Como se proteger da ameaça oculta de scripts evasivos

As técnicas de evasão são usadas por cibercriminosos para evitar a detecção e são especialmente prevalentes no contexto de scripts, que por si só têm usos legítimos (por exemplo, para automatizar processos em um sistema de computador).

 Infelizmente, os scripts também podem ser usados ​​para fins maliciosos e é improvável que os scripts maliciosos sejam detectados ou bloqueados pela solução antimalware comum. É por isso que os cibercriminosos estão se voltando para ataques baseados em script e outros malwares evasivos – como o Emotet – com mais frequência do que nunca.

Embora o Emotet seja um exemplo de ameaça que usa scripts como parte de sua estratégia evasiva, há muitos outros tipos de técnicas de evasão baseadas em script que as organizações precisam estar cientes para manter seus sistemas seguros.

LoLBins

Living off the Land Binários (“LoLBins”) são aplicativos padrão já presentes em um sistema Windows, que podem ser usados ​​indevidamente por cibercriminosos para realizar etapas comuns de um ataque sem ter que baixar ferramentas adicionais no sistema de destino. Por exemplo, os criminosos podem usar LoLBins para criar persistência pós-reinicialização, acessar dispositivos em rede, contornar os controles de acesso do usuário e até mesmo extrair senhas e outras informações confidenciais.

Existem dezenas de LoLBins nativos do sistema operacional Windows que os criminosos podem usar, por exemplo, powershell.exe, certutil.exe, regsvr32.exe e muitos mais. Essa é uma das maneiras pelas quais os criminosos cibernéticos disfarçam suas atividades, porque os aplicativos do sistema operacional padrão provavelmente não serão sinalizados ou bloqueados por uma solução antimalware. A menos que você tenha uma boa visibilidade dos comandos exatos que esses processos estão executando, pode ser muito difícil detectar comportamento malicioso originado de LoLBins.

Ofuscação de conteúdo de script

A “ofuscação” de conteúdo oculta o verdadeiro comportamento de um script. Embora a ofuscação também tenha finalidades legítimas, no contexto de um ataque evasivo, a ofuscação torna difícil analisar a verdadeira natureza de um script. As imagens mostram um exemplo de código ofuscado (parte superior), com sua versão não ofuscada (parte inferior).

Execução sem arquivo e evasiva

Com scripts, é possível executar ações em um sistema sem a necessidade de um arquivo. Um script pode ser escrito para alocar memória no sistema e, em seguida, escrever o código de shell para essa memória e passar o controle para essa memória. Isso significa que as funções maliciosas são realizadas na memória, sem um arquivo, tornando extremamente difícil detectar a origem da infecção e interrompê-la.

No entanto, com a execução sem arquivo, a memória é limpa quando o computador é reiniciado. Isso significa que a execução de uma infecção sem arquivo pode ser interrompida apenas reiniciando o sistema.

Não é novidade que os cibercriminosos estão sempre trabalhando em novos métodos para garantir a persistência, mesmo ao usar ameaças sem arquivo. Alguns exemplos incluem o armazenamento de scripts em Tarefas agendadas, arquivos LNK e no Registro do Windows.

Como se manter protegido

A boa notícia é que o sistema operacional Windows 10 agora inclui o Anti-Malware Scan Interface ( AMSI ) da Microsoft para ajudar a combater o uso crescente de scripts maliciosos e ofuscados. Isso significa que uma das primeiras coisas que você pode fazer para ajudar a manter sua organização segura é garantir que todos os dispositivos Windows estejam com a versão do sistema operacional mais atualizada.

Além disso, existem várias outras etapas que podem ajudar a garantir uma estratégia de segurança cibernética eficaz e resiliente:

  • Mantenha todos os aplicativos atualizados – o software desatualizado pode conter vulnerabilidades que os criminosos procuram explorar. Verifique todos os aplicativos do Windows e de terceiros regularmente para atualizações para reduzir o risco
  • Desative macros e interpretadores de script – embora as macros tenham aplicativos legítimos, é improvável que a maioria dos usuários domésticos ou corporativos precise deles. Se um arquivo que você ou outro funcionário baixou instruir você a habilitar macros para visualizá-lo, não o faça. Essa é outra tática evasiva comum que os cibercriminosos usam para colocar malware em seu sistema. Os administradores de TI devem garantir que as macros e os intérpretes de script sejam totalmente desativados para ajudar a prevenir ataques baseados em script
  • Remova aplicativos de terceiros não utilizados – Aplicativos como Python e Java são frequentemente desnecessários. Se estiverem presentes e não usados, basta removê-los para ajudar a fechar uma série de lacunas de segurança em potencial
  • Eduque os usuários finais – os cibercriminosos elaboram ataques especificamente para tirar vantagem da confiança, ingenuidade, medo e falta geral de conhecimento técnico ou de segurança dos usuários finais. Educar os usuários finais sobre os riscos de ataques cibernéticos, como evitá-los e quando e como relatá-los à equipe de TI pode melhorar drasticamente a postura geral de segurança da empresa e sua resiliência cibernética
  • Use a segurança de endpoint que fornece várias camadas de proteção contra ameaças, incluindo ameaças baseadas em arquivo, sem arquivo, ofuscadas e criptografadas.

Embora a inovação e a criatividade implacáveis ​​dos hackers tenham tornado as táticas evasivas comuns, entender a estrutura na qual suas táticas operam permite que os profissionais de segurança cibernética e de TI projetem defesas mais eficazes até mesmo contra o invasor mais persistente. Combinado com uma cultura de resiliência cibernética que se concentra na rede total, endpoint e proteção do usuário, bem como recuperação de dados para clientes, as empresas podem se recuperar de qualquer ameaça.

Fonte: https://www.helpnetsecurity.com/2020/09/07/how-to-protect-yourself-from-the-hidden-threat-of-evasive-scripts/