APT – Uma nova técnica de ataque

Até bem pouco tempo atrás, o combate ao software malicioso (malware) se limitava ao controle de vírus, worms, além de alguns tipos de spywares que buscavam entender o comportamento de navegação dos usuários na internet. O principal desafio, até então, era entender a diferença entre vírus e worm, lembrando que o vírus normalmente está associado a uma ação do usuário e depende de um vetor externo de propagação (dentro de um arquivo executável, um arquivo DOC, etc). Já o worm possui a característica de se propagar sozinho pela rede, normalmente através da exploração de uma vulnerabilidade, seja no servidor ou em um equipamento de usuário.

Para que seja possível o bloqueio deste tipo de artefato malicioso é necessária existência de uma assinatura (em antivírus ou regras para os IPS de nova geração) que permita a identificação e bloqueio, de tal forma a impedir a contaminação de um servidor. Aliás, esta é uma das grandes mudanças de paradigma que enfrentamos hoje em dia, onde o servidor não é mais o alvo favorito destes tipos de praga virtual. O que acontece com frequência cada vez maior é a exploração da máquina do usuário, o que chamamos de”client side attacks”. Nesse tipo de ataque, o importante é explorar vulnerabilidades existentes no browser do usuário (Internet Explorer, Firefox, etc) ou em aplicações que são instaladas nestes equipamentos (especialmente Flash Player, Adobe Acrobat Reader).

As empresas normalmente se preocupam muito com a aplicação de patches de segurança nos servidores, além da utilização de ferramentas de proteção do perímetro, como Firewall, IPS, Filtro de Conteúdo etc, porém muito pouco é feito para manter atualizados os equipamentos dos usuários. A utilização das ferramentas de segurança aliada a uma correta política de segurança, monitoração constante do ambiente, treinamento da equipe quanto às técnicas de ataque e defesa (sim, isso é fundamental), certamente ajuda muito no combate às diversas pragas virtuais.

É muito importante nunca esquecer os equipamentos que permitem mobilidade (laptops, celulares, tablets) e que, ao mesmo tempo, ampliam o conceito que temos sobre perímetro externo. Uma vez que esses dispositivos móveis estejam fora da rede corporativa, todas as defesas existentes na rede da empresa desaparecem e eles passam a vivenciar um risco bem maior. Exemplos não faltam: equipamentos utilizando redes wi-fi em locais como aeroportos, redes de hotéis, sem contar quando deixamos o filho instalar algum jogo ou baixar algo em redes de Torrent.

Como se já não bastasse a salada de siglas que somos obrigados a memorizar (vírus, worm, spyware, trojan, phishing, etc), agora, ainda temos o “tal” de APT (Advanced Persistent Threat). Um nome novo para técnicas antigas.

A grande diferença do APT em relação ao que já existia é que: ao invés de um email genérico sobre viagra – ou sobre aquele príncipe africano – que precisa da SUA ajuda para retirar a fortuna dele do país, no caso de um APT, temos a utilização de um Spear Phishing. Spear Phishing é um ataque direcionado para o funcionário/usuário que trabalha na empresa-alvo. Uma vez que esse funcionário execute o arquivo ou de alguma maneira contamine a máquina, esse equipamento e a rede da empresa passam a ser controlados remotamente.

Definitivamente, não é difícil elaborar um ataque direcionado. Basta uma procura no Google por @suaempresa.com.br para verificar a quantidade de e-mails que são enviados para grupos de discussão,etc. Alguns anos atrás, em um teste de invasão realizado em um determinado cliente, foi possível identificar um usuário da rede que participava de um grupo de discussão sobre Cristianismo. Não preciso nem dizer qual foi a efetividade de enviar para este usuário um link para fazer download de uma novíssima versão eletrônica da bíblia (devidamente preparado para controle remoto do equipamento da vítima, é claro). Ou seja, basta utilizarmos algum assunto que atraia o interesse deste usuário (funcionário). As chances são quase de 100% de que ele clique ou execute algo.

