ATAQUES FILELESS

Prévia do material em texto

Ataques Fileless: 
uma ameaça 
quase invisível
Agosto/2019
© 2019 Trend Micro Inc.2
Agenda
• Definindo um ataque fileless
• Exemplos de ataques
• Alguns fatos sobre ameaças fileless
• Técnicas gerais de defesa
• Recursos disponívels no Apex One contra 
ataques fileless
Definindo um 
ataque fileless
© 2019 Trend Micro Inc.4
Em um ataque fileless, as atividades
maliciosas são realizadas sem a utilização
de executáveis maliciosos.
© 2019 Trend Micro Inc.5
Ataque Fileless é também conhecido por…
• Non malware attack
• Bodiless malware 
• Memory-based malware
• Living off the land
© 2019 Trend Micro Inc.6
Como o Gartner define os ataques fileless
• Utilização de aplicações íntegras
• Injeção de DLLs e códigos maliciosos em 
processos legítimos
• Ataques baseados em scripts através de 
códigos interpretados Ex. Java, PowerShell, and WMIC
• Códigos de Exploits armazenados em 
registro
Exemplos de 
ataques
© 2019 Trend Micro Inc.8
Malware (e proteção) “tradicional”
Fonte: Buddy Tancio, Hunting for Ghosts in Fileless Attacks
P
o
n
to
 d
e
 E
n
tr
ad
a
SpamMail/Phishing
email
Site Comprometido
Exploit
USB Storage Device
Anexo Malicioso
Download de Arquivos
Transferência de Arquivos
Execução Automática
Arquivo é gravado no disco
Neste momento ele é analisado
pelas soluções tradicionais
Ação final
© 2019 Trend Micro Inc.9
Fileless Malware
P
o
n
to
 d
e
 E
n
tr
ad
a
Exploit
O código 
malicioso é 
executado direto 
em memória
Ex.: Process Hollowing ou DLL Injection
Injeção de código
Fo
n
te
:B
u
d
d
y 
Ta
n
ci
o
, H
u
n
ti
n
g 
fo
r 
G
h
o
st
s 
in
 F
ile
le
ss
 A
tt
ac
ks
RCE
© 2019 Trend Micro Inc.10
Injeção de código
Fileless Malware
P
o
n
to
 d
e
 E
n
tr
ad
a
Código Fileless
Site Comprometido / Exploit Kits
Malware/Phishing
email
Documento
Comprometido
Carrega o script diretamente na memória 
através de aplicações permitidas como 
Powershell, Wscript, CScript
Baseado em Script
Ex.: Process Hollowing ou DLL Injection
Fo
n
te
:B
u
d
d
y 
Ta
n
ci
o
, H
u
n
ti
n
g 
fo
r 
G
h
o
st
s 
in
 F
ile
le
ss
 A
tt
ac
ks
© 2019 Trend Micro Inc.11
Fileless Malware
P
o
n
to
 d
e
 E
n
tr
ad
a
Código Fileless
Exploit
Site Comprometido / Exploit Kits
Malware/Phishing
email
Documento
Comprometido
Carrega o script diretamente na memória 
através de aplicações permitidas como 
Powershell, Wscript, CScript
Baseado em Script
Ex.: Process Hollowing ou DLL Injection
Injeção de código
Ação final
Persistência
Tarefa agendada
Registro
Fo
n
te
:B
u
d
d
y 
Ta
n
ci
o
, H
u
n
ti
n
g 
fo
r 
G
h
o
st
s 
in
 F
ile
le
ss
 A
tt
ac
ks
© 2019 Trend Micro Inc.12
Local Machine
Criado %temp%\y1.bat 
e uma tarefa de 
execução agendada.
Malware CnC
Executa script powershell de 
hxxp://[IP]:8000/info3.ps1 ou
hxxp://[IP]:8000/Ps6.ps1
Credenciais do usuário são 
extraídas da memória com 
o mimikatz.
Uma vulnerabilidade 
como EternalBlue é 
explorada Network Machines
- Utiliza credenciais para 
atacar outras máquinas 
da rede.
- Se a credencial falhar, 
tenta explorar a 
vulnerabilidade 
EternalBlue
- Ao final, várias 
máquinas são afetadas, 
o que gera receita para 
o atacante
Código malicioso é 
implementado através 
de WMI
- O Código do COINMINER é 
carregado em memória
- As máquinas iniciam 
mineiração no Monero sem 
autorização do usuário
- As máquinas ficam lentas e 
com alta utilização de CPU
As únicas ações 
perceptíveis são:
- %temp%\y1.bat
- Instalação de serviço 
WMI
- Execução do 
powershell.exe
Fluxo de ataque: CoinMine
© 2019 Trend Micro Inc.13
Local Machine
Criado %temp%\y1.bat 
e uma tarefa de 
execução agendada.
Malware CnC
Executa script powershell de 
hxxp://[IP]:8000/info3.ps1 ou
hxxp://[IP]:8000/Ps6.ps1
Credenciais do usuário 
são extraídas da memória 
com o mimikatz.
Uma vulnerabilidade 
como EternalBlue é 
explorada Network Machines
- Utiliza credenciais para 
atacar outras máquinas 
da rede.
- Se a credencial falhar, 
tenta explorar a 
vulnerabilidade 
EternalBlue
- Ao final, várias 
máquinas são afetadas, 
o que gera receita para 
o atacante
Código malicioso é 
implementado através 
de WMI
- Ransomware carregado 
em memória
- Arquivos são 
criptografados sem o 
consentimento do 
usuário
- As máquinas ficam lentas 
e com alta utilização de 
CPU
As únicas ações 
perceptíveis são:
- %temp%\y1.bat
- Instalação de serviço 
WMI
- Execução do 
powershell.exe
Fluxo de ataque: Ransomware
© 2019 Trend Micro Inc.14
Local Machine
Criado %temp%\y1.bat 
e uma tarefa de 
execução agendada.
Malware CnC
Executa script powershell de 
hxxp://[IP]:8000/info3.ps1 ou
hxxp://[IP]:8000/Ps6.ps1
Credenciais do usuário 
são extraídas da memória 
com o mimikatz.
Uma vulnerabilidade 
como EternalBlue é 
explorada Network Machines
- Utiliza credenciais para 
atacar outras máquinas 
da rede.
- Se a credencial falhar, 
tenta explorar a 
vulnerabilidade 
EternalBlue
- Ao final, várias 
máquinas são afetadas, 
o que gera receita para 
o atacante
Código malicioso é 
implementado através 
de WMI
- Infostealer carregado em 
memória
- Informações são extraídas 
sem o consentimento do 
usuário
As únicas ações 
perceptíveis são:
- %temp%\y1.bat
- Instalação de serviço 
WMI
- Execução do 
powershell.exe
Fluxo de ataque: InfoStealer
Alguns fatos sobre 
ameaças fileless
© 2019 Trend Micro Inc.16
Fato #1 : Ataques fileless não são novos!
2001 
Code Red
O termo “fileless” foi
utilizado para definir
um malware 
executado
diretamente em
memória
© 2019 Trend Micro Inc.17
Ataque
“fileless” 
combinado
com 
exploração de 
vulnerabilidade
Fato #1 : Ataques fileless não são novos!
2001 2003 
Code Red SQL Slammer
© 2019 Trend Micro Inc.18
Utilização de 
powershell, 
javascript e técnicas
de persistência, sem
utilização de arquivo
malicioso
Fato #1 : Ataques fileless não são novos!
2001 2003 2014 
Code Red SQL Slammer
Powerliks, Angler, 
Phase Bot
© 2019 Trend Micro Inc.19
A expressão “living 
off the land” foi
utilizada para 
descrever ameaças
que utilizam apenas
aplicações legítimas
Fato #1 : Ataques fileless não são novos!
2001 2003 2014 2017
Code Red SQL Slammer
Powerliks, Angler, 
Phase Bot
POSHSPY
© 2019 Trend Micro Inc.20
Fato #2 : Funciona!!
54%
77%
Em 2018, 54% das empresas sofreram pelo 
menos um ou mais ataques bem sucedidos, 
comprometendo dados ou sua estrutura de TI.
77% destes ataques 
utilizaram técnicas 
de fileless.
Fonte: The Ponemon Institute
https://www.barkly.com/ponemon-2018-endpoint-security-statistics-trends
© 2019 Trend Micro Inc.21
Fato # 3: Combinação de técnicas
• Ransonware
• Trojans
– Keylogger
– Backdoor
– Bank
• Exploits
• Coinminers
• Targeted Attacks
© 2019 Trend Micro Inc.22
Fato #4 : Está se tornando (muito) popular
Fonte: Trend Micro
Detecções de 
ameaças fileless 
entre Jan/2018 a 
Jun/2019
© 2019 Trend Micro Inc.23
Fato #4 : Está se tornando (muito) popular
Fonte: Trend Micro
Detecções de 
ameaças fileless 
entre Jan/2018 a 
Jun/2019
396%
© 2019 Trend Micro Inc.24
Fato #5 : Powershell… Poderoso e perigoso
© 2019 Trend Micro Inc.25
Fato #5 : Powershell… Poderoso e perigoso
80%
das máquinas
Windows
© 2019 Trend Micro Inc.26
Fato #5 : Powershell… Poderoso e perigoso
80%
das máquinas
Windows
Permite:
• Execução de códigos 
baixados via internet
• Acesso remoto 
• Manipulação de 
scripts para evitar 
identificação
© 2019 Trend Micro Inc.27
Estima-se que a quantidade de ataques baseados em 
powershell tenha crescido em mais de 10x desde 2017.
Fato #5 : Powershell… Poderoso e perigoso
80%
das máquinas
Windows
Permite:
• Execução de códigos 
baixados via internet
• Acesso remoto 
• Manipulação de 
scripts para evitar 
identificação
© 2019 Trend Micro Inc.28
Fato #5 : Powershell… Poderoso e perigoso
• É habilitado por padrão na plataforma Windows.
• Pode executar ações diretamente da memória, tornando-se invisível.• Deixa poucos rastros, dificultando uma análise forense. 
