{"id":6919,"date":"2025-02-20T22:20:38","date_gmt":"2025-02-21T01:20:38","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/tacticas-de-evasion-en-ciberataques-como-los-defensores-pueden-detectarlas\/2025\/02\/20\/"},"modified":"2025-04-11T22:33:04","modified_gmt":"2025-04-12T01:33:04","slug":"tacticas-de-evasion-en-ciberataques-como-los-defensores-pueden-detectarlas","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/defensiva\/tacticas-de-evasion-en-ciberataques-como-los-defensores-pueden-detectarlas\/2025\/02\/20\/","title":{"rendered":"T\u00e1ticas de evas\u00e3o em ataques cibern\u00e9ticos: como os defensores podem detect\u00e1-las"},"content":{"rendered":"<p>No din\u00e2mico cen\u00e1rio de seguran\u00e7a cibern\u00e9tica atual, os criminosos cibern\u00e9ticos est\u00e3o empregando t\u00e1ticas cada vez mais sofisticadas para se infiltrarem sem serem detectados. Uma estrat\u00e9gia comum \u00e9 o uso de ferramentas e processos leg\u00edtimos do sistema operacional para ocultar atividades mal-intencionadas, o que representa um desafio significativo para as equipes de defesa. Essas t\u00e9cnicas de evas\u00e3o permitem que os invasores operem fora do radar, comprometendo sistemas e dados confidenciais sem levantar suspeitas imediatas.<\/p>\n<p>Para as equipes de seguran\u00e7a defensiva (Blue Teams), \u00e9 essencial detectar e neutralizar essas t\u00e1ticas. Isso requer um conhecimento profundo das t\u00e9cnicas empregadas pelos atacantes e a implementa\u00e7\u00e3o de solu\u00e7\u00f5es avan\u00e7adas de monitoramento e an\u00e1lise. Este artigo explora as t\u00e1ticas de evas\u00e3o mais comumente usadas e oferece estrat\u00e9gias eficazes para que os defensores as identifiquem e as neutralizem, fortalecendo, assim, a postura de seguran\u00e7a de suas organiza\u00e7\u00f5es.<\/p>\n<p>T\u00e9cnicas comuns de evas\u00e3o<br \/>\nNeste artigo, exploraremos tr\u00eas t\u00e9cnicas de evas\u00e3o frequentemente empregadas por criminosos cibern\u00e9ticos para contornar as defesas das organiza\u00e7\u00f5es: Process Hollowing, DLL Sideloading e o uso de registros de eventos para persist\u00eancia.<br \/>\nProcesso de escava\u00e7\u00e3o<br \/>\nEssa \u00e9 uma t\u00e9cnica na qual os criminosos cibern\u00e9ticos criam um processo leg\u00edtimo no sistema e, uma vez iniciado, substituem sua mem\u00f3ria interna por um c\u00f3digo malicioso. Isso permite que o c\u00f3digo malicioso seja executado sob o disfarce de um processo confi\u00e1vel, dificultando sua detec\u00e7\u00e3o.<\/p>\n<p>Alguns exemplos:<\/p>\n<ul>\n<li>Cria\u00e7\u00e3o de um processo suspenso: o invasor inicia um processo leg\u00edtimo em um estado suspenso usando fun\u00e7\u00f5es como CreateProcess com o sinalizador CREATE_SUSPENDED.<\/li>\n<li>Aloca\u00e7\u00e3o maliciosa de mem\u00f3ria: o ZwUnmapViewOfSection \u00e9 usado para desvincular a mem\u00f3ria original do processo e o VirtualAllocEx \u00e9 usado para alocar nova mem\u00f3ria no espa\u00e7o do processo de destino.<\/li>\n<li>Inje\u00e7\u00e3o de c\u00f3digo malicioso: por meio do WriteProcessMemory, o c\u00f3digo malicioso \u00e9 gravado na mem\u00f3ria alocada.<\/li>\n<li>Retomada do processo: finalmente, o ponteiro de instru\u00e7\u00e3o \u00e9 definido com SetThreadContext e o processo \u00e9 retomado com ResumeThread, executando assim o c\u00f3digo malicioso sob a identidade do processo leg\u00edtimo.<\/li>\n<\/ul>\n<p>Detec\u00e7\u00e3o pela Equipe Azul<\/p>\n<ul>\n<li>Monitoramento de chamadas de API suspeitas: observe o uso de fun\u00e7\u00f5es como ZwUnmapViewOfSection, VirtualAllocEx e WriteProcessMemory em processos que normalmente n\u00e3o as utilizam.<\/li>\n<li>An\u00e1lise de discrep\u00e2ncia da imagem do processo: use ferramentas que comparem a imagem do disco do processo com a imagem carregada na mem\u00f3ria para identificar modifica\u00e7\u00f5es n\u00e3o autorizadas.<\/li>\n<li>Registro de eventos de cria\u00e7\u00e3o de processos: configure os sistemas de monitoramento para alertar sobre a cria\u00e7\u00e3o de processos em um estado suspenso ou sobre altera\u00e7\u00f5es inesperadas na mem\u00f3ria de processos ativos.