Notícias de dispositivos móveis, gadgets, aplicativos Android

SOC First Defense ‚Äď Compreendendo a cadeia de ataques cibern√©ticos ‚Äď Uma defesa com/sem SOC

Este artigo irá ajudá-lo a entender as ameaças cibernéticas modernas do SOC e as ameaças mais comumente usadas. superfícies de ataque por trás de qualquer malware/ataques cibernéticos.

Na maioria das vezes, os ataques cibern√©ticos s√£o executados em etapas. Portanto, a equipe SOC deve compreender os padr√Ķes e a cadeia de ataque.

Portanto, quebrar a cadeia de ataque e evitar a intenção do criminoso de impedir seu objetivo reduzirá o impacto comercial da perda de dados. Isso não fornecerá etapas de defesa 100% ou guias da equipe azul para sua organização.

Ele fornecerá uma breve informação sobre os vetores de ataque e cada equipe do SOC deverá criar um mecanismo de defesa para que tenha um estágio inicial de monitoramento de segurança.

Essas etapas podem ser seguidas por qualquer equipe de seguran√ßa de rede, ind√ļstrias de pequena escala ou empresas menores que n√£o possam pagar pelo SOC, o que ajudar√° a criar um muro de defesa com isso.

Al√©m disso, voc√™ pode encontrar Completo ‚Äď Treinamento de intrus√£o de ataque cibern√©tico para analista de SOC

3 Principais fatos que você precisa ter em mente.

Os cibercriminosos sempre planejam com antecedência os controles de segurança.

1.) Não dê tudo facilmente ao atacante; tornar mais difícil para ele conseguir. (Medidas de controle na rede)
2.) N√£o habilite aplicativos vulner√°veis ‚Äč‚Äčleg√≠timos se n√£o estiverem em uso, os invasores sempre usam aplicativos leg√≠timos na rede. (Abuso de LOLBins)
3.) N√£o pense que os invasores criam apenas um √ļnico trecho de c√≥digo, eles sempre contam com est√°gios de ataque com mais comandos e funcionalidades. (Cadeias de mortes cibern√©ticas)

Portanto, os mecanismos de defesa que você precisa construir são baseados no seu ambiente.

1.) Defesa contra a entrega de malware ‚Äď Entrando na rede da sua organiza√ß√£o
2.) Se o malware for entregue com sucesso, como voc√™ defender√° seu movimento lateral e persist√™ncia? ‚Äď Movendo-se dentro da rede da sua organiza√ß√£o.
3.) Se o invasor realizou todas as suas atividades, seu est√°gio final ser√° exfiltrado ou violado ‚Äď Saindo da organiza√ß√£o Rede.

Vamos analisar os estágios e ver seus mecanismos de defesa para garantir a segurança contra vetores de infecção comuns.

Est√°gio 1: Entrega de malware/MalSpam

Em todas as organiza√ß√Ķes, firewalls/IPS e gateways de e-mail desempenham um papel vital na defesa contra a entrega de malware √† sua organiza√ß√£o. Mas, nos √ļltimos tempos, essas t√©cnicas est√£o sendo facilmente derrotadas por invasores cibern√©ticos.

Os ataques cibern√©ticos modernos n√£o s√£o de est√°gio √ļnico; eles entregam malware a qualquer organiza√ß√£o em est√°gios de infec√ß√Ķes. Primeiro, o invasor atrai a v√≠tima para clicar em qualquer URL n√£o malicioso e redireciona para CnC e descarta as cargas √ļteis. Estas fases n√£o podem ser bloqueadas pelos sistemas de defesa tradicionais.

Duas maneiras principais: 1.) Entrega de e-mail ‚Äď MalSpam, Spear phishing, campanhas por e-mail 2.) Pontos de entrada RDP

A.) Anexos de e-mail comumente usados ‚Äč‚Äčna maioria das campanhas de e-mail.
1 .vbs (arquivo VBScript)
2 .js (arquivo JavaScript)
3 .exe (execut√°vel)
4 .jar (arquivo Java)
5 .docx, .doc, .dot (documentos do Office)
6 .html, .htm (arquivos de p√°ginas da web)
7 .wsf (Windows Arquivo de script)
8 .pdf
9 .xml (arquivo Excel)
10.rtf (arquivo em formato rich text, usado pelo Office).

N√≥s recomendamos:  √Č quando √© a temporada de ‚ÄúRent A Girlfriend‚ÄĚ 2 Epis√≥dio 7 Ir√° lan√ßar

Bloqueie extens√Ķes de anexo de e-mail indesejadas e n√£o autorizadas. O Gmail bloqueou essas extens√Ķes e tamb√©m pode ser bloqueado em suas organiza√ß√Ķes. .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib , .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc , .wsf, .wsh

B.) Restringir os funcionários a executar os scripts no nível do endpoint.
C.) Conscientização do usuário sobre e-mails de spam e treinamento adequado.

