Contacto
¿Estás teniendo un incidente?
Contacto
Volver
R & D + i Team
Compartir:
DefensivaTécnico
3
minutos

Táticas de evasão em ataques cibernéticos: como os defensores podem detectá-las

No dinâmico cenário de segurança cibernética atual, os criminosos cibernéticos estão empregando táticas cada vez mais sofisticadas para se infiltrarem sem serem detectados. Uma estratégia comum é o uso de ferramentas e processos legítimos do sistema operacional para ocultar atividades mal-intencionadas, o que representa um desafio significativo para as equipes de defesa. Essas técnicas de evasão permitem que os invasores operem fora do radar, comprometendo sistemas e dados confidenciais sem levantar suspeitas imediatas.

Para as equipes de segurança defensiva (Blue Teams), é essencial detectar e neutralizar essas táticas. Isso requer um conhecimento profundo das técnicas empregadas pelos atacantes e a implementação de soluções avançadas de monitoramento e análise. Este artigo explora as táticas de evasão mais comumente usadas e oferece estratégias eficazes para que os defensores as identifiquem e as neutralizem, fortalecendo, assim, a postura de segurança de suas organizações.

Técnicas comuns de evasão
Neste artigo, exploraremos três técnicas de evasão frequentemente empregadas por criminosos cibernéticos para contornar as defesas das organizações: Process Hollowing, DLL Sideloading e o uso de registros de eventos para persistência.
Processo de escavação
Essa é uma técnica na qual os criminosos cibernéticos criam um processo legítimo no sistema e, uma vez iniciado, substituem sua memória interna por um código malicioso. Isso permite que o código malicioso seja executado sob o disfarce de um processo confiável, dificultando sua detecção.

Alguns exemplos:

  • Criação de um processo suspenso: o invasor inicia um processo legítimo em um estado suspenso usando funções como CreateProcess com o sinalizador CREATE_SUSPENDED.
  • Alocação maliciosa de memória: o ZwUnmapViewOfSection é usado para desvincular a memória original do processo e o VirtualAllocEx é usado para alocar nova memória no espaço do processo de destino.
  • Injeção de código malicioso: por meio do WriteProcessMemory, o código malicioso é gravado na memória alocada.
  • Retomada do processo: finalmente, o ponteiro de instrução é definido com SetThreadContext e o processo é retomado com ResumeThread, executando assim o código malicioso sob a identidade do processo legítimo.

Detecção pela Equipe Azul

  • Monitoramento de chamadas de API suspeitas: observe o uso de funções como ZwUnmapViewOfSection, VirtualAllocEx e WriteProcessMemory em processos que normalmente não as utilizam.
  • Análise de discrepância da imagem do processo: use ferramentas que comparem a imagem do disco do processo com a imagem carregada na memória para identificar modificações não autorizadas.
  • Registro de eventos de criação de processos: configure os sistemas de monitoramento para alertar sobre a criação de processos em um estado suspenso ou sobre alterações inesperadas na memória de processos ativos.

Carregamento lateral de DLL
O Sideloading de DLL envolve criminosos cibernéticos que colocam uma biblioteca de vínculo dinâmico (DLL) mal-intencionada no mesmo diretório de um aplicativo legítimo. Quando o aplicativo é executado, ele carrega a DLL mal-intencionada em vez da legítima devido à prioridade na ordem de pesquisa da DLL, permitindo a execução não autorizada de códigos.

Alguns exemplos:

  • Preparação da DLL mal-intencionada: o invasor cria uma DLL com o mesmo nome de uma DLL legítima que o aplicativo de destino carrega durante a execução.
  • Posicionamento estratégico da DLL: a DLL maliciosa é colocada no diretório do aplicativo legítimo, aproveitando o fato de que o Windows procura primeiro no diretório do aplicativo antes de procurar em outro lugar.
  • Execução do aplicativo: quando o aplicativo legítimo é iniciado, ele carrega a DLL mal-intencionada, dando ao invasor a capacidade de executar códigos com os mesmos privilégios do aplicativo.

Detecção pela Equipe Azul

  • Monitoramento de carga de DLL: implemente ferramentas que registrem quais DLLs são carregadas por cada aplicativo e alerte sobre cargas incomuns ou inesperadas.
  • Verificação de assinaturas digitais: verifique se todas as DLLs carregadas são assinadas digitalmente por provedores confiáveis e se correspondem às assinaturas esperadas.
  • Monitoramento da integridade dos arquivos: use sistemas que detectem alterações ou adições de arquivos em diretórios críticos de aplicativos, especialmente aqueles que contêm executáveis e suas DLLs associadas.

Uso de logs de eventos para persistência
Nessa técnica, os criminosos cibernéticos manipulam os registros de eventos do sistema operacional para armazenar códigos ou comandos maliciosos a serem executados posteriormente, obtendo persistência no sistema comprometido. Ao ocultar o código em locais de registro de eventos, é menos provável que atividades suspeitas sejam detectadas.