• Possui capacidade de acesso remoto com tráfego criptografado. 
• Seus scripts podem ser facilmente manipulados para dificultar a detecção através de 
ferramentas de segurança. 
• Muitas vezes não é considerado como uma ameaça pelos administradores de redes. 
• Pode passar desapercebido por aplicações de whitelisting.
• Muitas sandboxes de gateway não lidam tão bem com malwares baseados em scripts. 
• Possui uma comunidade em crescimento para compartilhamento de scripts. 
• Muitos administradores de sistemas usam e confiam na tecnologia, permitindo
inconscientemente que ela seja utilizada para atividades maliciosas.
Técnicas gerais de 
defesa
© 2019 Trend Micro Inc.30
Recomendações gerais
• Utilizar Endpoint Protection Platform (EPP)
• Foco em security hygiene e gerenciamento de patchs 
• Restringir uso do PowerShell através de Group Policy ou AppLocker
• Monitorar execução do PowerShell para detectar atividades suspeitas
• Utilizar controle de aplicações para prevenir que navegadores e 
aplicações sejam utilizados para interpretar scripts
• Utilizar controle de acesso para restringir como as aplicações acessam 
determinados recursos (arquivos, rede, registro)
Fonte: Gartner IAM 2018
© 2019 Trend Micro Inc.31
Recomendações sobre uso do Powershell
• Atualizar sempre para a última versão
© 2019 Trend Micro Inc.32
Recomendações sobre uso do Powershell
• Atualizar sempre para a última versão
• AppLocker e Constrained Language Mode
© 2019 Trend Micro Inc.33
Recomendações sobre uso do Powershell
• Atualizar sempre para a última versão
• AppLocker e Constrained Language Mode
• Script Block Logging, Module Logging, Transcription
© 2019 Trend Micro Inc.34
Recomendações sobre uso do Powershell
• Atualizar sempre para a última versão
• AppLocker e Constrained Language Mode
• Script Block Logging, Module Logging, Transcription
• Quando possível, desabilitar PowerShell Remoting
© 2019 Trend Micro Inc.35
Recomendações sobre Monitoramento
• Criação de entradas de registro
– Run Keys, Large Entries, etc
• WMI subscriptions
– Criação de WMI subscriptions
• Modificações no File System
– Arquivos criados/alterados em %TEMP%, %APPDATA%, etc
– Arquivos adicionados em caminhos de inicialização
– Criação de tarefas agendadas
© 2019 Trend Micro Inc.36
Outras considerações
• Monitorar tráfego suspeito na rede
– Conexões a Servidores C2
– Tráfego anormal de DNS
• Segmentação de assets por importância
– Identificar os assets de alto valor e separá-los dos de baixo valor
– Criar “choke points” dentro da rede
– Implementar monitoramento de rede nos “choke points”
• Sempre que possível, atualizar!
Recursos 
disponíveis no 
Apex One contra 
ataques fileless
Copyright 2017 Trend Micro Inc.38
Atualizando para o Apex One™ 
OfficeScan 10.6 
SP2
OfficeScan 11
OfficeScan 11 
SP1
OfficeScan XG
OfficeScan XG 
SP1
Apex One™ 
SaaS
Apex One™ 
On-Prem
2013 2014 2015 2016 2017 2018 2019
Ransomware
Fileless Malware “1.0”
Detecção, Resposta, Visibilidade
© 2019 Trend Micro Inc.39
Agente Unificado
© 2019 Trend Micro Inc.40
Principais novidades - Agente Unificado
A técnica adequada no 
momento correto
© 2019 Trend Micro Inc.41
Análise de componentes “nativos”
• 4 tipos de eventos: 
WMI
Schedule Task
BitsJob
RegRun
© 2019 Trend Micro Inc.42
Detecção avançada em memória
© 2019 Trend Micro Inc.43
Análise de comportamentos suspeitos
© 2019 Trend Micro Inc.44
Análise de comportamentos suspeitos
© 2019 Trend Micro Inc.45
Recursos de Machine Learning
EDR
© 2019 Trend Micro Inc.47
PRÉ-DETECÇÃO PÓS-DETECÇÃO
“Como isso aconteceu?”
“Quais máquinas? O que fazer?”
“Estou protegido?”
“E se…”
Detecção & Resposta Integradas ao agente
Apex One: EDR
Assessment / Health Check Investigation / Remediation
© 2019 Trend Micro Inc.48
Apex One: EDR
Nível de Impacto
Causa Raíz
IsolamentoInvestigação
Identificação*
© 2019 Trend Micro Inc.49
DLP & 
Device Control
Application
Control
Apex One: EDR
Threat Detection & 
Response capabilities
including:
AM/ML/BM IOA Behavioral
Analysis
Exploit
Detection
Isolation / 
Quarantine
In-memory
Detection
Virtual
Patching
SaaS
Management
EDR
Investigation 
Cloud 
Sandbox
MDR 
Service
TISP – SO*
© 2019 Trend Micro Inc.50
Endpoint Detection and Response (EDR)
Dúvidas? 
Obrigado! 
Marcelo Sanches
marcelo_sanches@trendmicro.com