Atualizado: 29 de dez. de 2022
No Relatório de Ameaças deste mês, pedimos a especialistas de nossa equipe de Detecção e Resposta Gerenciada (MDR) para discutir a caça a ameaças, como ela é usada para defesa proativa, bem como alguns dos equívocos mais comuns. Também mergulhamos nas últimas descobertas de Ransomware de nossos laboratórios.
Informações MDR
Vulnerabilidades de EDR
Uma vulnerabilidade recente conhecida como Aikido demonstrou como algumas tecnologias EDR podem ser usadas como limpadores de dados nos hosts instalados. Yair, pesquisador de segurança da SafeBreach, divulgou a prova de conceito na conferência Blackhat de 2022, mostrando como o acesso de usuário não privilegiado pode manipular um sensor EDR para apagar arquivos no sistema. O Bitdefender foi uma das soluções testadas e não foi considerado vulnerável a este ataque. No entanto, como os sensores EDR se tornaram uma tecnologia de segurança amplamente aceita, isso significa que cada host possui uma tecnologia singular que pode ser usada ou evitada em um ataque. Recursos adicionais dos sensores EDR, como acesso remoto ao shell, recursos de isolamento ou mesmo recursos preventivos, seriam muito procurados por invasores que procuram usar ferramentas nativas.
Os invasores estão procurando maneiras de derrotar os recursos de EDR ou mascarar seu comportamento o suficiente para passar despercebido. Em um exemplo, o grupo de ransomware Blackbyte usou o CVE-2019-16098 para carregar o driver limpo e, em seguida, usou esse driver confiável para desativar as rotinas de retorno de chamada usadas pelas ferramentas EDR. O mesmo grupo também usou outras técnicas de desvio de EDR para desativar o provedor ETW Microsoft-Windows-Threat-Intelligence. As táticas do Blackbyte os mostraram interagindo ativamente com os recursos de EDR para limitar ou interromper sua capacidade de detectar e relatar atividades que estão acontecendo no host infectado. Se um grupo estiver usando, é provável que mais estejam usando ou desenvolvendo táticas semelhantes, provando que os invasores estão tomando medidas ativamente para reduzir os recursos de EDR.
A pilha de segurança do Bitdefender foi projetada para ser resiliente, com várias camadas de segurança sobrepostas. Os principais mecanismos antimalware verificam qualquer novo driver salvo no disco e o comparam com o banco de dados de drivers vulneráveis conhecidos. O alerta é gerado se um driver vulnerável conhecido for escrito de maneira suspeita. Mesmo que um sensor EDR seja desligado, existem sensores e tecnologias adicionais que podem detectar e relatar adulterações. Uma importante proteção é fornecida pelo Advanced Threat Control (ATC), detecção em tempo real que monitora o comportamento de todos os processos. O ATC rastreia o uso ativo dos motoristas, verificando se um motorista carregado é suspeito e relatando-o à nossa plataforma GravityZone. Finalmente, o ATC também inclui recursos de proteção chamados Callback Evasion Detection (CBE). O CBE monitora quando os retornos de chamada do modo kernel são removidos e gera um alerta se detectar tentativas de adulteração.
Sabendo que os invasores estão procurando ativamente por vulnerabilidades para derrotar os recursos de EDR, devemos examinar quais outros recursos os sensores de EDR fornecem a um MDR e aos analistas de segurança. Uma força de EDR não é apenas sobre as detecções, são os dados que são coletados e a capacidade combinada com um serviço de MDR. Analistas de segurança treinados perceberão a atividade suspeita e usarão os dados do sensor EDR para investigar e entender a atividade observada. Um invasor que usa ativamente ferramentas ou acessa locais de arquivos que diminuiriam os recursos de um EDR se destacará como um comportamento suspeito para os analistas de segurança.
As ferramentas EDR são tecnologias necessárias e necessárias que coletam informações do kernel, logs, detalhes de arquivos, processos em execução e dados de configuração, criando assinaturas valiosas que são usadas para detectar e responder a eventos de segurança.
Um serviço MDR usará mais do que apenas as detecções para identificar atividades suspeitas. A telemetria EDR é crítica para um MDR. A telemetria, ingerida em um SIEM, compõe a capacidade de um EDR criando assinaturas de linha de base ou adicionando critérios adicionais às detecções criadas pelo sensor EDR. O nível de acesso a essa telemetria bruta pode ser a diferença entre encontrar ou não encontrar atividade maliciosa em um host.
Os invasores continuarão a usar vulnerabilidades de EDR ou procurar por vulnerabilidades de EDR. Isso permitirá que os invasores não sejam detectados ou usem os recursos do sensor EDR para seu benefício (Living off the Land).
Os invasores podem tentar impedir que os sensores EDR enviem telemetria. Os serviços de MDR devem ter várias assinaturas para procurar invasores que removerão ou reduzirão os recursos de EDR. A telemetria bruta permite ambientes de linha de base e produção de assinaturas de anomalias que procuram coisas como contagens de sensores ou pulsações, fluxo de tráfego de telemetria, arquivos regulares e acesso a pastas, para citar alguns.
