Um relatório divulgado pela Fortinet sobre as principais ameaças detectadas no último trimestre de 2020 apontou que dois dos botnets mais antigos que circulam – Gh0st e Andromeda – ou Gamaru e Wauchos – ainda circulam e estão ativos na América Latina – embora teoricamente a solução para esses ataques tenha aparecido a primeira vez em 2017.
É claro que esse problema é um reflexo da falta de atualização e da aplicação dos patches dos fabricantes – o que é uma solução convencional – e o calcanhar de Aquiles de muitos departamentos de Segurança. Qual é a solução para controlar esse tipo de ataque e mais: como deixar de depender somente da atualização manual para o controle efetivo desses tipos de ameaças?
No terceiro trimestre de 2020, o Emotet – um bot criado primeiramente para atacar o setor bancário, e que apareceu pela primeira vez em 2014 – se espalhou rapidamente, com um aumento de até 1200% de incidência. Basicamente, o Emotet se espalhou a partir de e-mails com anexo malicioso – geralmente se assemelhando a uma fatura, ou a um pedido de compras. O objetivo final era abrir caminho para um ataque de ransomware.
O problema é que o Emotet tem IOCs (indicadores de compromisso, ou Indicators of Compromise, no termo em inglês), que mudavam constantemente – tais como URLs do carregafor, combinações de IP/ porta C2 e modelos de mensagem de spam. Esse padrão de comportamento, além de dificultar a realização dos patches das ferramentas tradicionais de segurança, também torna difícil a atualização – que precisa ser constante, e ocorrer praticamente no mesmo tempo que a atualização do fabricante.
Uma vez dentro da rede, o Emotet tem vários métodos para mover lateralmente, escalar privilégios, estabelecer persistência e exfiltrar dados. Meses podem se passar até que o ataque seja detectado.
Outras duas técnicas agravaram o problema do Emotet e dificultaram muito a detecção do problema por vias tradicionais: a primeira é que o botnet respondia a threads de e-mails existentes – dando a impressão de que o arquivo vinha de uma fonte confiável.
Para que isso acontecesse, o Emotet roubava mensagens de e-mail e listas de contato das vítimas por meio de solicitações HTTP POST de volta ao servidor C2. Os dados roubados eram usados para personificar o remetente e “responder” às conversas existente – e isso pode acontecer com a falsificação do rementente, ou com o controle total da máquina da vítima.
Outra maneira usada para inserir o trojan dentro da rede corporativa sem que houvesse detecção foi a utilização do recurso “Criptografar com senha” do Microsoft Word – o que fazia com que as ferramentas antivírus tradicionais não conseguissem detectar o conteúdo de maneira apropriada.
Como é possível ver, as ferramentas tradicionais de antivírus ou de detecção padrão não são mais suficientes – ou os ataques se modernizam, ou as variáveis são mais rápidas que os patches, ou simplesmente os administradores não conseguem gerenciar atualizações frequentes.
A Varonis tem uma série de soluções que podem auxiliar na detecção rápida dessas informações, sem a necessidade, por exemplo, de atualizações constantes de patches de segurança. O Varonis DatAlert, por exemplo, analisa todas as ações da caixa de correio (enviar / receber / abrir / excluir, etc.) para identificar rapidamente as contas que estão comprometidas e começaram a enviar campanhas de spam (interna ou externamente). O perfil de comportamento de um usuário é construído em várias plataformas – desvios sutis no comportamento de e-mail combinados com eventos de logon suspeitos, conexões de rede e acesso a dados produzem alertas de alta fidelidade com poucos falsos positivos.
Já o Varonis Edge pode detectar ações como exfiltração de mensagens de e-mail e contatos do Outlook. A coleta de e-mail e contato podem ser observados principalmente por meio do monitoramento de proxy – e o Emotet usa comandos HTTP POST para exfiltração. Porém, se um canal DNS mais secreto for estabelecido no futuro, o Edge também terá modelos de exfiltração baseados em DNS cobertos.
