Por um momento, pense na perspectiva de alguém que quer invadir uma organização do governo. Pense no que eles querem fazer. Apreender registros críticos, criptografar a unidade e mantê-la como resgate? Converter parte de um recurso em uma operação de mineração de criptomoeda? Ou, pior ainda, tentar interromper ou derrubar infraestrutura crítica (por exemplo, serviços públicos, sistemas de transporte, defesa)?À medida que exploramos o tema final do Mês Nacional de Conscientização sobre Segurança Cibernética, “Salvaguardando a Infraestrutura Crítica da Nação”, achei que seria valioso ir a uma fonte confiável.Para obter uma perspectiva melhor das ameaças à infraestrutura crítica, entrevistei um hacker habilidoso. Este é o seu plano.
Recon & Recode
Primeiro, ele disse que faria reconhecimento na organização para procurar possíveis vulnerabilidades. Faz sentido.Mas seu próximo passo é preocupante. Ele tomaria uma forma de malware que ele usava antes - ou outra que encontrasse à venda em um kit de exploração projetado para abusar de uma vulnerabilidade - e a personalizaria para essa organização específica. A personalização pode ser tão simples quanto fazer algumas alterações estéticas no código ou alterar a programação para fazer algo ligeiramente diferente com base em tentativas anteriores com falha.Este passo é importante. O novo lote de código não foi registrado com nenhum fornecedor de firewall, fornecedor de antivírus, pesquisador de segurança, etc. A organização-alvo não pode pará-lo se seus controles de segurança não tiverem a capacidade de conduzir análises de código comportamental com dia zero. detonação de código.Além disso, se alguém quiser levá-lo para o próximo nível, esse código deve chegar por meio de um canal criptografado, na esperança de que eles não realizem a inspeção do tráfego HTTPS no Man-in-the-Middle (MITM). Isso pode ser entregue simplesmente através de mídia social ou webmail.
Entrega de carga útil
Agora é hora da parte favorita de todos: entrega de carga. No momento em que escrevo, estou olhando para um banco de dados de geração de leads de vendas on-line acessível ao público. Na ponta dos dedos de alguém são milhões de nomes e endereços de e-mail para contatos em companhias aéreas, varejistas para o ensino superior. O hacker mal-intencionado pode facilmente baixar 5.886 contatos de um departamento de transporte do estado ou 4.142 de uma agência canadense anteriormente atacada.Se ele quiser, ele pode enviar um anexo infectado pedindo a abertura de 526 contatos de uma agência do governo de Cingapura, ou isentar 2.839 pessoas sem rosto em um departamento de saúde sem nome para clicar em seu link malicioso.Apesar do treinamento de conscientização e dos esforços para manter os sistemas atualizados e consertados, 11% das pessoas abrirão o anexo de acordo com um estudo da Verizon . Dentro dessa população, haverá sistemas que ele pode infectar e usar como ponto de partida para levar seu malware a um sistema de destino - ou, pelo menos, conceder a ele acesso de backdoor ou uma credencial coletada para começar a trabalhar manualmente.
Um hacker seleciona contatos para um esquema de phishing contra um departamento de educação do condado americano.
Como se defender contra malware personalizado
Esse método é muito parecido com o que estamos vendo acontecer todos os dias. O malware personalizado é a principal razão pela qual a SonicWall descobriu e interrompeu mais de 56 milhões de novas formas de malware em 2017 .Em uma organização do governo equipada com a tecnologia SonicWall, o e-mail pode ser interrompido primeiro pela segurança de e-mail com base no domínio ou em outras estruturas da mensagem, mas você não pode dar como certo.Se o malware for entregue por meio de um anexo, a tecnologia de e-mail seguro SonicWall poderá testar o arquivo na caixa de proteção de nuvem Capture ATP para entender o que o arquivo deseja fazer. O SonicWall Email Security também pode aproveitar o Capture ATP para verificar URLs maliciosas incorporadas em ataques de phishing.Para saber mais sobre essa tecnologia, leia “Por dentro da nuvem Sandbox: Como funciona a proteção avançada contra ameaças de captura (ATP) ” e analise o gráfico abaixo.
Protegendo pontos de extremidade além do firewall
Mas e os funcionários que não estão atrás do firewall? E se o malware for criptografado e o administrador não ativar a capacidade de inspecionar o tráfego criptografado (DPI-SSL)? E quanto a um domínio infectado que envia malware sem arquivo através de um anúncio infectado?A resposta para isso é o SonicWall Capture Client , uma solução de segurança de terminal baseada em comportamento . O antivírus tradicional (AV) que vem de graça com computadores (por exemplo, Norton, TrendMicro, McAfee, etc.) ainda está disponível, mas eles apenas verificam arquivos que são conhecidos como maliciosos.Em uma era de malwares personalizados e técnicas de distribuição criativa, é quase obsoleto. É por isso que as organizações governamentais em todos os países preferem o uso de antivírus baseado em comportamento, chamado de EPP (Endpoint Protection Platforms) ou NGAV (Next-Generation Antivirus).Essas formas de antivírus examinam o que está acontecendo no sistema em busca de comportamento mal-intencionado, o que é excelente em relação a malwares personalizados, malwares sem arquivo e pendrives infectados. As soluções NGAV não exigem atualizações freqüentes de assinaturas e sabem como procurar atividades ruins e podem desativá-las, em muitos casos, antes de serem executadas.No caso do SonicWall Capture Client, ele pode não apenas parar as coisas antes que elas aconteçam, mas também reverter os sistemas Windows para um estado bom conhecido se o terminal estiver comprometido. Isso é extremamente útil com ransomware, pois você pode restaurar arquivos criptografados e continuar como se a infecção nunca tivesse ocorrido. Além disso, como mencionei acima, o Capture Client também faz uso do Capture ATP para encontrar e eliminar o malware que está esperando para ser executado.Por fim, usando o SonicWall Capture Cloud Platform, as agências governamentais e escritórios em todo o mundo estão protegidos contra o ataque de novos malwares, que geralmente são projetados para penetrar em seus sistemas. Para obter mais informações sobre o que fazemos e ou conduzir uma prova de conceito sem riscos em seu ambiente entre em contato com a nossa equipe.