Proteção contra ameaças emergentes com Skyhigh Security

12 de dezembro de 2022

Por Christoph Alme & Martin Stecher - Engenharia de Software, Skyhigh Security & Arquiteto Chefe, Skyhigh Security

As organizações têm de lidar com uma superfície de ataque cada vez maior, em que os modelos reactivos de segurança simplesmente não conseguem acompanhar a dimensão e a complexidade do atual cenário de ameaças. As ameaças emergentes ultrapassaram as dezenas de milhares por dia, sendo que uma grande parte do malware é exclusiva de uma única organização. As principais pontes para entrar na porta ou na rede de uma organização são a engenharia social e a exploração de vulnerabilidades não corrigidas. Na maior parte das vezes, estes ataques ocorrem numa tentativa de infetar os terminais com o principal gerador de dinheiro da atualidade: o ransomware.

A família de ransomware mais prevalecente atualmente é a "LockBit", que representou quase um quarto de todas as detecções de ransomware a nível mundial no terceiro trimestre¹. Traz consigo uma infraestrutura completa de ransomware como serviço que fornece aos atacantes tudo o que é necessário, desde a exploração inicial, passando pelo C&C até ao tratamento do pagamento do resgate. Os ataques iniciais podem ser efectuados através de e-mails de phishing, exploração RDP, documentos maliciosos alojados em fóruns Web e muitos outros. Num exemplo recente²um documento do Microsoft Word foi utilizado para enganar os utilizadores e levá-los a ativar primeiro o conteúdo ativo.

Captura de ecrã cortesia de VirusTotal.com³

À medida que os atacantes se tornam cada vez mais profissionais em enganar as vítimas para contornar os mecanismos de proteção do sistema operativo, também aprenderam a manter-se fora do radar das soluções anti-malware tradicionais centradas no endpoint. Em segundo plano, o documento descarregava o seu conteúdo ativo através de um documento modelo separado alojado no servidor dos atacantes. Com esta abordagem em duas etapas, o código malicioso do Visual Basic for Applications (VBA) residiria apenas na memória e não existiria no disco rígido local (também conhecido como distribuição de malware "sem ficheiro"). Uma vez no ponto de extremidade, o código VBA malicioso cria um ficheiro de atalho do Windows (LNK) na pasta pública Todos os utilizadores, prepara os seus argumentos de forma a executar a linha de comandos para lançar um curto comando PowerShell que descarrega e executa o binário real do ransomware. Em seguida, lança esse atalho automaticamente, utilizando indevidamente uma biblioteca de sistema existente.

Assim, estas ameaças polimórficas altamente profissionais, de ritmo acelerado, específicas da organização ou do lado do servidor são impossíveis de detetar com tecnologias reactivas, como assinaturas, hashes ou similares. E é esta pressão de ataque constante que pode ter um grande impacto nas equipas de TI e de segurança, se estas forem mantidas numa luta constante de combate a incêndios.

Skyhigh Security A evoluiu a partir de uma longa tradição de fornecer tecnologias inovadoras de proteção "defense-in-depth" multicamadas que ajudam a eliminar a grande maioria das ameaças emergentes antes de estas terem a oportunidade de atingir os activos de uma organização. Numa perspetiva de 10.000 pés, as organizações exigem eficácia em toda a sua arquitetura de segurança - o que implica deteção de ameaças, precisão e experiência Web em tempo real para os utilizadores. Skyhigh Security responde a esta exigência desafiante através de uma cascata de tecnologias comprovadas que podem rapidamente separar o trigo do joio e tratar o conteúdo suspeito conforme necessário.

Skyhigh SecurityA proteção do Skyhigh Client Proxy começa na terra, por assim dizer - diretamente no seu endpoint com o aplicativo Skyhigh Client Proxy (SCP). Porque não só redirecciona o tráfego que precisa de ser verificado, como também adiciona contexto sobre a aplicação do endpoint que causa o tráfego de rede. E isso será útil nos gateways de verificação na nuvem ou no perímetro da sua rede corporativa. É aí que o malware será bloqueado, mesmo antes de poder chegar aos seus utilizadores e iniciar os seus métodos fraudulentos. No gateway da nuvem, antes de proceder a uma análise mais profunda, pode ser feita uma primeira avaliação rápida com base na reputação histórica do servidor Web: se já tiver alojado malware anteriormente, podemos evitar rapidamente e bloquear a potencial nova ameaça. Da mesma forma, as verificações tradicionais de assinaturas e hash serão aplicadas logo no início para classificar qualquer uma das milhões de ameaças conhecidas. E como uma solução que vê o tráfego de milhões de utilizadores, pode evitar uma reavaliação constante dos mesmos dados.

O que resta são as ameaças desconhecidas e potencialmente novas. É aqui que a análise comportamental entra em ação: um rastreio mais intenso do conteúdo, ainda em tempo real, que disseca qualquer código de script de páginas Web, documentos, binários de aplicações e outros, de modo a prever o potencial comportamento da transferência num ponto final. Este ambiente é também designado por "Realtime Emulation Sandbox". Nesta etapa, as linhas ou fragmentos de código descarregado são avaliados através de algoritmos patenteados de aprendizagem automática para determinar a sua probabilidade de malware⁴. As linhas de código ou os traços de comportamento, que já foram vistos noutras ameaças, serão avaliados e os respectivos nomes de ameaças, etiquetas MITRE⁵e será comunicada uma pontuação de probabilidade que julga o tráfego inspeccionado como provavelmente malicioso, suspeito ou legítimo. Esta tecnologia detectou o exemplo de documento do LockBit Word inicialmente mencionado como uma nova ameaça e bloqueou-o como "BehavesLike.Downloader.lc", devido ao seu código VBA que tenta descarregar o binário do ransomware.

Se um documento for considerado "apenas" suspeito nesta fase da análise, então o Skyhigh Security pode converter documentos duvidosos em tempo real e permitir-lhe visualizá-los em segurança numa instância encapsulada do Remote Browser Isolation , a partir da qual não podem chegar aos seus pontos finais. A integração de todas as técnicas do Skyhigh Security Service Edge (SSE) num motor de políticas unificado torna esta solução tão poderosa. As tecnologias anti-malware multi-dimensionais de classe mundial, combinadas em profundidade com capacidades de isolamento e todo o poder do motor de proteção de dados líder da indústria, unem forças nas políticas de segurança muito específicas dos nossos clientes, para proteger os dados do mundo e manter os nossos utilizadores seguros.

Para saber mais sobre a abordagem da Skyhigh Securityà ESS, visite www.skyhighsecurity.com.

¹ "Relatório de Ameaças Trellix outono 2022"
https://www.trellix.com/en-us/advanced-research-center/threat-reports/nov-2022.html

² "LockBit 3.0 está a ser distribuído através do Amadey Bot"
https://asec.ahnlab.com/en/41450/

³ "VirusTotal.com - Amostra do LockBit deste artigo"
https://www.virustotal.com/gui/file/1d8596310e2ea54b1bf5
df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061/

⁴ "No Signature Required: O poder da emulação na prevenção de malware"
https://www.skyhighsecurity.com/wp-content/uploads/2023/02/wp-gateway-anti-malware.pdf

⁵ "Matriz empresarial MITRE ATT&CK®"
https://attack.mitre.org/matrices/enterprise/

Voltar aos blogues