A segurança cibernética é uma batalha contínua entre ataque e defesa, e os invasores continuam a apresentar novos desafios. Técnicas mais antigas, como a esteganografia – a arte de ocultar informações, incluindo cargas maliciosas em arquivos que parecem inofensivos, como imagens – estão evoluindo, levando a novas possibilidades.
No entanto, além de usar técnicas de ofuscação, esteganografia e empacotamento de malware, os hackers, hoje, frequentemente tiram proveito de serviços, plataformas, protocolos e ferramentas legítimas para conduzir suas atividades. Isso permite que eles se misturem com tráfego ou atividades que podem parecer “limpas” até para profissionais de segurança da informação ou mesmo para os softwares de segurança.
Aqui estão quatro táticas que os cibercriminosos estão usando para cobrir seus rastros hoje.
Abusam de plataformas confiáveis que não irão acionar alarmes
Este foi um tema comum visto por profissionais de segurança da informação, em 2020. De serviços e ferramentas de teste de penetração, como Cobalt Strike e Ngrok, o ecossistemas de código aberto como o GitHub, a sites de imagem como Freepik e Pixabay, os invasores têm como alvo uma ampla variedade de plataformas confiáveis apenas nos últimos anos.
Normalmente, o Ngrok é usado por hackers éticos interessados em coletar dados ou simular uma configuração de túnel para conexões de entrada como parte de exercícios de recompensa de bugs. Mas hackers mal-intencionados abusaram do Ngrok para instalar malware de botnet diretamente ou conectar um serviço de comunicação legítimo a um servidor mal-intencionado.
Como o Ngrok é amplamente confiável, o invasor remoto pode se conectar ao sistema infectado por meio de um túnel criado com Ngrok, que provavelmente irá ignorar os firewalls corporativos.
Ataques upstream que capitalizam o valor, a reputação ou a popularidade de uma marca
Seja na forma de typosquatting ou brandjacking, os crimes cibernéticos “upstream” exploram a confiança do ecossistemas de parceiros e capitalizam a popularidade ou reputação de uma marca ou componente de software. Os invasores pretendem enviar código malicioso upstream para uma base de código confiável associada a uma marca, que então é distribuída em downstream para o alvo final: os parceiros, clientes ou usuários dessa marca.
Qualquer sistema aberto a todos, também, está aberto a adversários. Assim, muitos ataques à cadeia de suprimentos visam ecossistemas de código aberto, alguns dos quais têm validação negligente para defender o princípio “aberto a todos”. No entanto, as organizações comerciais, também, estão sujeitas a esses ataques.
A proteção contra ataques à cadeia de suprimentos requer ação em várias frentes. Os provedores de software irão precisar aumentar o investimento para manter suas compilações de desenvolvimento seguras. Assim como em soluções de devops baseadas em inteligência artificial e machine learning, capazes de detectar e bloquear automaticamente componentes de software suspeitos, podendo ajudar a evitar ataques de typosquatting ou brandjacking.
Usam canais e protocolos comuns
Plataformas e marcas confiáveis, canais, portas e protocolos criptografados usados por aplicativos legítimos, pode ser uma outra maneira de os invasores mascararem seus passos.
Por exemplo, HTTPS é um protocolo universalmente indispensável para a Web hoje e, por esse motivo, a porta 443 (usada por HTTPS/SSL) é muito difícil de bloquear em um ambiente corporativo.
No entanto, o DNS sobre HTTPS (DoH) – um protocolo para resolução de domínios-, também usa a porta 443 e foi abusado por autores de malware para transmitir seus comandos e controle (C2) para sistemas infectados.
Há dois aspectos neste problema: Primeiro, ao abusar de um protocolo comumente usado como HTTPS ou DoH, os invasores desfrutam dos mesmos benefícios de privacidade dos canais criptografados de ponta a ponta que os usuários legítimos.
Em segundo lugar, isso apresenta dificuldades para os administradores de rede. Bloquear o DNS de qualquer forma representa um desafio, mas, agora, como as solicitações e respostas de DNS são criptografadas por HTTPS, torna-se um incômodo para os profissionais de segurança interceptar, isolar e analisar o tráfego suspeito de muitas solicitações HTTPS que entram e saem através da rede.
Usam binários assinados para executar malware ofuscado
O conceito familiar de malware sem arquivo usando binários (LOLBINs) continua sendo uma técnica de evasão válida.
LOLBINs referem-se a arquivos executáveis legítimos assinados digitalmente, como executáveis do Windows assinados pela Microsoft, que podem ser usados indevidamente por invasores para lançar código malicioso com privilégios elevados ou para evitar produtos de segurança de endpoint, como antivírus.
Codificam o malware em linguagens de programação incomuns
Essas linguagens adicionam malware de duas maneiras. Primeiro, reescrever o malware em uma nova linguagem em que as ferramentas de detecção baseadas em assinatura não o irão sinalizar mais (pelo menos até que novas assinaturas sejam criadas). Em segundo lugar, as próprias linguagens agem como uma camada de ofuscação. Por exemplo, o malware de primeiro estágio usado para decodificar, carregar e implantar outro malware comum é escrito em uma linguagem incomum, e isso pode ajudar a evitar a detecção no endpoint. Atualmente, existem poucas ofuscações personalizadas para malware escrito nessas linguagens. Um dos mais comuns é o Gobfuscate para malware codificado com Go. Ele é capaz de manipular nomes de pacotes, funções, tipos e métodos, bem como variáveis globais e strings.