<\/li>\n<\/ul>\n<p>Carregamento lateral de DLL<br \/>\nO Sideloading de DLL envolve criminosos cibern\u00e9ticos que colocam uma biblioteca de v\u00ednculo din\u00e2mico (DLL) mal-intencionada no mesmo diret\u00f3rio de um aplicativo leg\u00edtimo. Quando o aplicativo \u00e9 executado, ele carrega a DLL mal-intencionada em vez da leg\u00edtima devido \u00e0 prioridade na ordem de pesquisa da DLL, permitindo a execu\u00e7\u00e3o n\u00e3o autorizada de c\u00f3digos.<\/p>\n<p>Alguns exemplos:<\/p>\n<ul>\n<li>Prepara\u00e7\u00e3o da DLL mal-intencionada: o invasor cria uma DLL com o mesmo nome de uma DLL leg\u00edtima que o aplicativo de destino carrega durante a execu\u00e7\u00e3o.<\/li>\n<li>Posicionamento estrat\u00e9gico da DLL: a DLL maliciosa \u00e9 colocada no diret\u00f3rio do aplicativo leg\u00edtimo, aproveitando o fato de que o Windows procura primeiro no diret\u00f3rio do aplicativo antes de procurar em outro lugar.<\/li>\n<li>Execu\u00e7\u00e3o do aplicativo: quando o aplicativo leg\u00edtimo \u00e9 iniciado, ele carrega a DLL mal-intencionada, dando ao invasor a capacidade de executar c\u00f3digos com os mesmos privil\u00e9gios do aplicativo.<\/li>\n<\/ul>\n<p>Detec\u00e7\u00e3o pela Equipe Azul<\/p>\n<ul>\n<li>Monitoramento de carga de DLL: implemente ferramentas que registrem quais DLLs s\u00e3o carregadas por cada aplicativo e alerte sobre cargas incomuns ou inesperadas.<\/li>\n<li>Verifica\u00e7\u00e3o de assinaturas digitais: verifique se todas as DLLs carregadas s\u00e3o assinadas digitalmente por provedores confi\u00e1veis e se correspondem \u00e0s assinaturas esperadas.<\/li>\n<li>Monitoramento da integridade dos arquivos: use sistemas que detectem altera\u00e7\u00f5es ou adi\u00e7\u00f5es de arquivos em diret\u00f3rios cr\u00edticos de aplicativos, especialmente aqueles que cont\u00eam execut\u00e1veis e suas DLLs associadas.<\/li>\n<\/ul>\n<p>Uso de logs de eventos para persist\u00eancia<br \/>\nNessa t\u00e9cnica, os criminosos cibern\u00e9ticos manipulam os registros de eventos do sistema operacional para armazenar c\u00f3digos ou comandos maliciosos a serem executados posteriormente, obtendo persist\u00eancia no sistema comprometido. Ao ocultar o c\u00f3digo em locais de registro de eventos, \u00e9 menos prov\u00e1vel que atividades suspeitas sejam detectadas.<\/p>\n<p>Alguns exemplos:<\/p>\n<ul>\n<li>Inje\u00e7\u00e3o em registros de eventos: Usando ferramentas como o wevtutil, o invasor pode gravar dados maliciosos em registros de eventos personalizados ou mal monitorados.<\/li>\n<li>Execu\u00e7\u00e3o de assinatura de eventos: S\u00e3o criadas assinaturas de eventos que, quando acionadas, executam scripts ou comandos maliciosos previamente armazenados nos registros de eventos.<\/li>\n<li>Uso de registros para armazenar cargas \u00fateis: o c\u00f3digo malicioso \u00e9 armazenado em dados de eventos e recuperado e executado por scripts que leem esses registros.<\/li>\n<\/ul>\n<p>Detec\u00e7\u00e3o pela Equipe Azul<\/p>\n<ul>\n<li>Monitoramento de altera\u00e7\u00f5es nos logs de eventos: Configure alertas para detectar modifica\u00e7\u00f5es incomuns nos registros de eventos, especialmente aqueles que raramente s\u00e3o alterados.<\/li>\n<li>Revise as assinaturas de eventos: Audite regularmente as assinaturas de eventos para identificar as configura\u00e7\u00f5es que executam comandos ou scripts inesperados.<\/li>\n<li>An\u00e1lise de conte\u00fado de eventos: Inspecionar os dados armazenados nos registros de eventos em busca de padr\u00f5es que indiquem a presen\u00e7a de c\u00f3digos ou comandos maliciosos.<\/li>\n<\/ul>\n<p>Como as Blue Teams podem detectar essas t\u00e1ticas<br \/>\nPara combater essas amea\u00e7as, as equipes de defesa devem adotar estrat\u00e9gias proativas e ferramentas especializadas para identificar atividades suspeitas e responder de forma eficaz.<\/p>\n<p>Implementa\u00e7\u00e3o de sistemas de detec\u00e7\u00e3o de intrus\u00e3o (IDS)<br \/>\nOs IDSs s\u00e3o essenciais para monitorar o tr\u00e1fego da rede e detectar atividades an\u00f4malas. Esses sistemas analisam os pacotes de dados em busca de padr\u00f5es que correspondam a assinaturas de ataques conhecidos ou a comportamentos incomuns, alertando as equipes de seguran\u00e7a sobre poss\u00edveis intrus\u00f5es. \u00c9 essencial manter os bancos de dados de assinaturas atualizados e ajustar as configura\u00e7\u00f5es para minimizar os falsos positivos e negativos.