Os invasores estão cada vez mais abandonando ataques diretos e barulhentos em favor de táticas mais sutis e furtivas. Eles estão passando despercebidos e alcançando longos tempos de permanência com a ajuda de estratégias mais modulares e malware complexo em vários estágios.
Como resultado, os defensores devem repensar a sua abordagem para descobrir estas ameaças ocultas antes de atacarem.
CTO de Análise de Ameaças na OPSWAT.
Fugir é o novo normal?
Os ciberataques geralmente seguirão o caminho de menor resistência; se uma tática funcionar, eles continuarão a usá-la. Quando as empresas estiverem suficientemente armadas com defesas eficazes, as ferramentas e tácticas ofensivas adaptar-se-ão para as contornar.
Estamos agora testemunhando esse ponto de inflexão. Os sistemas de detecção tradicionais podem detectar ataques padrão de forma confiável o suficiente para que os grupos criminosos explorem opções mais sutis e complexas. Em vez de lançar campanhas de força bruta em grande escala, os agentes de ameaças estão otimizando a persistência.
Eles querem permanecer incorporados por semanas ou meses, coletando dados silenciosamente ou preparando-se para ataques mais eficazes.
Esta mentalidade furtiva também é impulsionada pela economia. O cibercrime como serviço disponibilizou técnicas sofisticadas de evasão, o que significa que mesmo operadores de baixo nível podem comprar ferramentas modulares e furtivas prontas para uso.
A telemetria do OPSWAT mostrou um aumento de 127% na complexidade do malware ao longo de seis meses, normalmente na forma de cargas difusas de vários estágios projetadas para evitar a detecção estática.
Quais são as tendências mais marcantes?
A crescente complexidade do malware é certamente um dos desenvolvimentos mais preocupantes.
Embora não faltem malwares básicos, mais grupos estão implantando cadeias de scripts multifásicas. Eles geralmente combinam scripts PowerShell, JavaScript e Batch que disfarçam cada fase de execução. Esses carregadores leves e modulares tornam a detecção mais difícil.
A amostra média de vários estágios que analisamos este ano tinha 18 nós comportamentais, contra oito seis meses antes. Esse salto mostra como os invasores colocam mais confusão e lógica de decisão em cada cadeia.
Também estamos vendo invasores armarem plataformas altamente distribuídas para apoiar suas táticas furtivas, à medida que o tráfego de comando e controle está cada vez mais oculto em ferramentas como o Planilhas Google ou o Calendário.
As campanhas também terão como objetivo explorar o comportamento humano, como o ataque ‘ClickFix’, que engana as vítimas para que executem avisos maliciosos de execução do Windows. Não há cargas úteis de malware ou URLs maliciosos envolvidos, portanto, nada pode ser detectado pelas ferramentas padrão.
Porque é que tantos defensores continuam a lutar para detectar estas ameaças?
Muitas organizações ainda operam com uma mentalidade de “ameaças conhecidas”, contando com ferramentas baseadas em assinaturas estáticas para indicar qualquer coisa conhecida. Tem sido bastante bem-sucedido há muitos anos, a ponto de os invasores terem que alterá-lo.
Mas os malwares mais avançados de hoje raramente veem a mesma coisa duas vezes. Ofuscação, criptografia e execução sem arquivo significam que muitas vezes não há nada que corresponda a esses sistemas.
Em nossa análise comportamental, descobrimos que um em cada 14 arquivos descartados como benignos por feeds públicos era malicioso. Este é um grande ponto cego para qualquer estratégia de defesa que dependa de assinaturas de ameaças conhecidas.
Como as organizações podem lidar com esses ataques furtivos?
Ferramentas de detecção padrão ainda serão necessárias para muitas ameaças de baixo nível, mas os arquitetos de segurança também devem adotar uma estratégia comportamental primeiro.
Ele se concentra em definir o que um arquivo faz, não apenas em sua aparência. Em vez de confiar em indicadores estáticos, os defensores analisam a execução em tempo real para ver como um arquivo se comporta. Isso inclui avaliar quais processos ele gera, quais registros ele toca e como ele interage com a rede ou com a memória do sistema.
O sandboxing adaptável e a emulação podem expor com segurança comportamentos ocultos, como malware somente de memória ou scripts que são descriptografados e executados apenas em tempo de execução.
No OPSWAT, vimos que a combinação da análise comportamental com a pesquisa de similaridade de aprendizado de máquina atinge uma precisão de detecção de 99,97%. Essa abordagem acelera a detecção e a precisão, revelando novas ameaças 24 horas antes de aparecerem em feeds OSINT públicos.
O que mais podem os líderes de segurança fazer para criar resiliência?
Um dos fatores mais importantes na construção de uma verdadeira resiliência é adotar uma abordagem multifacetada.
Portanto, embora a primeira abordagem do comportamento seja fundamental, há outros elementos a serem considerados. Uma capacidade importante é a implementação de diodos de dados. Estas são unidades de hardware que impõem um fluxo de dados unidirecional, fornecendo um C2 mais sutil e uma barreira eficaz contra táticas de infiltração.
Junto com isso, a implantação de uma solução de transferência gerenciada de arquivos (MFT) fornecerá outra camada de defesa, bloqueando e protegendo automaticamente riscos potenciais.
Finalmente, outra abordagem valiosa é implementar Desarmamento e Reconstrução de Conteúdo (CDR). Isso trata todos os arquivos recebidos como maliciosos por padrão e os reconstruirá e limpará para remover completamente as ameaças ocultas antes que elas entrem no seu sistema.
O passo mais importante é aceitar que a furtividade está se tornando o modo padrão de ataque. Os defensores devem evoluir em conformidade, priorizando a adaptabilidade entre pessoas, processos e tecnologia. A detecção e resposta contínuas devem substituir a verificação em tempo real, enquanto a inteligência sobre ameaças deve fluir livremente entre ferramentas e equipes.
Os gestores de segurança devem concentrar-se em saber como uma ameaça se comporta. A integração do contexto comportamental em cada estágio do pipeline de segurança ajuda as equipes a tomar decisões mais rápidas e inteligentes.
Acima de tudo, uma defesa bem-sucedida exige uma abordagem contínua à segurança. As organizações que aprendem com cada evento estarão sempre à frente.
Apresentamos o melhor curso online de segurança cibernética.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