Conexões incomuns de volta aos servidores C2 podem ser detectadas de várias maneiras. Primeiro, se a conexão for para um domínio com má reputação, a Varonis alertará e marcará essas conexões. Em segundo lugar, a Varonis detecta quando os invasores escondem seu tráfego em muitas conexões, usando um algoritmo de geração de domínio (DGA). Terceiro, os modelos comportamentais da Varonis também detectam quando os invasores usam o DNS como um canal secreto para ocultar seus comandos ou transferências de dados como consultas.
Por último, a Varonis alertará sobre atividades incomuns na web, como o uso de agentes de usuário novos ou incomuns, acesso incomum ou pela primeira vez à Internet por uma conta ou atividade de upload incomum.
O Emotet também podia atacar lateralmente, enumerando as redes wi-fi próximas, e se espalhando entre os clientes conectados. Nessa modalidade, o bot usava a força bruta em redes wireless protegidas por senha usando uma lista de senhas internas. Ao entrar, o bot encaminhava o SSID da rede e a combinação da senha de volta ao servidor C2, realizando outro ataque de força bruta, dessa vez nos clientes.
Como a Varonis rastreia as associações entre os usuários e os dispositivos e recursos que eles acessam, os modelos de ameaça detectam um número incomum de conexões feitas por uma conta, conexões feitas a sistemas normalmente não acessados, como o password spray (spraying de senhas), ou Credential Stuffing.
O malware – assim como vários outros—também poderia obter escalonamento de privilégios usando ferramentas de código aberto, procurando senhas armazenadas em texto simples, e obtendo credenciais do AD. Depois que as credenciais administrativas são obtidas, o invasor pode adicionar um ou mais usuários a um grupo de administradores de domínio e fazer upload de credenciais para serviços de armazenamento em nuvem.
Ao observar a atividade do sistema de arquivos, as ferramentas da Varonis podem detectar quando o malware é salvo no disco ou quando um usuário procura arquivos com senhas ou outros dados confidenciais em compartilhamentos de arquivos. Qualquer conta de usuário normalmente tem acesso a muito mais dados do que deveria, então essas pesquisas geralmente trazem resultados práticos aos invasores.
No caso do Emotet em particular, e também de outros botnets, mesmo que todos esses sinais sejam perdidos, a Varonis fornece uma camada crítica de defesa em torno de seus maiores armazenamentos de dados, protegendo servidores Windows e UNIX, dispositivos NAS, SharePoint e Exchange (tanto no local quanto no Microsoft 365).
A Varonis captura mais informações sobre como os usuários interagem com os dados do que qualquer outra tecnologia – analisando a atividade do sistema de arquivos em plataformas que fornecem auditoria adequada por meio de suas APIs, como Microsoft 365 e dispositivos NAS da NetApp e EMC. Onde a auditoria nativa está faltando, como Windows, UNIX, Exchange e SharePoint, a Varonis usa filtros de sistema de arquivos testados em batalha para capturar operações de arquivo.
Se um usuário começar a acessar uma quantidade incomum de dados em comparação com seu comportamento normal, o Varonis detectará isso com um ou mais de seus muitos modelos comportamentais (bem como detectará uploads incomuns, como mencionado acima). Se um usuário começar a criptografar arquivos, isso também será detectado – muitos clientes automatizam respostas a esse tipo de comportamento, desativando a conta e eliminando as conexões ativas.
A Varonis também revela onde os dados estão excessivamente acessíveis e onde usuários ou grupos têm acesso de que não precisam e automatiza processos para bloqueá-los. Restringir o acesso a dados importantes reduzirá a área de superfície de risco geral e tornará o trabalho de qualquer invasor mais difícil.
Com um registro detalhado e pesquisável de todos os acessos ao sistema de arquivos, é muito mais rápido avaliar e se recuperar de danos. Em vez de pesquisar em diretórios por notas de resgate, você pode executar uma consulta para todos os acessos e modificações de arquivos feitas por qualquer usuário em qualquer período de tempo para localizar os arquivos afetados e, em seguida, restaurar as versões corretas.
Para saber como a Varonis pode mitigar a ameaça dos botnets na sua empresa, entre em contato conosco e agende uma demonstração.