RDP ‚Äď Remote Desktop Protocol (Porta 3389) A identifica√ß√£o de servidores com conex√Ķes RDP vulner√°veis ‚Äč‚Äč(a porta 3389 √© o padr√£o) tornou-se incrivelmente f√°cil gra√ßas a ferramentas de verifica√ß√£o como Shodan e Masscan.

A partir da√≠, √© simplesmente uma quest√£o de aplicar ferramentas de for√ßa bruta como o NLBrute para quebrar as credenciais da conta RDP, e os invasores est√£o dentro. Alternativamente, se os invasores estiverem se sentindo especialmente pregui√ßosos, eles podem simplesmente ir para o DarkMarket xDedic subterr√Ęneo, onde o acesso RDP para um servidor comprometido pode custar apenas US$6.

O RDP se tornou um vetor de infecção favorito para criminosos de ransomware, em particular, com os atores por trás de SamSam, CrySiS, LockCrypt, Shade, Apocalypse e outras variantes entrando em ação.

Mecanismo de defesa do abuso de RDP:
‚ÄĘ Restringir o acesso atrav√©s de firewalls
‚ÄĘ Use senhas fortes e 2FA/MFA
‚ÄĘ Limitar usu√°rios que podem fazer login usando RDP
‚ÄĘ Defina uma pol√≠tica de bloqueio de conta para enfrentar ataques de for√ßa bruta.

Estágio 1A: Recuperação de cargas de servidores de Comando e Controle.

Em variantes recentes, os e-mails s√£o op√ß√Ķes vi√°veis ‚Äč‚Äčpara os ciberataques induzirem a v√≠tima a clicar em qualquer link malicioso com palavras ou imagens atraentes. Em alguns cen√°rios, o e-mail √© o primeiro est√°gio para atrair a v√≠tima a executar qualquer script do e-mail, o que abusar√° dos aplicativos do usu√°rio e baixar√° quaisquer cargas √ļteis para o segundo est√°gio da infec√ß√£o. Desabilitar ou restringir o download de arquivos da Internet por recursos leg√≠timos pode ajudar a impedir a recupera√ß√£o de carga √ļtil.

Os ciberataques sempre adoram abusar de aplicativos legítimos do Microsoft Office para atingir seus objetivos. Porque
1.) Os aplicativos do Office s√£o universalmente aceitos. A maioria dos nomes de anexos usados ‚Äč‚Äčpor invasores em um e-mail (Fatura, Planilha, Relat√≥rios, Balan√ßos, Documentos, Propostas)
2.) Os aplicativos do Office são fáceis de transformar em armas. Os recursos integrados da Microsoft são atraídos pelos invasores e eles os utilizam de diversas maneiras.

Como os invasores abusam dos aplicativos da Microsoft para recuperar cargas √ļteis?

A.) Macros ‚Äď Desativar ou restringir
B.) Vincula√ß√£o e incorpora√ß√£o de objetos (OLE) ‚Äď Desativar ou restringir
C.) Dynamic Data Exchange (DDE) ‚Äď Funcionalidade removida do Word, ainda precisa ser desabilitada no Excel e Outlook
D.) Explorando o Editor de Equa√ß√Ķes ‚Äď CVE-2017-11882 ‚Äď Funcionalidade removida em janeiro de 2018 Windows Atualiza√ß√£o de seguran√ßa

N√≥s recomendamos:  Como Switch Para ativar o modo de seguran√ßa do Chrome Windows & Mac

N√£o apenas os aplicativos do Microsoft Office, os invasores tamb√©m usam aplicativos leg√≠timos e Windows ferramentas integradas para recuperar cargas √ļteis.

A.) VBScript e JavaScript ‚Äď Desativando se n√£o for necess√°rio
B.) Powershell ‚Äď Desativando ou reduzindo os recursos usando Applocker ou Windows Pol√≠tica de restri√ß√£o de software (SRP).
C.) Abusar de certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe e curl.exe ‚Äď Bloqueio do aplicativo e impedimento de fazer solicita√ß√Ķes de sa√≠da.

Aplicativos leg√≠timos O seguinte pode ser usado para contornar a lista de permiss√Ķes de aplicativos: Recomenda-se Bloqueio ou Sob Monitoramento.

Estágio 2: Certifique-se de que o malware não seja executado e se espalhe pela organização

Tradicionalmente, as organiza√ß√Ķes confiam em software antiv√≠rus (AV) para impedir a execu√ß√£o de malware.

Os ataques evoluíram para contornar/evitar AV. Para ser eficaz, o software de proteção de endpoint deve utilizar aprendizado de máquina para análise de arquivos mais inteligente e análise de atividades do sistema em tempo real, projetada para detectar e bloquear comportamentos maliciosos.

A lista de permiss√Ķes de aplicativos √© outra boa camada, mas pode ser dif√≠cil de manter. Os invasores tamb√©m podem contornar a lista de permiss√Ķes e o antiv√≠rus injetando c√≥digo malicioso em processos aprovados.

