INDÍCIOS DE COMPROMETIMENTO DA REDE

Um guia para identificar e prevenir infecções de malware

SUMÁRIO

INTRODUÇÃO......................................................................................................................................................................... 4

PARTE 1 - COMPREENDENDO A EXECUÇÃO DE CYBER ATAQUES.. ....................................................................................... 6

PARTE 2 - O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES.......................................................................... 16

PARTE 3 - REDUÇÃO DA SUPERFÍCIE DE ATAQUE E ANTIVÍRUS BASEADO EM COMPORTAMENTO.................................. 22

PARTE 4 - PROTEGENDO AS COMUNICAÇÕES DE REDE LAN PARA WAN ....................................................................................................... 28

PARTE 5 – AÇÕES DE RECURSOS EXTRAS E LIMPEZA.......................................................................................................... 34

CONCLUSÃO......................................................................................................................................................................... 44

REFERÊNCIAS....................................................................................................................................................................... 45

2 WWW.SOLARWINDSMSP.COM
Defender redes contra ataques não é uma tarefa fácil para acesso administrativo restrito e uso de defesas contra
os profissionais de TI. Ataques variam em potencialidade malware. Essas recomendações são resultado de anos de
e modalidade de ameaça; reagir exageradamente ou análises feitas por governos e organizações de segurança no
implementar a tecnologia errada pode ser dispendioso e mundo inteiro.
facilitar a vida dos cyber criminosos.
Por fim, o ataque informa a defesa. Isso significa que
Este eBook descreve os tipos de ataques que uma rede provedores de serviço de TI precisam aprender a ver as
típica enfrenta e oferece algumas estratégias de sucesso, redes de seus clientes como alvos. Certamente, não estou
implementadas por profissionais de TI para proteger suas redes. defendendo que você lance seus próprios cyber ataques
destrutivos em clientes desavisados, mas que monte um
Considere este guia como um primeiro passo na elaboração laboratório de cyber defesa virtual e baixe ferramentas gratuitas
da sua estratégia detalhada de defesa. Os profissionais de para explorar vulnerabilidades que ajudarão a você a aprimorar
TI devem entender os riscos aos quais os negócios estão na defesa e a detectar ataques nas suas próprias redes.
expostos e saber que a segurança em TI não possui soluções
“mágicas”. Independentemente do que os fornecedores de Lembre-se, como profissional de TI, você é responsável parcial
soluções anunciam, não há só uma tecnologia que possa ou totalmente pela confidencialidade, pela integridade e pela
prevenir todos os cenários negativos. disponibilidade dos sistemas de TI sob seus cuidados. Não
facilite para os criminosos. Deixe-os frustrados e dificulte
Cyber ataques, malware e vulnerabilidades no sistema têm suas vidas implantando camadas de detecção e prevenção
sido mistificados e enfatizados sem uma análise sensata nas redes e defesa preventiva.
sobre o assunto. Na verdade, as estratégias de TI mais eficazes
contra todas as ameaças conhecidas ou não são geralmente
as mesmas. Aplicação de Patches e atualização do sistema
operacional, patches e atualização de aplicativos de terceiros,

3
INTRODUÇÃO

Conversas sobre segurança com provedores de TI e MSPs

inevitavelmente se transformam a partir da eficácia de
defesas anti-malware para a eficácia dos softwares antivírus,
especialmente contra ransomware. Para responder a essa
pergunta, é interessante compreender a relação entre exploit,
trojan e payload.

O diagrama na página a seguir é uma adaptação da cadeia

Cyber Kill Chain®, de Lockheed Martin, que descreve as várias
fases da infecção de malware, desde o exploit inicial até a
execução de um payload em um terminal.1 A cadeia Cyber Kill
Chain é uma excelente maneira de explicar como o malware
completa sua jornada, desde o lançamento do ataque no
terminal em última instância (na grande maioria dos casos) até
a execução de um payload de ransomware no terminal.

Este eBook foi desenvolvido para ajudar MSPs e Prestadores

de Serviço de TI a compreender o diagrama e as várias
tecnologias e eventos que resultam em uma infecção
executada com sucesso por cyber criminosos. Ao fazer isso,
ele ajudará você a identificar um comprometimento na rede o
mais breve possível e a saber como melhor responder.

4 WWW.SOLARWINDSMSP.COM
“O segredo está na relação entre o
exploit, o trojan e o payload.”

I NTR O DU Ç Ã O 5
P A R T E 1 — C O M PAREXECUÇÃO
COMPREENDENDO EENDEND DEOCYBER
A E X ATAQUES
ECUÇÃO DE CYBER ATAQUES

“A maioria dos MSPs e

prestadores de serviço
de TI se enquadram na
categoria de serviços
de inteligência contra
ameaças.”
6 WWW.SOLARWINDSMSP.COM
O DIAGRAMA CYBER KILL CHAIN DE LOCKHEED MARTIN

Cálculo Munição Execução Exploração Instalação C2 Ações

O diagrama acima mostra o ciclo da a fornecer alertas de um ataque

cadeia Cyber Kill Chain com duas iminente nos dois primeiros estágios
setas cinzas em reconhecimento e da Kill Chain. Mas por enquanto,
munição. Essas duas áreas estão pouco pode ser feito para reduzir as
geralmente fora de script para potencialidades de cyber criminosos
todos, exceto grandes organizações. nos primeiros dois estágios.
A maioria dos MSPs e prestadores
de serviço de TI se enquadram nas
Na verdade, as variantes de
categorias de serviços de inteligência
psicologia/sociologia criminal,
contra ameaças.
geopolíticas, econômicas e regionais
irão motivar indivíduos e grupos a
Com o passar do tempo, com o perturbar redes sociais e criar kits
setor aprendendo sobre o ciclo de exploit, programas sofisticados
de vida completo de um ataque de trojan e payloads de malware/
malware, a análise computacional e ransomware.
a inteligência artificial podem ajudar

