O pessoal da cibersegurança costuma dizer abertamente que backdoors são ruins. Quando governos ou agências de inteligência sugerem que um telefone, ferramenta de criptografia ou produto tenham um backdoor instalado, tanto o blue team quanto o red team concordam que esta não é uma boa ideia.
Vulnerabilidades ou pontos fracos em produtos são difíceis de encontrar, diferentemente de exploits, que são mais fáceis quando conhecemos as vulnerabilidades. Mas um backdoor intencional, seja instalado por fornecedor ou infiltrado, talvez seja o malware mais difícil de identificar.
Primeiro, um backdoor é uma vulnerabilidade e exploit tipo “pacotão”, sem precisar implantar nenhum malware. O sistema com backdoor é a versão oficial, tendo um certificado legítimo, e passará por todas as verificações de hash, tamanho e validação. Ao contrário de uma vulnerabilidade, o backdoor vem com qualquer segurança e ofuscação que os designers desejam, o que o torna quase indetectável para pesquisadores de ameaças terceirizados. Cada cliente desse produto tem aquele backdoor que pode ser utilizado. Um wishlist de vulnerabilidades e exploits.
Para esclarecer, ‘backdoor’ neste contexto está dentro de um lançamento de produto legítimo, não em uma inserção pós-lançamento na cadeia de abastecimento.
Difícil de detectar antes do ataque
Então, se o código do backdoor é efetivamente indetectável, eles podem ser identificados? Sim, embora não enquanto estiver inativo (ou seja, antes de qualquer ação ser realizada).
Uma vez que o backdoor é utilizado, mesmo o mais furtivo pode ser detectado, embora não o seja facilmente. A correspondência de patterns de exploits tradicional não ajudará, a menos que o backdoor distribua malware previamente conhecido internamente, mas isso seria negligente. As assinaturas de IPS baseadas em vulnerabilidades não irão identificá-lo nos estágios iniciais. Elas podem detectar mudanças comportamentais assim que ele começar a ser utilizado, mas terão mais facilidade quando indicadores claros de comprometimento (IOCs) forem distribuídos.
Com esses IOCs, varreduras retroativas agora são possíveis. Esta pode ser uma verificação antecipada do escopo do comprometimento.
Uma “pegadinha” é que muitos softwares de infraestrutura são ‘listados como seguros’ ou indicados como bons e conhecidos (Known Good), o que significa que muitas das proteções de segurança de linha de frente são, portanto, instruídas a excluir ou ignorar o sistema com backdoor.
Período crítico entre o primeiro uso de backdoor e os IOCs emitidos
Mas e antes que esses IOCs sejam amplamente conhecidos? As migalhas (ou breadcrumbs) digitais ainda existem para indicar um ataque antes mesmo que os IOCs estejam disponíveis, mas nenhum indicador seria suficiente para identificar uma ameaça.
Mudanças no padrão de comunicação seriam um indicador, mas seriam sutis. Muitos softwares de gerenciamento de sistemas e backup conversam intencionalmente com muitos recursos. Mas espera-se que a frequência ou natureza dessas comunicações possam ser diferentes. Pacotes maiores, trocas fora da norma e comunicações externas mais repetidas, como aquelas para comandar e controlar servidores, são indicadores adicionais.
Os produtos XDR são projetados especificamente para armazenar logs de dados de eventos de segurança e não relacionados à segurança em um “lago de dados” – mais conhecido como “data lake” – para procurar por padrões suspeitos (se agora você estiver imaginando um armazém dentro de um lago, não é bem disso que se trata :-)).
Onde esses padrões são tão sutis, um analista caçador de ameaças do SOC pelo menos terá dados coletados de muitas fontes para examinar. O motivo pelo qual o XDR é melhor do que o EDR sozinho é que o XDR coleta todos os dados do EDR mais a telemetria e os dados de fontes como e-mail, dispositivos de rede, DNS e outros.
Esse data lake de telemetria também tem um segundo uso, ao olhar para trás para determinar o escopo do ataque, observando o histórico de interações que podem indicar se um código inesperado foi executado ou se era provável a extração de dados. Esses eventos podem ser detectados com telemetria e XDR.
Aguardando ansiosamente
Outra “pegadinha” é a duração da retenção de dados. Agora parece ser a hora de todas as equipes de SOC revisarem a duração da retenção de dados para telemetria – embora não seja um problema provável nos eventos desta semana, é um lembrete de que com os ataques mais avançados, os invasores não ficarão parados e usarão os mesmos métodos.
O XDR tem sido uma ótima nova ferramenta para caçar ataques avançados e para determinar e limitar o escopo deles. Mas para o ataque mais desenvolvido, a um produto legítimo com backdoors, há ajuda também.
Não é provável que, de repente, só obtenhamos produtos seguros de nossos fornecedores em breve, mas esperamos que a atenção desse ataque torne os fabricantes de software mais preocupados com suas cadeias de suprimentos de software internas. Caso contrário, precisamos recorrer à análise de telemetria igualmente avançada como uma segunda linha para nossa primeira linha de defesas tradicionais.
Para obter mais informações sobre todas as maneiras pelas quais a Trend Micro está apoiando e protegendo os clientes afetados pela situação da SolarWinds, visite: https://success.trendmicro.com/solution/000283368.