software foi implantado pelo "novo usuário".
- Minha lista de "listening ports" permitidos mudou, e agora tenho uma nova
- Minha lista de processos permitidos mudou, e agora tenho um novo processo em execução.
- Minha lista de ports estabelecidos teria sofrido algum comprometimento, e alguém/algo está ligado ao meu computador.
Saiba Mais:
[1] Tripwire http://www.tripwire.com/state-of-sec...-you-prepared/