Para resumir, não existe uma fórmula mágica que permita evitar todos os ataques mencionados, mas certamente podemos elencar algumas recomendações básicas:

1. Monitore, monitore e monitore. Se possível, também monitore. Uma equipe bem treinada e que tenha o ferramental certo de coleta e correlação de logs, certamente poderá identificar anomalias de tráfego na rede, e que podem representar a existência de um APT;
2. Tenha as ferramentas certas: SIEM, IPS, Firewall, Filtro de Conteúdo e AntiSPAM, Antivírus (sim, são úteis e importantes também), AntiMalware (especialmente aquelas que entendem comportamento anômalo);
3. Tenha uma política rígida de gestão de vulnerabilidades. É fundamental manter o ambiente atualizado. Sim, sabemos que existem ataques que exploram as vulnerabilidades 0-day, mas é possível assegurar que representam um universo bem pequeno dos ataques. Ainda existem máquinas que são contaminadas na Internet por culpa do usuário ou da empresa que não aplicaram um simples patch;
4. Equipe treinada é equipe motivada. O assunto Segurança da Informação é bastante abrangente e estimulante. O outro lado é altamente motivado e troca informações o tempo todo. Se sua empresa não pode contar com uma equipe preparada para tal, contrate uma empresa que possa e mantenha um SLA rígido;
5. Nunca negligencie o Endpoint. Antivírus é importante mas não pode ser a única camada de defesa em um desktop/laptop/tablet. Cada vez mais os ataques se utilizam de técnicas que mascaram sua presença e ferramentas que são baseadas somente em assinaturas não podem identificá-las.

Agradeço ao Vanderlei, nosso amigo e colaborador deste site, pela referência a esta notícia.

Fonte: Olhar Digital
A partir de um texto escrito por – Paulo Braga – que é engenheiro de segurança da Sourcefire e possui mais de 20 anos de experiência em tecnologia da informação, sendo 12 anos dedicados ao tema Segurança da Informação.

10 Responses to APT – Uma nova técnica de ataque

  1. Alexis disse:

    fui atualizar o meu windows seven e vi que tinha uma atualização com esse nome e a atualização estava marcada como importante, será que tem alguma coisa relacionada com esse assunto?

    • Victor Hugo disse:

      Alexandre,
      Não tenho como lhe dizer agora qual o conteúdo desta última atualização recebida no seu computador e se a mesma oferece alguma proteção contra esta nova técnica de ataque que foi tema deste post aqui no blog.

      Obrigado pela sua participação e uma ótima Segunda-feira!

  2. felippe disse:

    victor boa noite… qual é o programinha que vc antigamente recomendou? pra liberar memoria ram..?

  3. Bruno disse:

    Por falar em CIS, percebi que ele da a opção de deixar o defense+ desabilitado na instalação. Victor, mesmo com o defense+ desabilitado, você acredita que o CIS ainda pode ser considerado uma suite confiável? Eu digo assim, caso a gente desabilite ele na instalação.

    • Victor Hugo disse:

      Bruno,
      A questão que você acaba de colocar não está relacionada ao post do dia e sim mais apropriada à opção “comentários e dúvidas”.
      Já realizei um duplo teste com o CIS 5.9 e como sempre nenhuma configuração padrão foi alterada e lembro muito bem que o Defense + vem habilitado por padrão.
      Não tem sentido algum, na minha opinião, usar o CIS com o Defense + desabilitado.

  4. Bruno disse:

    “Cada vez mais os ataques se utilizam de técnicas que mascaram sua presença e ferramentas que são baseadas somente em assinaturas não podem identificá-las”

    Lembro que dias atras eu falei sobre o Avira, o qual está ainda muito confiante somente em suas assinaturas, que são muito boas. Por isso digo que ha a necessidade hoje de uma ferramenta que implemente coisas alem das assinaturas.

  5. Arthur disse:

    Bom dia Victor
    você poderia me explicar sobre a opção Gerenciar Este Endpoint no CIS 5.9? pois nesse texto o autor fala sobre a função.. é recomendável utilizar essa opção?

    • Victor Hugo disse:

      Arthur,
      Esta opção de refere mais ao uso do CIS em um ambiente corporativo que utiliza a proteção baseada no modelo servidor – cliente. Para o usuário doméstico do CIS esta função não se aplica.

      Uma boa tarde pra você!!

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 499 outros seguidores

%d blogueiros gostam disto: