Detectando malware baseado em Windows através de melhor visibilidade

Apesar de uma infinidade de soluções de segurança disponíveis, cada vez mais organizações são vítimas de Ransomware e outras ameaças. Estas ameaças contínuas não são apenas um inconveniente que prejudica as empresas e os utilizadores finais – elas prejudicam a economia, colocam vidas em perigo, destroem empresas e colocam em risco a segurança nacional. Mas se isso não bastasse – a Coreia do Norte parece estar a utilizar receitas provenientes de ataques cibernéticos para financiar o seu programa de armas nucleares.

As pequenas e médias empresas estão cada vez mais apanhadas na rede de ataques de malware em curso – muitas vezes devido a departamentos de TI subfinanciados. Para agravar o problema estão soluções complexas de segurança empresarial que muitas vezes estão fora do alcance de muitas empresas – especialmente quando aparentemente são necessários vários produtos para estabelecer uma defesa sólida. Os produtos baseados em quantity que incentivam os utilizadores a recolher menos dados para conservar fundos funcionam ao contrário, amortecendo os benefícios esperados.

Mas e se você pudesse detectar muitos ataques de malware de forma holística com um conjunto de ferramentas que fazem parte de uma única solução:

• Monitoramento e consolidação de logs altamente personalizáveis ​​com um sofisticado mecanismo de monitoramento em tempo actual
• Verificações de validação abrangentes de configurações importantes de segurança e auditoria no Home windows – organizadas por conformidade – fornecem uma base sólida para defesa.
• Inventário completo de software program, patches e extensões de navegador
• Detecção de standing e alterações de todas as tarefas agendadas, serviços/drivers e processos
• Detecte comportamentos incomuns, como processos e logins
• Integração Sysmon
• Monitoramento detalhado de cada objeto do Energetic Listing
• Monitoramento de rede, NetFlow e desempenho

Poder de registro

Os logs contêm uma riqueza de dados que são a base para qualquer esforço de monitoramento – especialmente na plataforma Home windows, que fornece uma estrutura de log bem estruturada (que pode ser sobrecarregada com o utilitário gratuito Sysmon!):

No entanto, os logs que vão para um SIEM são tão bons quanto os logs produzidos pelo sistema operacional. Audite e colete demais e você poluirá seu banco de dados de log – mas se você auditar muito pouco, perderá indicadores-chave. O EventSentry resolve esse problema validando rotineiramente suas configurações de auditoria nos terminais – e um conjunto de regras flexível que pode bloquear eventos desnecessários na origem.

Mais visibilidade

A visibilidade é elementary para detectar e defender-se contra qualquer atividade maliciosa – você não pode se defender contra o que não pode ver. No entanto, muitas organizações têm uma visão limitada da sua rede, facilitando o estabelecimento de malware e APTs.

Embora os registros sejam um componente integral de qualquer sistema de monitoramento e defesa, confiar apenas neles inevitavelmente cria pontos cegos através dos quais softwares maliciosos podem escapar. Por exemplo, a maioria dos SIEMs não tem conhecimento de software program instalado, tarefas agendadas, serviços e drivers – mas é exatamente aí que muitos malwares passam. E superar isso acontece.

O EventSentry melhora essas deficiências com uma estrutura robusta de monitoramento baseada em agente, onde todas as métricas importantes de um endpoint são monitoradas detalhadamente – independentemente da localização do endpoint. O EventSentry também fortalece proativamente a segurança de qualquer rede monitorada com seus scripts de validação. Energetic Listing, integridade do sistema e monitoramento de rede fornecem cobertura operacional adicional.

Na verdade, o conjunto abrangente de recursos do EventSentry encorajou muitos usuários a reduzir significativamente o número de ferramentas de monitoramento que usam. O resultado é um conjunto de monitoramento mais integrado e mais enxuto, com um ROI superior.

Quem está em vantagem?

Quando se trata de combate tradicional, a regra geral é que o atacante precisa de uma proporção de tropas de 3:1 em comparação com a força de defesa. Portanto, se o exército que você está atacando tiver 1.000 soldados, você precisará de cerca de 3.000 para derrotá-los.

Esta regra nem sempre se aplica a outros tipos de guerra, por exemplo, guerra naval. Em 2005, um submarino sueco de 30 milhões de dólares teria conseguido afundar o USS Reagan durante um exercício – um porta-aviões da classe Nimitz cuja construção custou quase 5 mil milhões de dólares e é protegido por cerca de meia dúzia de destróieres e cruzadores.

Neste exemplo específico, o atacante aparentemente precisou de menos de 1% dos recursos do defensor para atingir o seu objectivo. Infelizmente, este tipo de proporção desigual também se aplica à guerra cibernética.

Sua rede é como aquele porta-aviões – protegida de todos os lados. Mas o invasor só precisa explorar uma brecha para inutilizar todas as defesas.

Múltiplas Camadas de Defesa

Os dias em que você simplesmente configurava um firewall, instalava uma solução A/V e depois se protegia já – lamento dizer – já se foram. Nenhuma ferramenta pode detectar de forma confiável todas as ameaças, tornando essencial uma abordagem em camadas.

O EventSentry ajuda a proteger qualquer rede monitorada por meio de prevenção, detecção e descoberta contínua:

1. Prevenção

Detectar ataques é elementary – mas evitá-los é ainda melhor. O EventSentry ajuda a fechar brechas para que muitos ataques não sejam bem-sucedidos.

2. Detecção

Mas por mais importante que seja a prevenção, ela não pode bloquear todos os ataques. Consequentemente, detectar e responder a ataques é a segunda melhor tática para minimizar os danos.

3. Descoberta

Por fim, a descoberta contínua e a visão detalhada da sua rede podem ajudar a detectar comportamentos incomuns, mesmo no pior cenário em que o malware já se estabeleceu.

Anatomia dos ataques de malware

1. Entrega

A maioria dos ataques de malware segue padrões semelhantes, começando pela entrega do malware. Isso geralmente acontece através de e-mails de phishing, engenharia social ou Malvertising. A educação dos utilizadores é elementary para minimizar o risco nesta fase, uma vez que as soluções técnicas por si só não podem fornecer proteção whole.

2. Exploração

O próximo estágio crítico de um ataque de malware é a exploração, onde o malware que foi entregue anteriormente tenta se estabelecer no host alvo. O EventSentry fornece proteção neste estágio, ajudando a reduzir a superfície de ataque e ao mesmo tempo detectando qualquer atividade incomum, minimizando assim o risco.

Por exemplo, o EventSentry pode garantir que todos os hosts baseados no Home windows estejam no nível de patch mais recente, ao mesmo tempo que fornece acesso a um histórico de todos os patches do Home windows instalados. O EventSentry também fornece um inventário completo de todos os softwares instalados e extensões de navegador, juntamente com verificações de versão dos softwares comumente instalados. Para ajudar a reduzir ainda mais a superfície de ataque, o EventSentry identifica todos os aplicativos que estão escutando conexões de rede de entrada em seus endpoints.

Como as unidades USB também são frequentemente exploradas, o EventSentry pode alertar sobre dispositivos de armazenamento recém-conectados, bem como monitorar o acesso a esses dispositivos. O acesso RDP, também frequentemente explorado nesta fase, pode ser protegido pelo EventSentry de várias maneiras – incluindo rastreamento aprimorado e detecção de anomalias. Por exemplo, um endereço IP nunca antes visto conectado a um servidor RDP é sinalizado para revisão.

3. Persistência

Se o malware conseguir escapar da detecção e defesa e estiver ativo no host da vítima, geralmente tentará criar persistência. Isto garante que o malware permanecerá ativo mesmo quando o computador da vítima for reiniciado. Como a criação de persistência envolve a modificação de dados não voláteis (por exemplo, a criação de uma tarefa agendada), naturalmente aumenta o risco de detecção. A maioria dos malwares aceita esse risco (ao mesmo tempo que se esforça para evitar a detecção), uma vez que o benefício da persistência supera o risco – e dá ao agente da ameaça acesso de longo prazo.

Detectar malware neste estágio é elementary, pois não fazer isso permite que o malware proceed em execução por um longo período de tempo. Somente por meio de seus recursos de monitoramento de inventário, o EventSentry pode detectar muitos métodos com os quais o malware cria persistência. Isso inclui tarefas agendadas, serviços, drivers e extensões de navegador. Métodos ainda mais avançados, como injeção de DLL, carregamento lateral de DLL e aproveitamento de recursos de depuração no Home windows, podem ser detectados pelo EventSentry com scripts de validação e Sysmon.

Ao monitorar tarefas agendadas, serviços, drivers, software program, extensões de navegador e chaves de registro, o EventSentry torna mais difícil para o malware ocultar a persistência. A maioria dessas alterações é detectada em tempo actual para que a equipe de TI possa responder e investigar imediatamente. Os autores de malware estão, obviamente, cientes do risco de detecção e farão o possível para se integrarem: os serviços adicionados e as tarefas agendadas terão nomes comuns que os farão parecer inofensivos.

Os scripts de validação merecem uma explicação aqui, pois geralmente não fazem parte de uma solução de SIEM e/ou monitoramento de log. O objetivo principal dos scripts de validação do EventSentry é aumentar a segurança de todos os endpoints – estações de trabalho, servidores e controladores de domínio – para que os ataques não tenham sucesso em primeiro lugar! Eles fazem isso executando mais de 150 verificações que “validam” os endpoints monitorados em relação às configurações e políticas recomendadas.

• O sistema operacional de destino está com o patch mais recente?
• São permitidas versões inseguras de TLS e/ou NTLM?
• O firewall do Home windows está ativo?
• O bloqueio de conta está ativado?

Mas já temos um scanner de vulnerabilidades? Os scanners de vulnerabilidade são uma ferramenta importante e valiosa para identificar vulnerabilidades potenciais. No entanto, os scanners de vulnerabilidade têm uma visão limitada dos sistemas Home windows, uma vez que verificam o sistema de fora – enquanto os scripts de validação protegem os endpoints de dentro para fora.

