Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Malware sem arquivo: ataques crescentes, mas controláveisDiego Samuel Espitia 13 mayo, 2021 Por alguns anos, o WatchGuard gerou um relatório sobre a situação de segurança detectada na Internet. Após a compra do Panda, este relatório tornou-se ainda mais importante, pois contém detecções dos terminais finais, permitindo um amplo espectro de segurança que detalha melhor os tipos de incidentes ocorridos na Internet. Assim, o último relatório mostrou um aumento bastante significativo nos ataques de malware sem arquivo, conhecidos como fileless malware, dos quais falamos há alguns anos devido ao perigo que representam e à sua difícil detecção, algo de que os criminosos obviamente estão se aproveitando. , observando o aumento de cerca de 900% no uso desta técnica de ataque se compararmos as amostras relatadas entre 2019 e 2020. Origens Esse problema é quase tão antigo quanto os sistemas operacionais, sendo a primeira amostra desse tipo de ameaça em 1987 com o chamado, que ganhou esse nome por ter sido desenvolvido na Lehigh University durante testes na carreira de informática. Porém, não causou danos ao sistema e foi retirado quando o computador foi reiniciado, pois ficava simplesmente alojado na RAM e a cada execução ou chamada de COMMAND.COM aumentava um contador que estava consumindo a memória e assim processos cada vez mais lentos na máquina. Mas esse desenvolvimento alcançou um marco em termos de ataques, que sempre tiveram a premissa de poder hospedar o segmento malicioso no disco rígido para ser executado, algo que expõe qualquer sistema antivírus para detectar as características maliciosas do software. Desta forma, por não ter que chegar ao disco rígido, mas ficar apenas na memória, deu-lhes uma vantagem de não serem detectados, mas deixou-lhes muito pouca margem de ação no desenvolvimento de ataques sofisticados que requerem códigos extensos. Como esses ataques são realizados? Hoje em dia, kits de ferramentas como PowerSploit e CobaltStrike permitem que criminosos desenvolvam fileless malware muito mais avançado e preciso, sem ter que saber todos os detalhes de operação do sistema. Um exemplo disso é como com o PowerSploit uma DLL pode ser injetada com um comando simples, gerando ataques de sequestro de DLL sofisticados e simples. Isso foi amplamente analisado nas matrizes MITRE ATT&CK, que ainda possuem uma análise PowerSploit, para que as equipes de defesa conheçam com antecedência as capacidades que este kit oferece ao atacante e em que técnica específica este tipo de ataque é utilizado. Ainda dentro de nossa equipe, foi desenvolvido um framework que permite que equipes de ataque e defesa de empresas realizem investigações e detecções de possíveis violações de segurança utilizando o UAC-A-Mola, que possui diversos tipos de automações para contornar os controles de autenticação de usuários em sistemas Windows , principalmente usando ataques baseados em arquivo. Como podemos nos defender? Quanto à parte defensiva, os avanços que o Windows fez para conter essa ameaça são cada vez mais úteis e exigem implantações menos complexas nos esquemas de rede das organizações, como já discutimos em ocasiões anteriores em nosso blog, os recursos que foram alcançados com AMSI são, sem dúvida, um complemento fundamental para conseguir proteção contra o aumento iminente de ataques sem arquivo. No entanto, na maioria das organizações os controles fornecidos por esta ferramenta nativa do sistema operacional não são implementados, com os quais qualquer fluxo de entrada poderia ser analisado e anomalias detectadas, um exemplo das capacidades fornecidas pelo AMSI foram aqueles que alcançamos com o AMSIext extensão do navegador, que fornece uma conexão entre o navegador e o AMSI, para que todos os scripts potenciais contidos em um site sejam analisados por este motor, detectando qualquer possível anomalia para que o disco rígido não seja tocado durante a sua execução. Outra forma normalmente usada por criminosos para executar ataques sem arquivo é combinar este ataque com a execução de macros em documentos de automação de escritório, que permitem o uso de recursos de programação de macro para baixar e montar código malicioso na memória, atrasando a detecção por sistemas antivírus tradicionais e tornando complexo de detecção para sistemas de endpoint. Exemplo prático Ataques como os gerados pelo IcedID, mostram como essa técnica é muito benéfica para os atacantes e integra o poder do sem arquivo dentro das técnicas, usando o PowerShell como ferramenta para baixar e instalar DLLs maliciosas, tornando suas ações quase indetectáveis pelo antivírus, como visto em a imagem de análise do VirusTotal. Com nossa ferramenta DIARIO, isolamos essas macros para sua análise e detecção de processos maliciosos, com os quais também podem ser integradas ao fluxo de análise que deve haver nos arquivos que chegam a uma organização, para mitigar esse tipo de ataque. Continuando com a análise do IcedID, podemos ver que a extração e análise das macros feitas com DIARIO indicam que são suspeitas de malware e nos mostram as três macros utilizadas para esse fim. Como você pode ver, embora o aumento desses ataques seja exponencial, a eficácia dos ataques pode ser atenuada com várias ações: A implementação de controles adequados em todos os terminais da rede.A integração de ferramentas dos sistemas com extensões, ou desenvolvimentos que façam uso dessas capacidades sem a necessidade de implementações manuais.Treinamento adequado e conscientização da equipe sobre como proceder para garantir que essas ferramentas sejam eficazes nas detecções e não que sejam ignoradas devido a práticas inadequadas de manuseio. O futuro das credenciais universitárias aponta em direção a blockchain e Open BadgesBoletim semanal de cibersegurança 8-14 maio
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...