Baixe o app para aproveitar ainda mais
Prévia do material em texto
Ataques Fileless: uma ameaça quase invisível Agosto/2019 © 2019 Trend Micro Inc.2 Agenda • Definindo um ataque fileless • Exemplos de ataques • Alguns fatos sobre ameaças fileless • Técnicas gerais de defesa • Recursos disponívels no Apex One contra ataques fileless Definindo um ataque fileless © 2019 Trend Micro Inc.4 Em um ataque fileless, as atividades maliciosas são realizadas sem a utilização de executáveis maliciosos. © 2019 Trend Micro Inc.5 Ataque Fileless é também conhecido por… • Non malware attack • Bodiless malware • Memory-based malware • Living off the land © 2019 Trend Micro Inc.6 Como o Gartner define os ataques fileless • Utilização de aplicações íntegras • Injeção de DLLs e códigos maliciosos em processos legítimos • Ataques baseados em scripts através de códigos interpretados Ex. Java, PowerShell, and WMIC • Códigos de Exploits armazenados em registro Exemplos de ataques © 2019 Trend Micro Inc.8 Malware (e proteção) “tradicional” Fonte: Buddy Tancio, Hunting for Ghosts in Fileless Attacks P o n to d e E n tr ad a SpamMail/Phishing email Site Comprometido Exploit USB Storage Device Anexo Malicioso Download de Arquivos Transferência de Arquivos Execução Automática Arquivo é gravado no disco Neste momento ele é analisado pelas soluções tradicionais Ação final © 2019 Trend Micro Inc.9 Fileless Malware P o n to d e E n tr ad a Exploit O código malicioso é executado direto em memória Ex.: Process Hollowing ou DLL Injection Injeção de código Fo n te :B u d d y Ta n ci o , H u n ti n g fo r G h o st s in F ile le ss A tt ac ks RCE © 2019 Trend Micro Inc.10 Injeção de código Fileless Malware P o n to d e E n tr ad a Código Fileless Site Comprometido / Exploit Kits Malware/Phishing email Documento Comprometido Carrega o script diretamente na memória através de aplicações permitidas como Powershell, Wscript, CScript Baseado em Script Ex.: Process Hollowing ou DLL Injection Fo n te :B u d d y Ta n ci o , H u n ti n g fo r G h o st s in F ile le ss A tt ac ks © 2019 Trend Micro Inc.11 Fileless Malware P o n to d e E n tr ad a Código Fileless Exploit Site Comprometido / Exploit Kits Malware/Phishing email Documento Comprometido Carrega o script diretamente na memória através de aplicações permitidas como Powershell, Wscript, CScript Baseado em Script Ex.: Process Hollowing ou DLL Injection Injeção de código Ação final Persistência Tarefa agendada Registro Fo n te :B u d d y Ta n ci o , H u n ti n g fo r G h o st s in F ile le ss A tt ac ks © 2019 Trend Micro Inc.12 Local Machine Criado %temp%\y1.bat e uma tarefa de execução agendada. Malware CnC Executa script powershell de hxxp://[IP]:8000/info3.ps1 ou hxxp://[IP]:8000/Ps6.ps1 Credenciais do usuário são extraídas da memória com o mimikatz. Uma vulnerabilidade como EternalBlue é explorada Network Machines - Utiliza credenciais para atacar outras máquinas da rede. - Se a credencial falhar, tenta explorar a vulnerabilidade EternalBlue - Ao final, várias máquinas são afetadas, o que gera receita para o atacante Código malicioso é implementado através de WMI - O Código do COINMINER é carregado em memória - As máquinas iniciam mineiração no Monero sem autorização do usuário - As máquinas ficam lentas e com alta utilização de CPU As únicas ações perceptíveis são: - %temp%\y1.bat - Instalação de serviço WMI - Execução do powershell.exe Fluxo de ataque: CoinMine © 2019 Trend Micro Inc.13 Local Machine Criado %temp%\y1.bat e uma tarefa de execução agendada. Malware CnC Executa script powershell de hxxp://[IP]:8000/info3.ps1 ou hxxp://[IP]:8000/Ps6.ps1 Credenciais do usuário são extraídas da memória com o mimikatz. Uma vulnerabilidade como EternalBlue é explorada Network Machines - Utiliza credenciais para atacar outras máquinas da rede. - Se a credencial falhar, tenta explorar a vulnerabilidade EternalBlue - Ao final, várias máquinas são afetadas, o que gera receita para o atacante Código malicioso é implementado através de WMI - Ransomware carregado em memória - Arquivos são criptografados sem o consentimento do usuário - As máquinas ficam lentas e com alta utilização de CPU As únicas ações perceptíveis são: - %temp%\y1.bat - Instalação de serviço WMI - Execução do powershell.exe Fluxo de ataque: Ransomware © 2019 Trend Micro Inc.14 Local Machine Criado %temp%\y1.bat e uma tarefa de execução agendada. Malware CnC Executa script powershell de hxxp://[IP]:8000/info3.ps1 ou hxxp://[IP]:8000/Ps6.ps1 Credenciais do usuário são extraídas da memória com o mimikatz. Uma vulnerabilidade como EternalBlue é explorada Network Machines - Utiliza credenciais para atacar outras máquinas da rede. - Se a credencial falhar, tenta explorar a vulnerabilidade EternalBlue - Ao final, várias máquinas são afetadas, o que gera receita para o atacante Código malicioso é implementado através de WMI - Infostealer carregado em memória - Informações são extraídas sem o consentimento do usuário As únicas ações perceptíveis são: - %temp%\y1.bat - Instalação de serviço WMI - Execução do powershell.exe Fluxo de ataque: InfoStealer Alguns fatos sobre ameaças fileless © 2019 Trend Micro Inc.16 Fato #1 : Ataques fileless não são novos! 2001 Code Red O termo “fileless” foi utilizado para definir um malware executado diretamente em memória © 2019 Trend Micro Inc.17 Ataque “fileless” combinado com exploração de vulnerabilidade Fato #1 : Ataques fileless não são novos! 2001 2003 Code Red SQL Slammer © 2019 Trend Micro Inc.18 Utilização de powershell, javascript e técnicas de persistência, sem utilização de arquivo malicioso Fato #1 : Ataques fileless não são novos! 2001 2003 2014 Code Red SQL Slammer Powerliks, Angler, Phase Bot © 2019 Trend Micro Inc.19 A expressão “living off the land” foi utilizada para descrever ameaças que utilizam apenas aplicações legítimas Fato #1 : Ataques fileless não são novos! 2001 2003 2014 2017 Code Red SQL Slammer Powerliks, Angler, Phase Bot POSHSPY © 2019 Trend Micro Inc.20 Fato #2 : Funciona!! 54% 77% Em 2018, 54% das empresas sofreram pelo menos um ou mais ataques bem sucedidos, comprometendo dados ou sua estrutura de TI. 77% destes ataques utilizaram técnicas de fileless. Fonte: The Ponemon Institute https://www.barkly.com/ponemon-2018-endpoint-security-statistics-trends © 2019 Trend Micro Inc.21 Fato # 3: Combinação de técnicas • Ransonware • Trojans – Keylogger – Backdoor – Bank • Exploits • Coinminers • Targeted Attacks © 2019 Trend Micro Inc.22 Fato #4 : Está se tornando (muito) popular Fonte: Trend Micro Detecções de ameaças fileless entre Jan/2018 a Jun/2019 © 2019 Trend Micro Inc.23 Fato #4 : Está se tornando (muito) popular Fonte: Trend Micro Detecções de ameaças fileless entre Jan/2018 a Jun/2019 396% © 2019 Trend Micro Inc.24 Fato #5 : Powershell… Poderoso e perigoso © 2019 Trend Micro Inc.25 Fato #5 : Powershell… Poderoso e perigoso 80% das máquinas Windows © 2019 Trend Micro Inc.26 Fato #5 : Powershell… Poderoso e perigoso 80% das máquinas Windows Permite: • Execução de códigos baixados via internet • Acesso remoto • Manipulação de scripts para evitar identificação © 2019 Trend Micro Inc.27 Estima-se que a quantidade de ataques baseados em powershell tenha crescido em mais de 10x desde 2017. Fato #5 : Powershell… Poderoso e perigoso 80% das máquinas Windows Permite: • Execução de códigos baixados via internet • Acesso remoto • Manipulação de scripts para evitar identificação © 2019 Trend Micro Inc.28 Fato #5 : Powershell… Poderoso e perigoso • É habilitado por padrão na plataforma Windows. • Pode executar ações diretamente da memória, tornando-se invisível.