Os invasores estão cada vez mais abandonando ataques diretos e barulhentos em favor de táticas mais sutis e furtivas. Eles estão voando sob o radar e alcançando longos tempos de permanência com a ajuda de estratégias mais modulares e complexas, em vários estágios. malware.
Como resultado, os defensores devem repensar a sua abordagem para expor estas ameaças ocultas antes de atacarem.
CTO de Análise de Ameaças na OPSWAT.
A evasão é o novo normal?
Os ciberataques normalmente seguirão o caminho de menor resistência – se uma tática funcionar, eles continuarão a usá-la. Quando um número suficiente de empresas estiver armado com defesas eficazes, as ferramentas e táticas ofensivas se adaptarão para contorná-las.
Estamos vendo um ponto de inflexão agora. Os sistemas de detecção tradicionais podem detectar ataques padrão de forma confiável o suficiente para que os grupos criminosos explorem opções mais sutis e complexas. Em vez de lançar campanhas de força bruta em grande escala, os agentes de ameaças estão otimizando a persistência.
Eles querem ficar incorporados por semanas ou meses, coletando silenciosamente dados ou preparando-se para ataques mais impactantes.
Esta mentalidade furtiva também é impulsionada pela economia. O cibercrime como serviço tornou amplamente disponíveis técnicas sofisticadas de evasão, o que significa que mesmo operadores de baixo nível podem comprar ferramentas modulares e furtivas prontas para uso.
A própria telemetria do OPSWAT mostrou um aumento de 127% na complexidade do malware em apenas seis meses, normalmente na forma de cargas ofuscadas em vários estágios, projetadas para contornar a detecção estática.
Quais são as tendências mais marcantes?
A crescente complexidade do malware é definitivamente um dos desenvolvimentos mais alarmantes.
Embora não faltem malwares básicos, mais grupos estão implantando cadeias de scripts ofuscadas e em vários estágios. Eles geralmente combinam PowerShell, JavaScripte scripts em lote que disfarçam cada estágio de execução. Esses carregadores leves e modulares tornam a detecção mais difícil.
A amostra média de vários estágios que analisamos este ano continha 18 nós comportamentais, contra oito seis meses antes. Esse salto demonstra como os invasores estão colocando mais ofuscação e lógica de decisão em cada cadeia.
Também estamos vendo invasores usarem plataformas que são amplamente utilizadas pelos funcionários para ajudar em suas táticas evasivas, com o tráfego de comando e controle cada vez mais escondido dentro de ferramentas como Google Planilhas ou calendário.
As campanhas também terão como objetivo explorar o comportamento humano, como o ataque ‘ClickFix’, que engana as vítimas para que executem prompts maliciosos do Windows Run. Não há carga útil de malware ou URLs maliciosos envolvidos, portanto, nada pode ser detectado pelas ferramentas padrão.
Por que tantos defensores ainda lutam para detectar essas ameaças?
Muitas organizações ainda operam com uma mentalidade de “ameaças conhecidas”, contando com ferramentas estáticas baseadas em assinaturas para sinalizar qualquer coisa familiar. Isso tem sido bastante bem-sucedido há muitos anos, a ponto de os invasores terem que mudar isso.
Mas os malwares mais avançados de hoje raramente parecem iguais duas vezes. Ofuscação, criptografiae a execução sem arquivo significam que geralmente não há nada para esses sistemas corresponderem.
Descobrimos que um em cada 14 arquivos descartados como benignos por feeds públicos revelou-se malicioso quando analisados comportamentalmente. Esse é um enorme ponto cego para qualquer estratégia defensiva que dependa de assinaturas de ameaças conhecidas.
Como as organizações podem lidar com esses ataques furtivos?
Ferramentas de detecção padrão ainda serão necessárias para a miríade de ameaças de nível inferior que circulam, mas segurança os arquitetos também devem adotar uma estratégia que prioriza o comportamento.
Isso se concentra em determinar o que um arquivo faz, não apenas em sua aparência. Em vez de confiar em indicadores estáticos, os defensores analisam a execução em tempo real para ver como um arquivo se comporta. Isso inclui avaliar quais processos ele gera, quais registros ele toca e como ele interage com o rede ou memória do sistema.
O sandboxing adaptável e a emulação podem expor com segurança comportamentos ocultos, como malware somente de memória ou scripts que são descriptografados e executados apenas em tempo de execução.
Na OPSWAT, vimos que combinar análise comportamental com pesquisa de similaridade baseada em aprendizado de máquina alcança 99,97% de precisão de detecção. Essa abordagem acelera a detecção e também a precisão, revelando novas ameaças até 24 horas antes de aparecerem em feeds OSINT públicos.
O que mais os líderes de segurança podem fazer para construir resiliência
Um dos fatores mais importantes na construção de uma verdadeira resiliência é adotar uma abordagem multifacetada.
Portanto, embora uma abordagem que prioriza o comportamento seja crucial, há outros elementos a serem considerados. Uma capacidade importante é a implementação de diodos de dados. Estas são unidades de hardware que reforçam o fluxo de dados unidirecional, fornecendo uma barreira eficaz para táticas mais sutis de C2 e exfiltração.
Além disso, a implantação de uma solução de transferência gerenciada de arquivos (MFT) fornecerá outra camada de defesa, bloqueando e protegendo automaticamente riscos potenciais.
Finalmente, outra abordagem valiosa é implementar Desarme e Reconstrução de Conteúdo (CDR). Isso trata todos os arquivos recebidos como maliciosos por padrão e os reconstruirá e higienizará para remover completamente quaisquer ameaças ocultas antes que sejam permitidas no sistema.
O passo mais importante é aceitar que a furtividade está se tornando o modo de ataque padrão. Os defensores precisam evoluir de acordo, priorizando a adaptabilidade entre pessoas, processos e tecnologia. A detecção e resposta contínuas devem substituir a verificação pontual, enquanto a inteligência sobre ameaças deve fluir livremente entre ferramentas e equipes.
Os líderes de segurança devem concentrar-se em saber como uma ameaça se comporta. Construir contexto comportamental em cada estágio do pipeline de segurança ajuda as equipes a tomar decisões mais rápidas e inteligentes.
Acima de tudo, uma defesa bem sucedida exige uma abordagem contínua à segurança. As organizações que aprendem com cada incidente estarão sempre à frente.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro