O ponto de entrada de um cyberataque é uma das etapas mais temidas de uma empresa, por isso elas investem grande parte do orçamento em soluções preventivas. Entretanto, os invasores têm pouco trabalho para contornar essas defesas iniciais, pois as tecnologias são fortemente focadas em ameaças esperadas e conhecidas. É aí que está o erro.

Se um sandbox de malware quiser interceptar todos os executáveis do Windows de 32 bits, os invasores ocultarão o executável em um arquivo Java JAR. Se o sandbox começar a inspecionar arquivos JAR, o invasor criará documentos do Office com macros mal-intencionados e instruções aos colaboradores para habilitar macros quando forem desabilitadas por padrão.

Os invasores podem usar, por exemplo, uma sessão criptografada, já que a maioria das empresas não inspeciona tráfego criptografado com SSL/TLS. Serviços emergentes que oferecem certificados SSL gratuitos tornam simples para os invasores criptografarem sessões. Existem inúmeras formas de contornar as defesas de segurança de rede tradicionais.

Outro problema é a pressuposição de que o invasor deve invadir de fora para dentro. A realidade é que vários invasores trabalham de dentro para fora, por meio de links e anexos de e-mail, bem como ataques de sites da web “drive-by” voltados para as vulnerabilidades em plug-ins e navegadores da web. Os cybercriminosos também focam em usuários fora da segurança relativa do perímetro corporativo, se puderem. É comum que o malware use vários estágios ou componentes.

A fase inicial não se parece com um malware típico, pois sua função é apenas obter o ponto de entrada e fazer download da verdadeira carga útil de malware que faz o trabalho sujo. Esse componente de download tem facilidade em ultrapassar as defesas de rede. É na etapa seguinte que as coisas ficam interessantes. O uso de DNS como um canal para comunicação de malware é uma abordagem padrão há muito tempo.

Os cybercriminosos têm uma tendência a compartilhar e reutilizar TTPs. Se funcionar, os invasores continuarão utilizando-os. Eles possuem manuais detalhados, serviços de suporte de TI, especialistas técnicos e designers gráficos disponíveis para desenvolver uma campanha. Assim eles desenvolvem, compartilham e distribuem instruções, manuais e inteligência.

Os endereços IP de honeypots e crawlers que pertencem a pesquisadores e fornecedores de segurança são compilados e evitados. Sites da web mal-intencionados servirão até mesmo como uma versão benigna de um site mal-intencionado para visitantes que pareçam investigadores, não vítimas.

A contribuição da automação também entra em jogo no lado do invasor. Plataformas de ataque automatizado podem gerar automaticamente malware que contornará produtos anti-malware. Os principais fornecedores são monitorados e, assim que uma amostra de malware é capturada, sinalizada e analisada, a plataforma sabe revogar automaticamente seu uso e substituí-la por uma amostra nova.

Os defensores, por meio de grupos de compartilhamento de informações, estão cada vez mais atentos a vantagem de compartilhar inteligência e estratégias, mas ainda há um longo caminho antes de alcançar uma organização criminosa.

Fonte

Matéria extraída do site