Como desvendar as técnicas do malware evasivo e bloquear ameaças

Por Colaborador externo | 14.09.2015 às 09:24
photo_camera scyther5

Por Bruno Zani*

Os hackers encontram formas criativas de escapar da detecção à medida que descobrem as falhas na segurança e encontram uma maneira de entrar na rede sem serem detectados. As técnicas evasivas avançadas que os hackers utilizam atualmente desafiam a segurança da rede como nunca antes, explorando fraquezas em todos os níveis da infraestrutura. Ao responsável pela segurança corporativa cabe fazer o dever de casa e entender profundamente as defesas da rede para tentar conter tais ameaças.

Em relação à evasão, os criminosos têm diversos truques na manga que são bastante eficazes. Muitas das técnicas evasivas de hoje modificam o malware ou o usam de novas formas para evitar a detecção por firewalls, áreas de segurança, gateways e sistemas de prevenção contra intrusão. Na verdade, devido às milhares formas que os hackers podem alterar as cargas maliciosas, com as centenas de métodos de entrega possíveis, estima-se que haja mais de 800 milhões de combinações de evasão viáveis.

Conheça algumas das técnicas favoritas dos hackers para passar pela segurança sem serem detectados:

Análise e remontagem da carga: Este método fragmenta os pacotes de ataque e encena a distribuição em padrões difíceis de inspecionar, às vezes de uma só vez ou aos poucos. Esses pacotes são entregues ao endpoint sem serem detectados, as peças se remontam e começa a inicialização.

Ataque de início retrógado: Quando o código malicioso se depara com uma área de segurança, ele permanece dormente e esconde a sua real natureza. A execução é adiada até que ele passe pela área de segurança.

Evasão de retorno de chamada de malware: Os botnets de nova geração criam milhares de conexões de URL de saída que podem confundir os dispositivos de segurança. Esses padrões podem se transformar constantemente e escapar de alguns métodos de detecção.

Exfiltração de dados de endpoint: Como os dispositivos de segurança de rede não têm muita visibilidade nos endpoints, os criminosos muitas vezes instalam data scrapers nos endpoints. Os dados se sobrepõem no tráfego legítimo da rede, então parecem perfeitamente normais, ficando livres para passar.

Do outro lado, já existem tecnologias capazes de tornar mais claras as ameaças invisíveis e evasivas. Embora as tecnologias de correspondência de padrões com base em assinatura ainda ofereçam proteção básica, uma nova classe de tecnologias inteligentes monitora o comportamento do código e compartilha informações de segurança em tempo real com outros dispositivos de segurança para avaliar os níveis de ameaça entre múltiplos vetores de ameaça e tomar uma medida decisiva em resposta a um ataque. Conheça também as novas técnicas de segurança que ajudam a frustrar o comportamento de rede evasivo:

Rastreamento e inspeção contínuos das sessões de rede: Permite que os complexos padrões das técnicas evasivas avançadas sejam descobertos e bloqueados. A combinação do rastreamento de sessão de rede com a análise do fluxo de dados no firewall possibilita que haja uma proteção maior contra técnicas de evasão conhecidas e desconhecidas, mesmo quando são aplicadas em múltiplos níveis de protocolo.

Análise de código estático: Essa ferramenta de observação sem assinatura ilumina pontos cegos em análise de código dinâmico. A análise de código dinâmico inspeciona código de arquivo latente para garantir que o código sem execução na área de segurança não seja malicioso. Ela funciona com a análise dinâmica para frustrar técnicas de evasão avançadas na área de segurança.

Rastreamento de retorno de chamada inteligente: Este método permite aprender e bloquear padrões de botnet. A primeira técnica do setor aplica rastreamento de algoritmos para realizar engenharia reversa nos padrões de conexão de URL utilizados para retornos de chamada de malware.

Inteligência de endpoint: Ao validar apenas aplicativos confiáveis, os aplicativos invasores maliciosos são expostos. Esse recurso inteligente no agente do endpoint faz um inventário de todos os processos de aplicativos no local, monitora as atividades das comunicações de aplicativos e observa todas as conexões de saída realizadas por executáveis. Em seguida, compartilha essas informações com firewalls, sistemas de prevenção contra intrusão e outros dispositivos de segurança na rede.

*Bruno Zani é gerente de engenharia de sistemas da Intel Security