Atores de ameaça aprenderam há muito tempo que “esconder é prosperar”. Isso significa que seus métodos de malware e ataque são mais eficazes quando não são detectados. Por esta razão, muitos ataques usam técnicas de evasão furtiva para disfarçar uma carga útil de ataque. Seu objetivo é evitar a detecção, evitando defesas de rede e host.
Alguns dos métodos de evasão usados por atores ameaçadores incluem:
Criptografia e encapsulamento: Essa técnica de evasão usa tunelamento para ocultar, ou criptografia para embaralhar, arquivos de malware. Isso torna difícil para muitas técnicas de detecção de segurança detectar e identificar o malware. Tunelamento pode significar ocultar dados roubados dentro de pacotes legítimos.
Esgotamento de recursos: Essa técnica de evasão torna o host de destino muito ocupado para usar corretamente técnicas de detecção de segurança.
Fragmentação do tráfego: Essa técnica de evasão divide uma carga maliciosa em pacotes menores para ignorar a detecção de segurança de rede. Depois que os pacotes fragmentados ignoram o sistema de detecção de segurança, o malware é remontado e pode começar a enviar dados confidenciais para fora da rede.
Interpretação errada no nível do protocolo: Essa técnica de evasão ocorre quando as defesas de rede não manipulam corretamente recursos de uma PDU como um valor de soma de verificação ou TTL. Isso pode enganar um firewall para ignorar pacotes que ele deve verificar.
Substituição de tráfego: Nesta técnica de evasão, o ator da ameaça tenta enganar um IPS ofuscando os dados na carga útil. Isso é feito codificando-o em um formato diferente. Por exemplo, o ator de ameaça poderia usar tráfego codificado em Unicode em vez de ASCII. O IPS não reconhece o verdadeiro significado dos dados, mas o sistema final de destino pode ler os dados.
Inserção de tráfego: Semelhante à substituição de tráfego, mas o agente de ameaça insere bytes extras de dados em uma sequência maliciosa de dados. As regras do IPS perdem os dados maliciosos, aceitando a sequência completa de dados.
Pivotando: Essa técnica pressupõe que o ator da ameaça comprometeu um host interno e deseja expandir seu acesso ainda mais para a rede comprometida. Um exemplo é um ator de ameaça que obteve acesso à senha de administrador em um host comprometido e está tentando fazer login em outro host usando as mesmas credenciais.
Rootkits: Um rootkit é uma ferramenta agressora complexa usada por atores experientes em ameaças. Ele se integra com os níveis mais baixos do sistema operacional. Quando um programa tenta listar arquivos, processos ou conexões de rede, o rootkit apresenta uma versão higienizada da saída, eliminando qualquer saída incriminadora. O objetivo do rootkit é ocultar completamente as atividades do atacante no sistema local.
Proxies: O tráfego de rede pode ser redirecionado através de sistemas intermediários para ocultar o destino final para dados roubados. Desta forma, comando e controle conhecidos não podem ser bloqueado por uma empresa porque o destino proxy parece benigno. Além disso, se os dados estiverem sendo roubados, o destino dos dados roubados pode ser distribuído entre muitos proxies, não chamando a atenção para o fato de que um único destino desconhecido está servindo como destino para grandes quantidades de tráfego de rede.
Novos métodos de ataque estão constantemente sendo desenvolvidos. O pessoal de segurança da rede deve estar ciente dos métodos de ataque mais recentes para detectá-los.
Nenhum comentário:
Postar um comentário