Alguns exemplos:

  • Injeção em registros de eventos: Usando ferramentas como o wevtutil, o invasor pode gravar dados maliciosos em registros de eventos personalizados ou mal monitorados.
  • Execução de assinatura de eventos: São criadas assinaturas de eventos que, quando acionadas, executam scripts ou comandos maliciosos previamente armazenados nos registros de eventos.
  • Uso de registros para armazenar cargas úteis: o código malicioso é armazenado em dados de eventos e recuperado e executado por scripts que leem esses registros.

Detecção pela Equipe Azul

  • Monitoramento de alterações nos logs de eventos: Configure alertas para detectar modificações incomuns nos registros de eventos, especialmente aqueles que raramente são alterados.
  • Revise as assinaturas de eventos: Audite regularmente as assinaturas de eventos para identificar as configurações que executam comandos ou scripts inesperados.
  • Análise de conteúdo de eventos: Inspecionar os dados armazenados nos registros de eventos em busca de padrões que indiquem a presença de códigos ou comandos maliciosos.

Como as Blue Teams podem detectar essas táticas
Para combater essas ameaças, as equipes de defesa devem adotar estratégias proativas e ferramentas especializadas para identificar atividades suspeitas e responder de forma eficaz.

Implementação de sistemas de detecção de intrusão (IDS)
Os IDSs são essenciais para monitorar o tráfego da rede e detectar atividades anômalas. Esses sistemas analisam os pacotes de dados em busca de padrões que correspondam a assinaturas de ataques conhecidos ou a comportamentos incomuns, alertando as equipes de segurança sobre possíveis intrusões. É essencial manter os bancos de dados de assinaturas atualizados e ajustar as configurações para minimizar os falsos positivos e negativos.

Uso de ferramentas de monitoramento avançado
Para detectar técnicas como Process Hollowing ou DLL Sideloading, é fundamental usar ferramentas que ofereçam uma visibilidade profunda do sistema:

  • Sysmon: esse utilitário do Microsoft Windows permite o registro de eventos detalhados do sistema, como a criação de processos e o carregamento de módulos, facilitando a identificação de comportamentos suspeitos.
  • EDR (Endpoint Detection and Response, detecção e resposta de endpoints): Essas soluções oferecem monitoramento contínuo de endpoints, detectando e respondendo a atividades mal-intencionadas em tempo real.

Criação de regras de detecção personalizadas
É fundamental desenvolver regras específicas para identificar padrões de comportamento associados a técnicas de evasão:

  • YARA: permite que você crie regras para identificar arquivos maliciosos com base em padrões específicos.
  • Sigma: uma linguagem padrão para compartilhar regras de detecção de eventos em diferentes plataformas SIEM, facilitando a identificação de atividades suspeitas.

Análise comportamental e de anomalias
A implementação de soluções que usam inteligência artificial e aprendizado de máquina para analisar o comportamento do usuário e do sistema ajuda a identificar desvios que podem indicar atividade mal-intencionada. Essas ferramentas podem detectar padrões incomuns que as assinaturas tradicionais podem não detectar.

Treinamento e conscientização dos funcionários
Os funcionários são uma linha de defesa crucial. Oferecer treinamento regular sobre técnicas de engenharia social e táticas de evasão usadas por criminosos cibernéticos aumenta a capacidade da organização de detectar e evitar ataques.

Conclusão
As táticas de evasão empregadas pelos criminosos cibernéticos representam um desafio constante para as organizações, pois eles procuram contornar as medidas de segurança estabelecidas. Para combater essas ameaças, é essencial que as equipes de segurança adotem uma postura proativa, implementando ferramentas avançadas de monitoramento e detecção, como as soluções Sysmon e EDR. Além disso, o treinamento contínuo dos funcionários em práticas de segurança cibernética fortalece a primeira linha de defesa contra possíveis invasões. Ao combinar tecnologia de ponta com uma cultura organizacional voltada para a segurança, as organizações podem melhorar significativamente sua capacidade de identificar e atenuar atividades mal-intencionadas, protegendo assim seus ativos mais valiosos.

Notas
recientes
em geral
6
minutos

Threat Hunting com previsão comportamental

Estamos constantemente em busca de elementos que nos ajudem a prever como seremos atacados e, assim, fazer algo proativamente para reduzir esses riscos. A Inteligência sobre Ameaças Cibernéticas (CTI) é a disciplina que coleta,...
ver más ...

Trabajamos de forma
interconectada desde
América Latina, USA
y Europa.

Contactános

Certificaciones

Logros

Políticas

RRSS

iconos pie -13-svg
iconos pie -14-svg
iconos pie -12-svg

© BASE4 Security S.A. Todos los derechos reservados 2025