<\/p>\n<p>Uso de ferramentas de monitoramento avan\u00e7ado<br \/>\nPara detectar t\u00e9cnicas como Process Hollowing ou DLL Sideloading, \u00e9 fundamental usar ferramentas que ofere\u00e7am uma visibilidade profunda do sistema:<\/p>\n<ul>\n<li>Sysmon: esse utilit\u00e1rio do Microsoft Windows permite o registro de eventos detalhados do sistema, como a cria\u00e7\u00e3o de processos e o carregamento de m\u00f3dulos, facilitando a identifica\u00e7\u00e3o de comportamentos suspeitos.<\/li>\n<li>EDR (Endpoint Detection and Response, detec\u00e7\u00e3o e resposta de endpoints): Essas solu\u00e7\u00f5es oferecem monitoramento cont\u00ednuo de endpoints, detectando e respondendo a atividades mal-intencionadas em tempo real.<\/li>\n<\/ul>\n<p>Cria\u00e7\u00e3o de regras de detec\u00e7\u00e3o personalizadas<br \/>\n\u00c9 fundamental desenvolver regras espec\u00edficas para identificar padr\u00f5es de comportamento associados a t\u00e9cnicas de evas\u00e3o:<\/p>\n<ul>\n<li>YARA: permite que voc\u00ea crie regras para identificar arquivos maliciosos com base em padr\u00f5es espec\u00edficos.<\/li>\n<li>Sigma: uma linguagem padr\u00e3o para compartilhar regras de detec\u00e7\u00e3o de eventos em diferentes plataformas SIEM, facilitando a identifica\u00e7\u00e3o de atividades suspeitas.<\/li>\n<\/ul>\n<p>An\u00e1lise comportamental e de anomalias<br \/>\nA implementa\u00e7\u00e3o de solu\u00e7\u00f5es que usam intelig\u00eancia artificial e aprendizado de m\u00e1quina para analisar o comportamento do usu\u00e1rio e do sistema ajuda a identificar desvios que podem indicar atividade mal-intencionada. Essas ferramentas podem detectar padr\u00f5es incomuns que as assinaturas tradicionais podem n\u00e3o detectar.<\/p>\n<p>Treinamento e conscientiza\u00e7\u00e3o dos funcion\u00e1rios<br \/>\nOs funcion\u00e1rios s\u00e3o uma linha de defesa crucial. Oferecer treinamento regular sobre t\u00e9cnicas de engenharia social e t\u00e1ticas de evas\u00e3o usadas por criminosos cibern\u00e9ticos aumenta a capacidade da organiza\u00e7\u00e3o de detectar e evitar ataques.<\/p>\n<p>Conclus\u00e3o<br \/>\nAs t\u00e1ticas de evas\u00e3o empregadas pelos criminosos cibern\u00e9ticos representam um desafio constante para as organiza\u00e7\u00f5es, pois eles procuram contornar as medidas de seguran\u00e7a estabelecidas. Para combater essas amea\u00e7as, \u00e9 essencial que as equipes de seguran\u00e7a adotem uma postura proativa, implementando ferramentas avan\u00e7adas de monitoramento e detec\u00e7\u00e3o, como as solu\u00e7\u00f5es Sysmon e EDR. Al\u00e9m disso, o treinamento cont\u00ednuo dos funcion\u00e1rios em pr\u00e1ticas de seguran\u00e7a cibern\u00e9tica fortalece a primeira linha de defesa contra poss\u00edveis invas\u00f5es. Ao combinar tecnologia de ponta com uma cultura organizacional voltada para a seguran\u00e7a, as organiza\u00e7\u00f5es podem melhorar significativamente sua capacidade de identificar e atenuar atividades mal-intencionadas, protegendo assim seus ativos mais valiosos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>No din\u00e2mico cen\u00e1rio de seguran\u00e7a cibern\u00e9tica atual, os criminosos cibern\u00e9ticos est\u00e3o empregando t\u00e1ticas cada vez mais sofisticadas para se infiltrarem sem serem detectados. Uma estrat\u00e9gia comum \u00e9 o uso de ferramentas e processos leg\u00edtimos do sistema operacional para ocultar atividades mal-intencionadas, o que representa um desafio significativo para as equipes de defesa. Essas t\u00e9cnicas de [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":6916,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":""},"categories":[98,199],"tags":[],"class_list":{"0":"post-6919","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-defensiva","8":"category-tecnico-pt-br"},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2025\/04\/132.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=6919"}],"version-history":[{"count":1,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6919\/revisions"}],"predecessor-version":[{"id":6923,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/6919\/revisions\/6923"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/6916"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=6919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=6919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=6919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}