P A R T E 1 —C O MP R EENDENDO A EX EC U Ç Ã O DE U M C YB ER A TA Q U E 7
COMPREENDENDO A EXECUÇÃO DE CYBER ATAQUE

ADAPTADO DO ESTUDO DO THE LOCKEED MARTINS CYBER KILL CHAIN

Sistemas mais
Redução da Superfície Rígidos (GPOs),
Proteção de e-mail, de Ataque, Remoção de
proteção da Web, Gerenciamento de Administrador, Capacitação/
Firewall, antivírus de Patches, AV Baseado AV Baseado em Regras de Firewall
definição (sandbox), em comportamento, comportamento, Segmentação de Rede, Antivírus,
treinamento de Treinamento de Treinamento de Proteção da Web, HIDS,
conscientização Conscientização Conscientização NIDS, SIEM, Backup & Recovery,
do usuário do Usuário do Usuário Open DNS AV heurístico

Execução Exploração Instalação C2 Ações

WAN para LAN Terminal Terminal WAN para LAN Terminal

No topo do nosso diagrama “Kill Chain” adaptado há uma lista de soluções de atenuação (incluindo
treinamento de conscientização do usuário e uma gama de soluções de tecnologia), mapeadas para
várias fases da infecção. A seçao intermediaria exibe as diversas fases da Lockheed Martin Cyber Kill
Chain. A seção inferior exibe as fases da infecção e onde há oportunidade de detectar, prevenir e
recuperar-se de um ataque cyber criminoso.

8 WWW.SOLARWINDSMSP.COM
P A R T E 1 —C
PARTE
O MP1R-EENDENDO
COMPREENDENDO
A EX EC
A EXECUÇÃO
U Ç Ã O DE DE
U MUM
C YB
CYBER
ER AATAQUE
TA Q U E 9
COMPREENDENDO A INTELIGÊNCIA CONTRA AMEAÇAS

“Muitos países usam IPs

alocados dinamicamente,
de modo que um endereço
IP considerado hostil hoje
pode mudar amanhã.”

10 WWW.SOLARWINDSMSP.COM
Os serviços de inteligência contra Organizações em busca de ampliar
ameaças devem ser abordados suas defesas nas primeiras duas
com certa cautela. Simplesmente fases da cadeia Cyber Kill Chain são
receber uma lista de endereços IP aconselhadas a criar e manter um
e atualizar as soluções de firewall ambiente de “pote de mel”, uma
não é uma abordagem prática. armadilha instalada para detectar
Muitos países usam IPs alocados ou desviar atividade cyber criminosa
dinamicamente, de modo que um da rede. Ofertas de serviço de
endereço IP considerado hostil hoje inteligência contra ameaças atuais
pode mudar amanhã. Além disso, apresentam uma variedade de
administradores ocasionalmente dados sem contexto. Saber que
limpam malwares das máquinas. um endereço IP na Coréia do Sul
Sem algum contexto sobre a está atacando um endereço IP na
inteligência contra ameaças, pode Rússia pode ser interessante, mas
não ser relevante bloquear um se seu negócio não está localizado
endereço IP que não esteja envolvido em nenhum desses países, essa
em um ataque contra você. informação não tem utilidade.
Instalar seu próprio “pote de mel”
para coletar inteligência de ataques
reais na sua infraestrutura ajuda a
combater esses desafios.

C O MP R EENDENDO A I NTELI GÊNC

Recusa
I A de
C OServiço
NTR A A Distribuída
MEA Ç A S 11
COMPREENDENDO A INTELIGÊNCIA CONTRA AMEAÇAS

“Ficar sabendo que um endereço IP na Coréia do

Sul está atacando um endereço IP na Rússia pode
ser interessante, mas se seu negócio não está
localizado em nenhum desses países, essa
informação não tem utilidade.”
A menos que MSPs, prestadores de serviço de TI e O primeiro passo prático onde a tecnologia pode ajudar a
organizações estejam preparadas para investir esforços prevenir o Cyber Kill Chain total de ocorrer surge da fase de
tecnológicos e implementar hardware específicos, seus execução de um cyber ataque. Na maioria dos casos, o vetor
orçamentos e recursos de TI limitados os forçarão a focar as de ameaça é muito óbvio. O gráfico na página 13, extraído
defesas de terminal nas últimas cinco oportunidades da Cyber do relatório da Verizon Data Breach Investigations em 2016,
Kill Chain para prevenir, detectar e reagir contra um ataque mostra os métodos mais frequentes de execução
cyber criminoso. de malware.2

12 WW
www.solarwindsmsp.com
W.SOLARWINDSMSP.COM
A taxa de sucesso em e-mails, com uma CINCO PRINCIPAIS
VETORES DE
impressionante taxa de abertura de 30%.3
MALWARE
torna anexos e links maliciosos em e-mails
o epicentro da luta contra os ataques cyber
criminosos. Os dados também mostram
que não devemos negligenciar os perigos
da navegação desprotegida na web. É difícil
argumentar contra o fato de que a filtragem
de e-mail, filtragem da web e treinamento de
conscientização do usuário são a chave para a
interrupção bem-sucedida de cyber ataques na
fase de execução da cadeia Cyber Kill Chain.

63 31 39 10 10

Anexos
de e-mail

Direcionado
pela web

Link de
e-mail

Download
de malware

Propagação
pela rede
C O MP R EENDENDO A I NTELI GÊNC I A C O NTR A A MEA Ç A S 13
O PAPEL DOS SERVIÇOS BASEADOS EM NUVEM

Com uma infinidade de serviços baseados em nuvem, verificar todos os anexos de e-mail suspeitos/não solicitados
incluindo Gmail e Office 365, a fase de execução é talvez ou solicitados através da confirmação verbal pode ajudar a
a de melhor custo de ser implementada pelas empresas, proteger contra esses ataques engenhosos sociais cada vez
na interceptação de malware hoje em dia. Também é mais sofisticados. Os chamados ataques de “fraude do CEO”
relativamente fácil de ser implementada, tendo pouco ou resultam frequentemente em recompensas maiores para os
nenhum impacto nas operações de negócios. A varredura cyber criminosos que o ransomware, pois, têm a aparência
de e-mails e serviços de proxy de navegação da web feitos de transferência de dinheiro autorizada pelo executivo para
localmente ou na nuvem fornecem a maioria da defesa um parceiro de negócios.
contra cyber ataques nessa fase.

Serviços baseados em nuvem empurram a defesa para fora “Serviços baseados em nuvem
do perímetro organizacional e fornecem um valor agregado
de cyber defesa ao prevenir o ataque de chegar ao terminal. levam a defesa para fora do
Embora muitos desses serviços tenham vários mecanismos
de definição de vírus e recursos de análise heurística, cyber perímetro organizacional e
criminosos ocasionalmente escodem malwares, burlando
essa defesa, usando métodos antigos, seduzindo um fornecem um valor agregado
funcionário a clicar em um link e/ou executar um payload.
ao não permitir que o ataque
O comprometimento de e-mails corporativo por um ataque
sem malware ou “fraude do CEO” são exemplos de um chegue ao terminal.”
cyber ataque que ultrapassa até mesmo as defesas de
filtragem de e-mail mais robustas. Assim, o treinamento de
conscientização de funcionários que ensina as pessoas a

14 WWW.SOLARWINDSMSP.COM
Além disso, os ataques de “fraude do CEO” podem ter Faz sentido dizer que a primeira camada de cyber defesa
outras intenções, além de facilitar transferências monetárias deve ser projetada para derrotar o ataque antes que ele
ilícitas. Cyber criminosos podem querer também roubar chegue ao terminal. No entanto, quando o ataque chega na
dados de funcionários. De acordo com o fornecedor SIEM, forma de um e-mail fraudulento que parece ser legítimo, o
“Mais de um terço dos participantes de uma pesquisa treinamento de conscientização de funcionários é o melhor
recente relataram que seus executivos foram vítimas de um investimento que empresas podem fazer para prevenir
e-mail “fraude do CEO” e mais de 80% acreditam que seus grandes perdas.
executivos podem cair em scams de phishing direcionados
a eles no futuro. Essas preocupações têm fundamento.
Mais de 50 organizações, incluindo Snapchat e Care.com,
foram alvos de e-mails de “fraude do CEO” bem sucedidos,
solicitando informações salariais de funcionários no
exercício fiscal do ano passado.”4

O P A P EL DO S SER V I Ç O S B A SEA DO S EM NU V EM 15
PARTE 2—O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO
DE PATCHES

Nesta seção, vamos nos concentrar

na “exploração” do vetor de ataque
do terminal inicial, supondo que
a fase de introjeção do exploit foi
executada com sucesso contra o
terminal alvo.

Da perspectiva do kit de exploit, o

terminal estará em um dos quatro
estados, incluídos nas próximas

“O modo de autenticação
páginas.

do Windows é menos
vulnerável a ataques
de força bruta, pois, o
ofensor provavelmente
irá encontrar um bloqueio
de login após um número
finito de tentativas
16 WWW.SOLARWINDSMSP.COM
de ataque”.
E ST A DO 1 : A M Á Q U I NA TE M PA TC H E S TO TA L M E NT E AT U AL I ZAD O S,
O AN T IVÍR U S E S TÁ I NS TA L A D O E A TU A L I Z A D O

As únicas vulnerabilidades que caso com os exploits do Visual Basic

existem aqui são “humanas” Macro encontrados em e-mails
(usuários finais persuadidos para de phishing. Antivírus robustos,
instalar malware) ou dia zero, com definições de assinaturas
ataques/exploits que não fossem de malware, detecção heurística
detectadas pelo antivírus. da atividade de exploits e análise
baseada em comportamento
de atividade de exploit podem
Claramente, o treinamento de
proteger o terminal, mas esse
conscientização do usuário é uma
não é frequentemente o caso.
defesa eficaz contra “ludibriação” ou
ataques baseados em engenharia
social. Somente se os avisos forem
ignorados, o exploit poderá entregar CONDIÇÃO: VERDE
o payload com sucesso. Este é o

P A R T E 2 —O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO DE P A TC H ES 17

O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES

ESTADO 2: A MÁQUINA NÃO TEM PATCHES ATUALIZADOS,

ANTIVÍRUS ESTÁ INSTALADO E ATUALIZADO

Aqui as vulnerabilidades estão

relacionadas a exploits desenvolvidos
Future indica que o Adobe Flash,
Java e Internet Explorer são os alvos “A máquina poderia
para a falta de um patch específico.
Embora o antivírus possa estar
mais frequentes de kits exploit.5 Em
primeiro lugar, não ter o software facilmente estar
atualizado, é questionável se o
exploit na verdade será detectado.
explorável instalado é a única
defesa eficaz. infectada por um
Nesse cenário, a máquina poderia
facilmente estar infectada por um exploit projetado
exploit projetado para desviar do
antivírus. Uma pesquisa da Recorded
CONDIÇÃO: AMARELO
para desviar o
antivírus.”

18 WWW.SOLARWINDSMSP.COM
ESTADO 3: A MÁQUINA NÃO TEM PATCHES ATUALIZADOS,
ANTIVÍRUS ESTÁ INSTALADO, MAS DESATUALIZADO

As vulnerabilidades aqui são

bastante reforçadas em relação
Definições de antivírus incluem as
assinaturas de malware reais, porém “Estes são sinais
aos dois primeiros estados, pois,
a máquina está aberta para uma
atualizações de mecanismo mais
sofisticadas comportamentais e indicadores de um
ampla gama de exploits, não só as
últimas versões dos kits exploit.
heurísticas, fornecem ao software
antivírus “indicações de onde terminal prestes a
Semelhante ao estado 2, uma
máquina neste estado pode ser
procurar” (tais como tráfego de rede
para um determinado conjunto receber um Trojan.”
facilmente infectada, no entanto, de IPs) ou “eventos suspeitos”, tais
também é suscetível de ser infectada como invocação de JavaScript para
indefinidamente. Provedores de TI e um documento no e-mail. Estes são
MSPs encontram-se nesse cenário, sinais indicadores de um terminal
com muita frequência. A ênfase deve prestes a receber um Trojan.
ser colocada na execução de patches,
devido à capacidade do pacote de
exploit de executar e acionar um CONDIÇÃO: VERMELHO
trojan, que por sua vez, entrega um
payload na máquina sem patch.

O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO DE P A TC H ES 19

O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES

ESTADO 4: A MÁQUINA TEM PATCHES ATUALIZADOS,

ANTIVÍRUS ESTÁ INSTALADO, MAS DESATUALIZADO

Este estado é semelhante ao estado

1, mas os cyber criminosos têm
Com os patches implementados,
o provedor de TI ou MSP reduz “A máquina é mais
mais sucesso, pois, a maior parte
da cyber defesa é fornecida pelas
consideravelmente a probabilidade
de exploração, no entanto, o perigo suscetível a uma
instalações de patch. A superfície de
ataque é a mesma do estado1, no
permanece com Trojans entregues
sob a forma de e-mail. A combinação vulnerabilidade
entanto, a máquina é mais suscetível
a uma vulnerabilidade “humana”,
de e-mails de phishing e ataques de
engenharia social pode ser realizada “humana”.”
pois, há uma gama inteira de Trojans usando famílias de Trojans mais
(instalados via e-mail de phishing) antigos, se o antivírus da máquina
que podem infectar a máquina. Este alvo não estiver atualizado.
é provavelmente o segundo cenário
mais comum, logo depois de patches
terem sido fornecidos aos terminais. CONDIÇÃO: AMARELO

20 WWW.SOLARWINDSMSP.COM
Nos estados 3 e 4 onde o antivírus ser removido, então um antivírus
está desatualizado, o melhor robusto, com atualizações de
percurso de ação é atualizar as assinaturas de malware frequentes,
definições mais recentes e executar análises comportamentais e baseada
uma varredura completa no terminal. em heurística oferecem a melhor
Há um boa chance de um malware rota para proteger esses sistemas.
ter se instalado enquanto as defesas
de antivírus da máquina estavam
Supondo que haja treinamento de
“baixas”. Muitos usuários não vão
conscientização do usuário no local,
admitir que eles podem ter clicado
os cenários acima devem representar
acidentalmente em algo que não
a prioridade de trabalho para MSPs
deviam, de modo a permitir que um
e provedores de serviços. Este
Trojan fique à espreita no terminal
trabalho deve ser centrado no teste
aguardando para baixar um payload,
e na implantação de patches rápida
enquanto é mantido à distância pelas
e eficientemente na rede — a cultura
defesas da rede.
de obsessão por definições ou
recursos de antivírus de sua escolha
Para sistemas de finalidade certamente não é uma atividade
especial, como folha de pagamento, prioritária.
contabilidade e ponto de
venda, a remoção do software
Na sequência de backups de dados
frequentemente explorado,
robusto, a execução de patches e
patches semanais e atualização do
atualização devem ser a prioridade
software passível de exploit, como
para manter os sistemas longe do
o Adobe Flash mencionado acima,
alcance de ciber criminosos.
é essencial. Se o software não pode

O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO

Ataque
DEde
P APhishing
TC H ES 21
PARTE 3—REDUÇÃO DA SUPERFÍCIE DE ATAQUE E ANTIVÍRUS
BASEADO EM COMPORTAMENTO

De acordo com a tabela no canto inferior direito, se você setores regulados ou organizações preocupadas com a
não pode aplicar rapidamente patches em terminais, então, confidencialidade e integridade dos seus dados de sistemas.
pode frequentemente melhorar a segurança, simplesmente
Na parte 1, discutimos como tecnologias baseadas em
removendo o software mais afetado. Há um número de razões
definição anti-malware, tais como antivírus de terminal,
pelas quais as empresas podem não se sentir capazes de
filtragem/proteção da web e varredura de e-mails — aliados ao
executar um programa de aplicação de patch emergencial,
treinamento de conscientização do usuário — podem ser úteis
incluindo a falta de um processo automatizado ou ferramenta,
para impedir o acionamento de Trojans e payloads. Há um
ansiedade institucional devido ao tempo de inatividade
papel significativo desempenhado pelo antivírus de terminal
implicado, falta de uma TI dedicada ou de ciclos para esta
com recursos baseados em análise comportamental e também
tarefa.
pelo treinamento de conscientização do usuário no combate
Uma abordagem de segurança organizacional que requer ao exploit.
autorização da gestão para a instalação e utilização dos
“5 perigosos” (Adobe Flash, Java, Internet Explorer, Firefox VULNERABILIDADES DE SOFTWARE
27
e Silverlight) pode ser a chave para implementar uma EXPLORADAS PELOS KITS EXPLOIT 6
segurança robusta sem ter que recorrer à tecnologias mais 21
significativamente poderosas. Em um ambiente empresarial,
remover Adobe Flash, Java ou Internet Explorer (IE) - ou um
compromisso de mantê-los atualizados com as versões mais 14
recentes - reduz significativamente o potencial de exploit em
terminais.
6
Uma estação de trabalho de negócios sem Flash, Java, IE, 5

Firefox, Adobe Reader ou Silverlight que se deparar com 3

um exploit moderno pode sair dessa completamente ileso,

pois, o kit exploit não seria capaz de encontrar uma via para Adobe Oracle Internet Mozilla Adobe Microsoft
o ataque. Esta é uma descoberta muito importante para Flash Java Explorer Firefox Reader Silverlight

22 WWW.SOLARWINDSMSP.COM
 “Esta é uma descoberta muito importante
para setores regulados ou organizações preocupadas
com a confidencialidade e integridade
dos seus sistemas de dados.”

P A R T E 3 —R E DU ÇÃ O DA S U P E R FÍCIE DE A TA Q U E E A NTI V Í R U S B A SEA DO EM C O MP O R TA MENTO 23

ANTIVÍRUS BASEADO EM DEFINIÇÕES

O antivírus baseado em definições (ou baseado em assinatura) com um antivírus de terminal, então eles frequentemente
compara as assinaturas (MD5 ou SHA-1 hashes) dos arquivos incluem um código mal-intencionado que desativa o antivírus
encontrados para ver se elas correspondem a uma lista de e evita atualizações ou comunicação com a rede. Em
malwares conhecidos. Dependendo dos recursos do software, ataques altamente especializados, a presença dos softwares
é possível investigar dentro do arquivo por sinais de malware. antivírus pode ser usada para de fato instalar o código mal-
Normalmente, quando as tecnologias baseadas em assinatura intencionado. Em maio de 2016, Tavis Ormandy, pesquisador
encontram uma correspondência de assinatura, o arquivo na área de segurança, identificou um overflow passível de
segue para quarentena. exploit no, “núcleo do Symantec Antivirus Engine, usado
na maioria dos produtos antivírus com as marcas Symantec
e Norton.”6
Os cyber criminosos que escrevem códigos de exploits
e Trojans, sabem que seus malwares podem se deparar

24 WWW.SOLARWINDSMSP.COM
“Normalmente, quando as
tecnologias baseadas em
assinatura encontram uma
correspondência de assinatura,
o arquivo segue para
quarentena.”

A NTI V Í R U S B A SEA DO EM A SSI NA TU R A O U DEF I NI Ç Õ ES 25

ANTIVÍRUS BASEADO EM COMPORTAMENTO

26 WWW.SOLARWINDSMSP.COM
O antivírus baseado em Claro que é altamente desejável ter
comportamento observa processos camadas de defesa implementadas
de sinais característicos de malware para interceptar a entrada de
e, em seguida, compara esses sinais exploits, Trojans e payloads,
a uma lista de comportamentos antes que cheguem ao terminal.
maliciosos conhecidos. Por exemplo,
dada a lista de pacotes de software
Mas, se as defesas são violadas,
vulnerável acima, um documento
a ação combinada de remover
que está sendo aberto em um
o software alvo (redução da
e-mail que invoca o JavaScript
superfície de ataque), antivírus
ou Adobe Flash poderia ser visto
com um mecanismo baseado em
como “altamente suspeito ou
comportamento, gerenciamento
de comportamento compatível
de patches agressivo e treinamento
com malware.”
de conscientização do usuário final,
pode ajudar a repelir os ataques
A detecção baseada em mais persistentes (bem como
comportamento é necessária aquelas visitas acidentais a sites
porque muitos desenvolvedores de perigosos).
malware começaram a usar técnicas
de ocultação, como segmentos de
código criptografado ou polimórficos,
que são muito difíceis de terem
uma assinatura hashed. Então, a
maneira mais fácil de detectá-los
é observar um determinado padrão
de comportamento.

A NTI V Í R U S B A SEA DO EM C O MP O R TA MENTO 27

PARTE 4—PROTEGENDO AS COMUNICAÇÕES
DE REDE LAN PARA WAN

“Após o malware ser plantado,

ele deve se comunicar com
uma rede de comando e controle
(C2) para receber instruções.”

28 WWW.SOLARWINDSMSP.COM
Após o malware ser plantado ou, mais modernos têm que “dar retorno” para seguida, tenta obter (comando GET) o
especificamente, após o Trojan ter uma fonte de C2 para baixar um ataque payload de ransomware GORsjo.exe do
se instalado no terminal, ele deve se de payload. Em alguns casos, métricas servidor C2.
comunicar com uma rede de comando detalhadas sobre sucesso de infecção, Neste caso, a comunicação não
e controle (C2) para receber instruções. distribuição geográfica e informações foi realizada furtivamente e nem
Esta é talvez uma das áreas mais detalhadas do sistema são capturados foi criptografada (https). A maioria
fáceis para implementar controles por CaaS para fins de marketing. Sim, dos produtos de filtragem da web
de arquitetura de firewall, login e os cyber criminosos coletam tanto rapidamente identificaria o endereço
de rede para detectar ou prevenir o dados de sucesso sobre infecção IP (69.89.31.222) ou o domínio como
comprometimento do terminal. quanto as empresas modernas coletam sendo um lugar perigoso para ser
sobre visitas a sites e interações com o visitado por um terminal. Tenha em
A infraestrutura C2 é caracterizada cliente. mente que a proteção de DNS como
por estações de trabalho e servidores Open DNS e outros produtos fornecem
previamente infectados ou Tome como exemplo a comunicação uma camada valiosa que pode
comprometidos. Estas redes podem ser de rede “típica” de um Trojan que funcionar mesmo contra malwares
alugadas por criminosos, como fontes possui um domínio codificado usando https para comunicação. Além
de serviço (CaaS) ou propositadamente permanentemente C2 como o disso, transferir um arquivo executável
construídas por cyber criminosos para twinpeakshockey.com (veja abaixo). O (.exe) para um terminal seria algo que
dar assistência um ataque de Trojan. Trojan dá retorno para este domínio, espera-se que o produto de proteção
Praticamente todos os malwares usando uma consulta DNS padrão e em da web ou firewall bloqueie.

EXEMPLO DE UM TROJAN SE COMUNICANDO COM UMA REDE C2

11 4.177967 8.8.8.8 172.16.25.137 ICMP Echo (ping) reply (id=0x0200, seq(be/le)=7168/28, ttl=128)
12 25.196459 172.16.25.137 172.16.25.2 DNS Standard query A twinpeakshockey.com
13 25.674355 172.16.25.2 172.16.25.137 DNS Standard query response A 69.89.31.222
14 25.676099 172.16.25.137 69.89.31.222 TCP iascontrol-oms > http [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1
15 25.676823 69.89.31.222 172.16.25.137 TCP http > iascontrol-oms [SYN, ACK] Seq = 0 Ack = 1 Win = 64240 Len = 0 MSS = 1460
16 25.676879 172.16.25.137 69.89.31.222 TCP iascontrol-oms > http [ACK] Seq=1 Ack=1 Win=64240 Len=0
17 25.677229 172.16.25.137 69.89.31.222 HTTP GET /GORsjo.exe HTTP/1.1
18 25.677524 69.89.31.222 172.16.25.137 TCP http > iascontrol-oms [ACK] Seq=1 Ack=188 Win=64240 Len=0

P A R T E 4 — PR O TEGENDO A S C O MU NI C A Ç Õ ES DE R EDE LA N P A R A W A N 29
CAMADAS ESSENCIAIS NA SUA DEFESA

“A técnica de
movimentação
lateral é projetada
para criar cyber
armadilhas para
tornar difícil
para o Trojan
comunicar-se com
a rede ou infectar
outros terminais.”

30 WWW.SOLARWINDSMSP.COM
Os recursos indispensáveis neste • Regras de negação para a sub-rede Como você pode ver, limitar as portas,
momento incluem a segmentação de de estação de trabalho: Nenhum protocolos e comunicação interna e
rede, regras de firewall (de saída) e um DNS externo, IRC, NTP, FTP, ICMP, externamente na rede em nível de
sistema de informações de segurança SMTP,SNMP, RDP arquitetura, pode prevenir e detectar a
e de gestão de incidentes (SIEM)/logs • Regras de negação para admins presença de atividade da rede suspeita
com recursos de alerta. Regras de (aberto conforme necessário): ou não autorizada.
firewall, especialmente a necessidade Nenhum DNS externo, IRC, NTP,
Se essas regras de firewall forem
de portas abertas externas, tem que ser FTP, ICMP, SMTP, SNMP, RDP
implementadas e um Trojan furtivo
mapeadas para serviços de negócios.
• Regras de negação para sub- tentar usar o protocolo de Internet
As regras conceituais básicas de firewall redes de impressora: negar tudo. Relay Chat (IRC) para se comunicar
abaixo, ajudam a detectar e prevenir Nenhuma impressora na Internet! com a infraestrutura C2, esta atividade
comunicações com C2, bem como • Regras de negação para servidores. seria bloqueada, e se um SIEM tiver
a exploração de rede ao usar uma Somente DNS, NTP para IPs e sido implementado, um alerta seria
chamada técnica. “Essas regras foram HTTPS específicos. desencadeado.
projetadas para criar cyber armadilhas
para tornar difícil para o Trojan
comunicar-se de volta com a rede ou
infectar outros terminais.”

UM EXEMPLO DE MOVIMENTAÇÃO LATERAL

SERVIDORES
USUÁRIOS
192.168.2 X FIREWALL ADMINS
192.168.4 X
Comparti- 192.168.1 X 192.168.3 X
GPO: Sem Com.
lhamento de Comunicação IMPRESSORAS Sem E-mail de
192.168.4 X
arquivos Regras, Regras 192.168.5 X Admin, Log de
Administrador
SAN/NSA de Detecção, Eventos
local para
Via https, WAP em DMZ. HIDS/HIPS.
MAX & Mgt.
Log de eventos,
HIDS/HIPS.

C A MA DA S ESSENC I A I S NA SU A DEF ESA 31

CAMADAS ESSENCIAIS NA SUA DEFESA

Como outro exemplo, regras de

“negação” contra Simple Mail
Para MSPs e prestadores de serviço
de TI, desenvolver uma arquitetura “Para MSPs e
Transport Protocol (SMTP) em
estações de trabalho, tornam mais
de rede padrão segmentada e um
pacote de regras de firewall para prestadores de serviço
difícil para os cyber criminosos
usarem um terminal comprometido
seus clientes compensa o tempo
e o esforço. Em muitos casos, a de TI, desenvolver uma
como um bot de SPAM para
desencadear mais ataques de
possibilidade de segmentar a rede e
codificar regras de firewall pode ser arquitetura de rede
phishing por e-mail com anexos
de Trojan.
feita com a infraestrutura existente.
Aliado a um SIEM para monitorar e padrão segmentada e
Usando uma combinação de regras
alertar contra um terminal tentando
quebrar uma regra de firewall, um pacote de regras
saída de firewall, segmentação
de rede e um SIEM para capturar
o provedor de TI ou MSP pode
rapidamente identificar o culpado de firewall para seus
informações de log e alerta de
atividade suspeita, as tentativas do
e responder de acordo.
clientes compensa o
trojan de infectar e se comunicar
interna e externamente serão
tempo e o esforço.”
descobertas ou impedidas.

32 WWW.SOLARWINDSMSP.COM
C A MA DA S ESSENC I A I S NA SU A DEF ESA 33
PARTE 5—AÇÕES DE RECURSOS EXTRAS E LIMPEZA

Se o exploit foi recebido, a estação de trabalho está Por sorte, a execução de um ataque de ransomware não é
comprometida por um Trojan, as comunicações de saída são uma atividade “normal”. Em geral, as estações de trabalho
estabelecidas e payload foi plantado, então coisas prejudiciais em um ambiente de negócios agem de uma forma previsível.
estão prestes a acontecer. Quando ciclos de CPU aumentam inesperadamente devido a
um processo e permanecem fixos e arquivos locais ou na rede
compartilhada começam a ser sequencialmente acessados
Num mundo perfeito, a análise da cadeia Cyber Kill Chain, as
e gravados, um bom antivírus heurístico pode interromper
defesas em cada fase teriam dado várias oportunidades para
ou matar o processo que causou esta atividade repentina —
que o terminal escapasse a fase de comprometimento final
especialmente se essa atividade aparenta se manter ativa.
- quando o payload é acionado. Para a grande maioria das
pequenas e médias empresas, se trata agora de um ataque
ransomware. São os sinais indicadores os quais a detecção heurística do
malware tenta identificar. Ransomware como uma categoria
de ataque é muito evidente, do ponto de vista do sistema.
Os malware variam em qualidade e capacidade, de
Mesmo na camada de rede, haverá um aumento no tráfego
simplesmente funcional com efeitos de sistema muito
de dados e nas solicitações de leitura/gravação do servidor
óbvios, até furtivos, com efeitos sutis no sistema. No caso
originadas do terminal infectado.
do ransomware, não somente os efeitos em um sistema são
perceptíveis (arquivos criptografados por exemplo), mas a
atividade também é altamente detectável pela heurística.

34 WWW.SOLARWINDSMSP.COM
“Num mundo perfeito, a análise
da cadeia Cyber Kill Chain, as
defesas em cada fase teriam dado
várias oportunidades para que
o terminal escapasse da fase de
comprometimento final - quando
o payload é acionado.”

P A R TE 5 —A Ç O ES DE R EC U R SO S EX TR A S E LI MP EZ A 35
SUAS ÚLTIMAS AÇÕES DE
RECURSOS DE DEFESA

Mesmo nessa fase, nem tudo está Se um usuário suspeitar que um

perdido. Ainda há medidas que ataque ransomware está sendo
podem ser tomadas para limitar executado, após ter aberto o anexo
o impacto do acionamento de um de e-mail infectado ou de visitar um
ransomware. Usar Objetos de Política site comprometido, o treinamento
de Grupo (GPO) ou um aplicativo deve incluir desplugar o sistema
de terceiros para bloquear os ou manter o botão liga/desliga
diretórios %App/Data e %App/User pressionado até que o computador
para impedir a execução de arquivos seja desligado. Se a infecção não se
localizados nesses diretórios é uma espalhou para o servidor real e o
excelente abordagem. Confira o Kit ransomware está sendo executado
de Prevenção contra Ransomware na estação de trabalho, esta ação
de Terceira Camada para obter mais pode impedir que muitos arquivos
informações.8 sejam criptografados. A TI precisa
desconectar a máquina, sem
Para novos ambientes do Active
esquecer de desativar conexões sem
Directory do Windows, implementar
fio, a partir da rede do escritório,
uma lista branca de aplicativos
antes que seja seguro ligar
usando o AppLocker ou um aplicativo
novamente.
de terceiros também pode fornecer
uma defesa contra o acionamento Ao lidar com um ataque de
de payloads de ransomware. Para ransomware, há dois componentes
saber mais, veja a nota de rodapé 9 a considerar: primeiro, o terminal
na seção de referências, abordando infectado, que se for ligado
o uso do AppLocker no combate a começará a infectar arquivos
ransomware. Para isso funcionar, os quase imediatamente no ato de
usuários não devem ter privilégios inicialização (se ainda conectado
de administrador local ou de à rede); e segundo, os próprios
administrador de domínio. arquivos criptografados.

36 WWW.SOLARWINDSMSP.COM
 r o c e s so. Nem
tardi a do p tu do e
u i t o stá p
ase m
o nessa f erdi
do.”
“Mesm
SU A S Ú LTI MA S A Ç Õ ES DE R EC U R SO S DE DEF ESA 37
“Você
VOLTEpode querer preservar a máquina para
À ATIVA
um exame profissional como o realizado pela
Digital Forensic Incident Response (DFIR) ou
uma agência de execução da lei.”

38 WW
www.solarwindsmsp.com
W.SOLARWINDSMSP.COM
O terminal infectado precisa ter sua organização, você pode querer
o exploit anulado (via patch ou preservar a máquina para um exame
remoção do software afetado pelo proffissional como o realizado pela
exploit), o Trojan removido e o Digital Forensic Incident Response
payload ou ransomware removidos. (DFIR) ou uma agência de execução
Se algum desses componentes da lei.
permanecer, há chances de que a
máquina irá se conectar à Internet,
Se você vai tentar a solução de
infectar-se novamente, baixar o
usar um anti-malware em um
payload e o ataque pode começar
sistema isolado ou off-line, pode ser
tudo de novo. Uma reinstalação
prudente verificar se há qualquer
completa a partir de um script .iso
tráfego de rede suspeito usando
“gold image” ou uma boa imagem
o Wireshark (especialmente
conhecida de uma mídia segura
http ou https) de uma máquina
(não uma recuperação local) pode
recentemente limpa, antes de
ser a única forma de remover uma
restabelecer o serviço. Infelizmente,
infecção mais avançada.
payloads de ransomware mais
avançados fornecem recursos de
Um terminal infectado pode ter roubo de credencial, então todas as
informação valiosa sobre como senhas, incluindo as armazenadas
a sua segurança em camadas foi em cookies do navegador, podem
driblada e pode incluir informações estar comprometidas. Portanto,
sobre os cyber criminosos. Se o todas as senhas devem ser alteradas.
ataque teve impacto significativo na

V O LTE À A TI V A 39
CHAMADA PARA BACKUP

“Tenha cuidado
ao carregar quaisquer
arquivos criptografados
como dados de
amostra.”