• Deixa poucos rastros, dificultando uma análise forense. • Possui capacidade de acesso remoto com tráfego criptografado. • Seus scripts podem ser facilmente manipulados para dificultar a detecção através de ferramentas de segurança. • Muitas vezes não é considerado como uma ameaça pelos administradores de redes. • Pode passar desapercebido por aplicações de whitelisting. • Muitas sandboxes de gateway não lidam tão bem com malwares baseados em scripts. • Possui uma comunidade em crescimento para compartilhamento de scripts. • Muitos administradores de sistemas usam e confiam na tecnologia, permitindo inconscientemente que ela seja utilizada para atividades maliciosas. Técnicas gerais de defesa © 2019 Trend Micro Inc.30 Recomendações gerais • Utilizar Endpoint Protection Platform (EPP) • Foco em security hygiene e gerenciamento de patchs • Restringir uso do PowerShell através de Group Policy ou AppLocker • Monitorar execução do PowerShell para detectar atividades suspeitas • Utilizar controle de aplicações para prevenir que navegadores e aplicações sejam utilizados para interpretar scripts • Utilizar controle de acesso para restringir como as aplicações acessam determinados recursos (arquivos, rede, registro) Fonte: Gartner IAM 2018 © 2019 Trend Micro Inc.31 Recomendações sobre uso do Powershell • Atualizar sempre para a última versão © 2019 Trend Micro Inc.32 Recomendações sobre uso do Powershell • Atualizar sempre para a última versão • AppLocker e Constrained Language Mode © 2019 Trend Micro Inc.33 Recomendações sobre uso do Powershell • Atualizar sempre para a última versão • AppLocker e Constrained Language Mode • Script Block Logging, Module Logging, Transcription © 2019 Trend Micro Inc.34 Recomendações sobre uso do Powershell • Atualizar sempre para a última versão • AppLocker e Constrained Language Mode • Script Block Logging, Module Logging, Transcription • Quando possível, desabilitar PowerShell Remoting © 2019 Trend Micro Inc.35 Recomendações sobre Monitoramento • Criação de entradas de registro – Run Keys, Large Entries, etc • WMI subscriptions – Criação de WMI subscriptions • Modificações no File System – Arquivos criados/alterados em %TEMP%, %APPDATA%, etc – Arquivos adicionados em caminhos de inicialização – Criação de tarefas agendadas © 2019 Trend Micro Inc.36 Outras considerações • Monitorar tráfego suspeito na rede – Conexões a Servidores C2 – Tráfego anormal de DNS • Segmentação de assets por importância – Identificar os assets de alto valor e separá-los dos de baixo valor – Criar “choke points” dentro da rede – Implementar monitoramento de rede nos “choke points” • Sempre que possível, atualizar! Recursos disponíveis no Apex One contra ataques fileless Copyright 2017 Trend Micro Inc.38 Atualizando para o Apex One™ OfficeScan 10.6 SP2 OfficeScan 11 OfficeScan 11 SP1 OfficeScan XG OfficeScan XG SP1 Apex One™ SaaS Apex One™ On-Prem 2013 2014 2015 2016 2017 2018 2019 Ransomware Fileless Malware “1.0” Detecção, Resposta, Visibilidade © 2019 Trend Micro Inc.39 Agente Unificado © 2019 Trend Micro Inc.40 Principais novidades - Agente Unificado A técnica adequada no momento correto © 2019 Trend Micro Inc.41 Análise de componentes “nativos” • 4 tipos de eventos: WMI Schedule Task BitsJob RegRun © 2019 Trend Micro Inc.42 Detecção avançada em memória © 2019 Trend Micro Inc.43 Análise de comportamentos suspeitos © 2019 Trend Micro Inc.44 Análise de comportamentos suspeitos © 2019 Trend Micro Inc.45 Recursos de Machine Learning EDR © 2019 Trend Micro Inc.47 PRÉ-DETECÇÃO PÓS-DETECÇÃO “Como isso aconteceu?” “Quais máquinas? O que fazer?” “Estou protegido?” “E se…” Detecção & Resposta Integradas ao agente Apex One: EDR Assessment / Health Check Investigation / Remediation © 2019 Trend Micro Inc.48 Apex One: EDR Nível de Impacto Causa Raíz IsolamentoInvestigação Identificação* © 2019 Trend Micro Inc.49 DLP & Device Control Application Control Apex One: EDR Threat Detection & Response capabilities including: AM/ML/BM IOA Behavioral Analysis Exploit Detection Isolation / Quarantine In-memory Detection Virtual Patching SaaS Management EDR Investigation Cloud Sandbox MDR Service TISP – SO* © 2019 Trend Micro Inc.50 Endpoint Detection and Response (EDR) Dúvidas? Obrigado! Marcelo Sanches marcelo_sanches@trendmicro.com
Compartilhar