Você não precisa instalar o EventSentry para testar scripts de validação – basta acessar o web site system32.eventsentry.com e baixar o Compliance Validator gratuito. Você também pode validar suas configurações de auditoria on-line com nosso Validador de conformidade de política de auditoria.

No entanto, além dessas verificações proativas, os scripts de validação também podem detectar configurações potencialmente suspeitas que podem indicar uma infecção por malware como parte do processo de descoberta contínuo. Você pode ver uma lista de todas as verificações aqui.

Os scripts de validação não são uma verificação única, é claro – o EventSentry executa essas verificações continuamente para garantir que seu ambiente permaneça seguro. Os resultados dessas verificações podem ser acessados ​​de diversas maneiras – incluindo painéis, relatórios ou consultas manuais. A aprovação em todos os scripts de validação aplicáveis ​​melhorará significativamente a segurança básica de qualquer rede – impedindo muitos ataques comuns.

4. Propagação

Após a infecção e a persistência, o próximo passo lógico na jornada do malware na sua rede é a propagação. Ele faz isso para vários propósitos:

• Melhor persistência (quanto mais hosts infectados, mais difícil será removê-los)
• Descoberta adicional de ativos (pense em exfiltração de dados, Ransomware)
• Utilizando mais ajudantes para botnet, mineração, and so on.

A propagação aumenta o risco de detecção, mas os benefícios superam o risco – assim como acontece com a persistência. Se o malware conseguiu passar despercebido até agora, as tentativas de propagação são, na verdade, uma grande oportunidade para finalmente detectar o software program malicioso. Como diz o velho ditado: antes tarde do que nunca!

Como acontece com cada etapa de uma infecção por malware, existem muitos tipos diferentes de técnicas de propagação que o malware pode utilizar – com possibilities variadas de detecção. Em última análise, o acesso a sistemas remotos requer acesso às credenciais dos sistemas remotos – se a sessão atual ainda não as tiver.

Técnicas básicas como ataques de força bruta e a utilização de ferramentas administrativas podem ser mais fáceis de detectar. Técnicas mais avançadas, porém, como passar o hash/ticket, exigem mais esforço por parte do defensor. Mas, independentemente de como a propagação é iniciada, a detecção de anomalias/padrões muitas vezes pode detectar acessos incomuns à rede.

O EventSentry inclui vários recursos que podem detectar a propagação de malware:

• O inventário de software program ajuda a verificar se o software program crítico está atualizado
• A detecção de anomalias pode sinalizar acessos incomuns, por exemplo, logins de endereços IP anteriormente desconhecidos
• O monitoramento de serviços pode detectar serviços e drivers maliciosos
• O monitoramento Syslog e SNMP pode detectar tentativas de login malsucedidas em dispositivos de rede
• Inventário de scripts e patches de validação minimiza vulnerabilidades
• A integração do Sysmon pode detectar ataques avançados de pass-the-hash/ticket

5. Execução

Se o malware ainda não for detectado e eliminado neste ponto, ele passará para o estágio closing – execução. É quando a borracha encontra a estrada – onde as luvas saem. O que realmente acontece durante a fase de execução depende do malware, é claro, mas geralmente é um dos seguintes:

1. Criptografia e extradição (para resgate)
2. Roubo de dados/IP
3. Configurando bots
4. Permanecendo adormecido

A primeira opção geralmente é a única em que o malware não tenta passar despercebido. Assim que o trabalho estiver concluído, você saberá e a batalha geralmente estará perdida. Caso contrário, o malware continuará sem ser detectado, dando aos defensores uma última oportunidade de detectar a intrusão.

É certo que a detecção nesta fase é difícil, mas mesmo aqui o EventSentry oferece recursos que podem descobrir esses visitantes indesejados. O monitoramento de desempenho pode detectar atividades incomuns da CPU, por exemplo, se mineradores de criptografia forem instalados na rede da vítima. O EventSentry também pode detectar processos que estão escutando conexões de rede de entrada, enquanto o NetFlow pode revelar tráfego de rede incomum.

Conclusão

Proteger infraestruturas de rede complexas – especialmente o Home windows – contra ameaças avançadas requer uma defesa sofisticada que vai além da coleta de logs, antivírus e adesão informal às estruturas de conformidade.

O EventSentry fornece visibilidade em redes a partir de vários pontos de vista que podem ajudar a detectar uma variedade de ameaças durante diferentes estágios de um ataque. Um extenso conjunto de verificações de validação fortalece a segurança básica, relatórios de conformidade com painéis simplificam vários requisitos de conformidade – tudo com um excelente ROI que pode ser alcançado tanto por pequenas como por grandes empresas.

Baixe hoje mesmo uma avaliação gratuita de 30 dias do EventSentry ou dê uma olhada em https://system32.eventsentry.com e tenha acesso a recursos gratuitos para profissionais de segurança de TI. Você também pode agendar uma demonstração na net para ver o EventSentry em ação antes de baixar uma avaliação.