Vídeo: Como descobrimos as APTs (Ameaças Persistentes Avançadas) (Novembro 2024)
A frase "Ameaça persistente avançada" traz à minha mente uma imagem específica, um grupo de hackers dedicados, buscando incansavelmente novos ataques de dia zero, monitorando de perto a rede de vítimas e roubando dados silenciosamente ou realizando sabotagem secreta. Afinal, o infame worm Stuxnet precisava de várias vulnerabilidades de dia zero para atingir seu objetivo, e o spinoff do Stuxnet Duqu usou pelo menos um. No entanto, um novo relatório da Imperva revela que é possível realizar esse tipo de ataque usando meios muito menos sofisticados.
Um pé na porta
O relatório entra em detalhes sérios sobre um ataque específico que segue informações confidenciais armazenadas nos servidores de uma empresa. O principal argumento é esse. Os atacantes absolutamente não montam um ataque no servidor. Em vez disso, eles buscam os dispositivos menos seguros na rede, comprometem-nos e, pouco a pouco, trocam esse acesso limitado ao nível de privilégio de que precisam.
O ataque inicial geralmente começa com um estudo da organização da vítima, buscando as informações necessárias para criar um email direcionado de "spear phishing". Quando um funcionário infeliz ou outro clica no link, os bandidos ganham uma posição inicial.
Usando esse acesso limitado à rede, os atacantes ficam de olho no tráfego, procurando especificamente por conexões de locais privilegiados até o endpoint comprometido. Uma fraqueza em um protocolo de autenticação muito usado chamado NTLM pode permitir que eles capturem senhas ou hashes de senha e, assim, obtenham acesso ao próximo local de rede.
Alguém envenenou o furo de água!
Outra técnica para se infiltrar ainda mais na rede envolve compartilhamentos de redes corporativas. É muito comum que as organizações repassem informações através desses compartilhamentos de rede. Alguns compartilhamentos não devem conter informações confidenciais, portanto, eles são menos protegidos. E, assim como todos os animais visitam o poço de água da selva, todos visitam esses compartilhamentos de rede.
Os invasores "envenenam o poço", inserindo links de atalho especialmente criados que forçam a comunicação com as máquinas que eles já comprometeram. Essa técnica é tão avançada quanto escrever um arquivo em lotes. Há um recurso do Windows que permite atribuir um ícone personalizado para qualquer pasta. Os bandidos simplesmente usam um ícone localizado na máquina comprometida. Quando a pasta é aberta, o Windows Explorer precisa acessar esse ícone. É uma conexão suficiente para permitir que a máquina comprometida ataque através do processo de autenticação.
Mais cedo ou mais tarde, os atacantes obtêm o controle de um sistema que tem acesso ao banco de dados de destino. Nesse ponto, tudo o que eles precisam fazer é extrair os dados e cobrir suas trilhas. A organização da vítima pode nunca saber o que os atingiu.
O que pode ser feito?
O relatório completo entra em muito mais detalhes do que minha descrição simples. Os especialistas em segurança vão querer lê-lo, com certeza. Os não-gananciosos que estão dispostos a passar despercebidos ainda podem aprender com isso.
Uma ótima maneira de encerrar esse ataque específico seria parar completamente de usar o protocolo de autenticação NTLM e mudar para o protocolo Kerberos muito mais seguro. Problemas de compatibilidade com versões anteriores tornam essa ação extremamente improvável.
A principal recomendação do relatório é que as organizações monitorem de perto o tráfego de rede em busca de desvios do normal. Também sugere situações limitadas em que processos de alto privilégio se conectam aos pontos de extremidade. Se redes grandes o suficiente tomarem medidas para bloquear esse tipo de ataque relativamente simples, os atacantes podem ter que se prender e encontrar algo verdadeiramente avançado.