Os invasores tamb√©m podem contornar a lista de permiss√Ķes e muitas solu√ß√Ķes AV/NGAV injetando c√≥digo malicioso no espa√ßo de mem√≥ria de um processo leg√≠timo, sequestrando assim seus privil√©gios e executando sob seu disfarce.

H√° uma variedade de t√©cnicas de inje√ß√£o maliciosa que os invasores podem utilizar; Inje√ß√£o de DLL, inje√ß√£o reflexiva de DLL, esvaziamento de processo, doppelg√§nging de processo, bombardeio at√īmico, etc.

A defesa contra a execução de malware em seu ambiente é,

1.) Proteção de endpoint.
2.) Lista de permiss√Ķes de aplicativos
3.) Se possível, desative ou restrinja a execução de scripts pelos usuários
4.) Windows Controle sobre pastas
5.) Para evitar técnicas de injeção, processos de monitoramento e chamadas de API.

Estágio 3: Garanta que seus dados não sejam exfiltrados ou violados durante/após o estágio final da cadeia de ataque

Depois que os invasores t√™m acesso inicial, sua aten√ß√£o se volta para as atividades p√≥s-explora√ß√£o. Para continuar operando sob o radar, os invasores preferem ‚Äúvivendo da terra‚ÄĚ, usando ferramentas e processos leg√≠timos j√° presentes no sistema. Um dos primeiros objetivos da p√≥s-explora√ß√£o √© normalmente o escalonamento de privil√©gios, o processo de obten√ß√£o de direitos e acesso adicionais para alcan√ßar persist√™ncia.

Os invasores podem abusar das ferramentas e funcionalidades do sistema para criar v√°rios pontos de carga, incluindo o armazenamento de scripts no registro.

Um n√ļmero crescente de variantes de malware √© projetado para se propagar automaticamente, muitas vezes atrav√©s do abuso de ferramentas de administra√ß√£o remota.

A estratégia de abusar de programas legítimos e funcionalidades integradas para realizar atividades maliciosas sem levantar sinais de alerta. Alguns
as ferramentas mais comumente abusadas são PowerShell, Windows Instrumentação de Gerenciamento (WMI) e ferramentas de administração remota como PsExec.

N√≥s recomendamos:  O Huawei P11 chegar√° com uma c√Ęmera traseira dupla de 24 megapixels e 128 GB de mem√≥ria

Técnicas de ataque e mecanismos de defesa:

1.) Abusar de programas projetados para elevar automaticamente
a.) Use o nível mais alto de aplicação do UAC sempre que possível.
b.) Ative o modo de aprovação de administrador.
c.) Remova usuários do grupo de administração local.
2.) Sequestro de DLL
a.) Software de proteção de endpoint.
b.) Proibir o carregamento de DLLs remotas.
c.) Ative o modo de pesquisa segura de DLL.

3.) Explora√ß√Ķes de escalonamento de privil√©gios (roubo de token, explora√ß√£o de vulnerabilidades de desrefer√™ncia de ponteiro NULL, configura√ß√£o de descritores de seguran√ßa como NULL, etc.)
a.) Software de proteção de endpoint com espaço de usuário, espaço de kernel e visibilidade em nível de CPU.
4.) Dumping de credenciais
a.) Desative o cache de credenciais.
b.) Desative ou restrinja o PowerShell com AppLocker.
c.) Pratique o mínimo de privilégios e evite a sobreposição de credenciais.
d.) Software de proteção de endpoint que protege LSASS e outros armazenamentos de credenciais
5.) Técnicas de movimento lateral (abusar de ferramentas de administração remota, etc.)
a.) Recomenda√ß√Ķes de configura√ß√Ķes do UAC.
b.) Melhores práticas de segmentação de rede (ref: SANS)
c.) Autenticação de dois fatores (2FA).
6.) Escondendo scripts maliciosos no registro
a.) Monitore com Autoruns.
7.) Criação de tarefas agendadas maliciosas
a.) Monitore para Windows ID de evento do log de segurança 4698.
8.) Abusar do WMI para acionar a execução de scripts com base em eventos (na inicialização, etc.)
a.) Crie assinaturas defensivas de eventos WMI.
a.) Quando possível, defina uma porta fixa para WMI remoto e bloqueie-a.

Conclus√£o

Trata-se da compreensão básica de que tipo de vetores de ameaças e superfícies de ataque podemos encontrar em nossa organização e da construção de um muro de defesa em um nível básico.

Isso n√£o fornecer√° 100% de seguran√ßa contra todas as amea√ßas, h√° mais formas exclusivas surgindo e surgem mais correla√ß√Ķes dos padr√Ķes de malware. Portanto, devemos garantir que j√° estamos seguros contra o padr√£o conhecido de ataques cibern√©ticos com base nas recomenda√ß√Ķes acima.