Relatório de ransomware
Os ataques de spear phishing costumam ser usados como um vetor de ataque inicial e a infecção por ransomware costuma ser o estágio final da cadeia de eliminação. Para este relatório, analisamos as detecções de malware coletadas em novembro de 2022 de nossos mecanismos antimalware estáticos. Nota: contamos apenas o total de casos, não o quão monetariamente significativo é o impacto da infecção. Adversários oportunistas e alguns grupos de Ransomware-as-a-Service (RaaS) representam uma porcentagem maior em comparação com grupos que são mais seletivos sobre seus alvos, pois preferem volume a valor mais alto.
Ao analisar esses dados, lembre-se de que são detecções de ransomware, não infecções.
As 10 principais famílias de ransomware
Analisamos as detecções de malware de 1º a 30 de novembro. No total, identificamos 205 famílias de ransomware . O número de famílias de ransomware detectadas pode variar a cada mês, dependendo das campanhas atuais de ransomware em diferentes países.
10 principais países
No total, detectamos ransomware de 155 países em nosso conjunto de dados este mês. Ransomware continua a ser uma ameaça que afeta quase todo o mundo. Abaixo está uma lista dos 10 principais países mais afetados pelo ransomware. Muitos ataques de ransomware continuam sendo oportunistas e o tamanho da população está correlacionado ao número de detecções.
Cavalos de Tróia do Android
Abaixo estão os 10 principais trojans direcionados ao Android que vimos em nossa telemetria durante novembro de 2022.
Downloader.DN – Aplicativos reempacotados retirados da Google App Store e agrupados com adware agressivo. Alguns adwares baixam outras variantes de malware.
Banker.ACT, ACI, YI - Aplicativos polimórficos que personificam aplicativos legítimos (Google, Facebook, Sagawa Express ...). Uma vez instalado, ele localiza os aplicativos bancários no dispositivo e tenta baixar uma versão trojanizada do servidor C&C.
SMSSend.AYE - Malware que tenta se registrar como o aplicativo de SMS padrão na primeira execução, solicitando o consentimento do usuário. Se for bem-sucedido, ele coleta as mensagens recebidas e enviadas do usuário e as encaminha para um servidor de Comando e Controle (C&C).
HiddenApp.AID - Adware agressivo que se faz passar por aplicativos AdBlock. Ao ser executado pela primeira vez, pede permissão para ser exibido em cima de outros aplicativos. Com essa permissão, o aplicativo pode se ocultar do iniciador.
Banker.XJ - Aplicativos que eliminam e instalam módulos criptografados. Este trojan concede privilégios de administrador do dispositivo e obtém acesso para gerenciar chamadas telefônicas e mensagens de texto. Após a implantação, ele mantém uma conexão com o servidor C&C para receber comandos e fazer upload de informações confidenciais.
Triada.LC – Malware que coleta informações confidenciais sobre um dispositivo (IDs de dispositivo, IDs de assinante, endereços MAC) e as envia para um servidor C&C malicioso. O servidor C&C responde enviando de volta um link para uma carga que o malware baixa e executa.
SpyAgent.EM - Aplicativos que extraem dados confidenciais, como mensagens SMS, registros de chamadas, contatos ou localização GPS.
Banker.ACX - Aplicativos que personificam aplicativos bancários coreanos para gravar áudio e vídeo, coletar informações confidenciais (mensagens SMS, contatos, localização GPS…) e carregá-los em um servidor C&C.
Relatório de phishing homógrafo
Ataques homógrafos trabalham para abusar de nomes de domínio internacionais (IDN). Atores de ameaças criam nomes de domínio internacionais que falsificam um nome de domínio de destino. Quando falamos sobre o “alvo” dos ataques de phishing homógrafos de IDNs, nos referimos ao domínio que os agentes de ameaças estão tentando representar. Você pode ler mais sobre esse tipo de ataque em um de nossos relatórios anteriores.
Abaixo está a lista dos 10 alvos mais comuns para sites de phishing.
Conclusão
O Bitdefender Threat Debrief (BDTD) é uma série mensal que analisa notícias, tendências e pesquisas sobre ameaças do mês anterior. Não perca o próximo lançamento do BDTD, assine o blog Business Insights e siga-nos no Twitter . Você pode encontrar todos os debriefs anteriores aqui .
A Bitdefender fornece soluções de segurança cibernética e proteção avançada contra ameaças para centenas de milhões de endpoints em todo o mundo. Mais de 150 marcas de tecnologia licenciaram e adicionaram a tecnologia Bitdefender às suas ofertas de produtos ou serviços. Esse vasto ecossistema OEM complementa os dados de telemetria já coletados de nossas soluções de negócios e consumidores. Para lhe dar uma ideia da escala, o Bitdefender Labs descobre mais de 400 novas ameaças a cada minuto e valida 30 bilhões de consultas de ameaças diariamente. Isso nos dá uma das mais amplas visualizações em tempo real do cenário de ameaças em evolução.
Commentaires