Últimas notícias

Fique informado
Entender as técnicas de evasão de EDR é uma maneira efetiva de mitigar ataques

Entender as técnicas de evasão de EDR é uma maneira efetiva de mitigar ataques

15 de junho de 2023

Spotlight

A Transformação Digital do Mercado Imobiliário: Blockchain, Moedas digitais, Cartórios e o Futuro

A tecnologia blockchain tem despertado interesse devido ao seu potencial disruptivo em vários setores, incluindo o setor imobiliário.

8 de abril de 2024

Empresa de Israel traz tecnologia de ponta em cibersegurança para o mercado brasileiro

Com o potencial de crescimento do mercado brasileiro e sua consequente inserção no ambiente digital, os fundadores da Cysfera decidiram trazer as inovações de ponta israelenses ao cenário nacional.

3 de abril de 2024

Do primeiro Robô Advogado ao ChatGPT: Você sabe como as IAs podem impactar o futuro do setor jurídico?

Assista o webinar na íntegra, gratuitamente pelo canal oficial da doc9 no YouTube e obtenha insights essenciais sobre como aproveitar ao máximo as tecnologias emergentes e manter vantagem competitiva neste setor em constante evolução.

28 de março de 2024

AX4B: 64% das empresas brasileiras não possuem soluções corporativas de antivírus, apesar do aumento de 7% nos ataques cibernéticos

A AX4B acaba de divulgar os resultados de sua mais recente pesquisa sobre a situação da segurança cibernética no Brasil.

26 de março de 2024

A evasão de soluções de EDR inclui um conjunto de técnicas que os cibercriminosos usam para iludir as defesas dos endpoints

Por German Patiño

German Patiño, vice-presidente de vendas da Lumu Technologies para a América Latina.

A evasão de soluções de EDR (Endpoint Detection and Response) inclui um conjunto de técnicas que os cibercriminosos usam para iludir as defesas dos endpoints, sendo uma tática amplamente empregada por agentes de ameaças para contornar algumas das defesas mais comuns implantadas pelas organizações.

Embora o cenário de EDR esteja evoluindo, com fornecedores expandindo suas ofertas para incluir detecção e resposta estendida e plataformas de proteção de endpoint, com novos recursos e um escopo de cobertura mais amplo, é possível que essas soluções não forneçam cobertura completa da superfície de ataque, não sendo capazes de acompanhar o ritmo acelerado das investidas e técnicas atuais.

Estudo recente realizado pela Universidade de Piraeus (Grécia) comprova esse fato. Os pesquisadores analisaram 26 soluções de detecção e resposta de endpoint e cinco plataformas de proteção de endpoint (EPPs) e chegaram à conclusão que 94% delas foram consideradas vulneráveis a pelo menos uma técnica de evasão comum, o que representa um risco significativo de comprometimento.

Recentemente, atores maliciosos têm usado itens do painel de controle (.cpl) para ocultar softwares mal-intencionados específicos e executá-los, em vez de ferramentas de sistema legítimas.

Tendo em mente que as soluções de EDR se concentram na identificação e bloqueio de arquivos executáveis maliciosos, os invasores podem contornar essas medidas usando .cpl legítimo. Esta técnica é conhecida como “CPL side-loading” ou “CPL Hijacking”.

Desde 2017, quando pesquisadores de segurança descobriram que o grupo de cibercrimes FIN7 usava a técnica para atacar instituições financeiras, várias ocorrências foram identificadas usando carregamento lateral de CPL como parte da cadeia do cibercrime.

No estudo mencionado, foi constatado que 48% das soluções de EDR e EPP testadas não são capazes de detectar ou bloquear a execução desse método imediatamente, o que aumenta o risco de comprometimento.

Outra estratégia usada pelos cibercriminosos é o carregamento lateral de DLL (Dynamic Link Library – biblioteca de vínculo dinâmico), conjunto compartilhado de ferramentas que diferentes programas podem usar para realizar determinadas tarefas.

Com essa tática, os invasores substituem uma DLL legítima por uma maliciosa, fazendo com que o aplicativo a carregue, o que resulta na execução do código do invasor no sistema.

A injeção de código é outro método muito empregado por invasores para introduzir código malicioso em um aplicativo ou processo legítimo, a fim de contornar a detecção por sistemas EDR ou EPP, podendo mascarar a presença em uma operação legítima, dificultando a detecção por soluções de segurança.

Embora novas técnicas de injeção de código tenham surgido nos últimos anos, as mais antigas, como esvaziamento de processo, continuam sendo muito utilizadas por invasores e, ainda, são bem-sucedidas.

Entre algumas das táticas mais recentes, podemos citar a “Atomic Bombing”, que tira proveito do mecanismo do Windows para comunicação entre processos, identificando dados armazenados em uma tabela global chamada atoms.

Mas, assim como existem estratégias para iludir as defesas dos endpoints, também há aquelas que muitos softwares, incluindo sistemas de segurança como EDRs ou EPPs, usam para tentar detectar alterações enquanto monitoram a execução de um processo.

A hooking é uma delas. Para ‘enganchar um aplicativo’, o Windows fornece ferramentas para desenvolvedores interceptarem eventos, mensagens e chamadas entre APIs no Sistema Operacional, denominados de “ganchos”.

Atentos a isso, os agentes mal-intencionados desenvolveram um mecanismo capaz de interceptar chamadas de API e modificá-las para fins maliciosos.

Como se pode comprovar por meio dos exemplos citados, trata-se de um ecossistema em constante mudança em que os desafios para os profissionais de cibersegurança são quase que diários.

Desta forma, técnicas cada vez mais avançadas de evasão de EDR exigem um sistema capaz de detectar as ações na rede e alertar a tempo, fornecendo contexto e informações suficientes para que as equipes de resposta possam agir imediatamente e mitigar o comprometimento antes da ocorrência de danos significativos.

Somos o maior portal brasileiro sobre Criptografia e Identificação Digital.

Com uma década de existência, temos um público de cerca de 2 milhões de leitores por ano.

As empresas que nos apoiam e nossos colunistas ajudam a criar um mundo digital mais seguro, confiável e tranquilo.

Acompanhe o Crypto ID nas redes sociais!