40 WWW.SOLARWINDSMSP.COM
Quanto aos arquivos criptografados, Se sua empresa ou negócio do
espera-se que a sua solução de seu cliente sofre um ataque de
backup baseada em nuvem seja ransomware, a Heimdal Security
capaz de restaurar rapidamente os oferece um recurso fantástico com
arquivos — ransomware que muitas cerca de 100 programas diferentes
vezes tentam destruir todos os de descriptografia online.10 Vale a
backups locais. pena guardar esse site nos favoritos.
No entanto, aqui vai um conselho:
tenha cuidado ao carregar quaisquer
Infelizmente, depois de um ataque
arquivos criptografados necessários
bem-sucedido de ransomware,
para descriptografia — não use nada
muitas empresas descobrem (ou seu
confidencial.
prestador de serviços de TI ou MSP)
que a estratégia de backup do cliente
pode ter sido menos robusta. Para
uma empresa, esta situação pode ser
catastrófica.

C H A MA DA P A R A B A C KU P 41
PAGAR OU NÃO PAGAR

“É claro que pagar

por um resgate não a
melhor solução para
ninguém, exceto para
os cyber criminosos”.

42 WWW.SOLARWINDSMSP.COM
Apesar das recentes declarações satisfações sobre a importância dos
controversas do FBI, está claro dados ou o preço para recuperá-los
que pagar por um resgate não é a vai aumentar. A última coisa que você
melhor solução para ninguém, exceto pode querer é patrocinar a criação de
para os cyber criminosos. A única uma versão melhor e mais eficaz de
circunstância em que você pode um ransomware.
considerar pagar o resgate seria se os
dados forem extremamente valiosos
Todos os incidentes de ransomware
para o negócio e suas operações, ou
constituem cyber crime e devem ser
se anos de pesquisa estão em jogo.
denunciados. Para denunciar crimes
De qualquer forma, você precisará
cibernéticos, contate a delegacia
encarar a dura verdade de se
local11 ou registe a ocorrência no
perguntar por que esses dados já não
Internet Crime Complaint Center.12
estavam protegidos contra um ataque
No Reino Unido, contate o Action
de ransomware .
Fraud,13 na Comunidade Europeia,
entre em contato com a Europol,14 e
Tenha em mente que quem enviou, na Austrália, entre em contato com a
cultivou e instalou um Trojan no seu Acorn.15. Esses organismos ajudarão
sistema e depois baixou e executou você a lutar contra os criminosos.
o ransomware, é um criminoso. Se
há uma oportunidade para extorquir
mais dinheiro, os cyber criminosos
não deixarão passar, então não dê

P A GA R O U NÃ O P A GA R 43
CONCLUSÃO

O conteúdo presente nas Indicações de comprometimento de rede

apresentadas pela SolarWinds® MSP ajudarão a educar as empresas,
MSPs e prestadores de TI sobre a dinâmica de um ataque de malware
moderno e os passos e tecnologias que podem diminuir os danos.

Um ataque pode ocorrer em questão de segundos ou minutos,

dependendo de muitos fatores, mas implementar defesas para
interceptar a atividade maliciosa através das fases da cadeia Cyber Kill
Chain e aumentar as defesas com treinamento de conscientização do
usuário, pode ser a solução para prevenir ataques de ransomware e o
comprometimento de terminais.

44 WWW.SOLARWINDSMSP.COM
REFERÊNCIAS

1  ockheed Martin Cyber Kill Chain®

L
http://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html
2  erizon Data Breach Investigation Report 2016
V
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
3 https://blog.barkly.com/phishing-statistics-2016
4 https://www.alienvault.com/blogs/security-essentials/clicking-with-the-enemy
5 Recorded Future
https://www.recordedfuture.com/
6 
Digital Shadows
https://www.digitalshadows.com
7  avis Ormandy report
T
https://bugs.chromium.org/p/project-zero/issues/detail?id=820
8  hird Tier Ransomware Kit
T
http://www.thirdtier.net/ransomware-prevention-kit/
9 Technet Blog
https://blogs.technet.microsoft.com/askpfeplat/2016/06/27/applocker-another-layer-in-the-defense-in-depth-against-malware/
10 
Heimdal Security
https://heimdalsecurity.com/blog/ransomware-decryption-tools/
11 
FBI
https://www.fbi.gov/contact-us/field-offices
12 IC3
https://www.IC3.gov
13 
Action Fraud
http://www.actionfraud.police.uk/report_fraud
14 Europol
https://www.europol.europa.eu/report-a-crime/report-cybercrime-online
15 Acorn
https://report.acorn.gov.au/

R EF ER ÊNC I A S 45
A SolarWinds MSP prepara os MSPs de todos os portes e dimensões no mundo inteiro para a criação Para saber mais, visite www.solarwindsmsp.com
de negócios altamente eficientes e lucrativos com uma vantagem competitiva mensurável. As soluções
integradas incluindo automação, segurança e gerenciamento de redes e serviços – locais ou na nuvem
– suportadas por ações baseadas em informações de dados, ajudam os MSPs a trabalhar de forma
mais fácil e rápida. A SolarWinds MSP ajuda os MSPs a focarem no que mais interessa: cumprir os SLAs
e criar um negócio lucrativo.

© 2017 SolarWinds MSP UK Ltd. Todos os Direitos Reservados.

RMEB00067BRPT0417

www.solarwindsmsp.com