Empresas que sofreram violações de dados, muitas vezes, se perguntam a mesma coisa – “Como os hackers conseguiram se mover em minha rede por tanto tempo sem serem detectados?” O tempo médio de espera durante uma violação de dados é de 205 dias, segundo um relatório realizado pela Mandiant (em inglês). Por trás de cada violação existem um ou mais agentes dirigindo a campanha, e pegá-los está ficando cada vez mais difícil.
As campanhas de movimento lateral mais bem sucedidas envolvem equipes de criadores de Ameaças Avançadas Persistentes (Advanced Persistent Threats ou APT). Elas são chamadas de Avançadas por causa de seus ataques de dia-zero, e Persistentes porque os hackers estão motivados e apresentam uma ameaça para organizações globalmente, com seu conjunto de habilidades avançadas. Pense nessas equipes de APTs como a maioria das organizações criminosas. Existe uma abordagem organizada para o crime com uma ênfase no anonimato. Ordens são passadas de cima para baixo e extraditar os chefes de cada operação é muito difícil, principalmente quando eles residem em países estrangeiros. A realidade é que muitos grupos de APTs com motivação política, muitas vezes, são apoiados por governos que não estão dispostos a cooperar com políticas não alinhadas com seus próprios motivos. Mesmo que um endereço de URL usado durante uma campanha criminosa possa ser rastreado até uma certa geolocalização, os serviços de DNS e IP que registraram a URL normalmente não estão dispostos a cooperar com agências legais estrangeiras, devido à sua cooperação com seus próprios governos. Isso permite que hackers patrocinados por estados continuem a realizar atividades maliciosas impunemente. O ambiente de baixo risco e alta recompensa possibilita que eles constantemente aprendam com erros anteriores e melhorem a discrição de cada operação.
É importante saber que o movimento lateral é apenas uma parte do ciclo da APT. De fato, existem seis estágios em um Ataque Direcionado típico: 1) Coleta de Informação; 2) Porta de Entrada; 3) Comunicação de Comando&Controle; 4) Movimento Lateral; 5) Descoberta de Dados/Ativos; e 6) Extração de Dados. Os grupos organizados de APTs frequentemente dividem a carga de trabalho em seções diferentes de suas operações, fazendo com que cada etapa seja única com as ferramentas e técnicas de cada grupo de hackers dentro da equipe. Sindicatos do Crime Organizado têm feito isso há anos, e agora só estão começando a mudar a estratégia para o ambiente cibernético. Frequentemente, as pessoas ficam perdidas nos aspectos técnicos desses tipos de ataques, mas esquecem de notar as similaridades da estrutura dos ataques direcionados normais das organizações criminosas profissionais que não envolvem computadores. Pense em um assalto a banco (o tipo antigo, com uma arma e um carro para a fuga). A equipe é dividida em seções, segundo diferentes conjuntos de habilidades, aumentando a rapidez e a eficiência da operação. Quando a estratégia é aplicada em um ataque de APT, ela é ainda mais eficaz, já que diminui a sobreposição entre etapas e não deixa nenhuma conexão para um administrador de sistema detectar em sua rede depois do ataque. Cada etapa da campanha é importante para o objetivo geral da missão, mas alguns estágios têm mais peso que outros.
O quarto estágio, Movimento Lateral, exige cautela e observação. Essa etapa envolve uma mistura de engenharia social e habilidades de hacking para se mover rapidamente pelo ambiente sem ficar comprometida. O movimento lateral é necessário para configurar a fase de extração. Mover de endpoint para endpoint dá ao hacker a chance de escanear toda a rede e determinar onde estão os dados mais valiosos. Essa etapa muitas vezes também é repetida para que os hackers configurem diferentes backdoors por toda a rede para um acesso fácil quando precisarem roubar mais dados.
Administradores de sistema e software de segurança continuamente monitoram o tráfego de entrada e de saída, portanto, a infraestrutura de comando e controle deve se misturar. Se esgueirar na rede envolve um misto de malware e habilidades de hacking com engenharia social avançada. Não é só saber como hackear, mas quando hackear. Grupos criminosos em grande escala estudam seus alvos muito antes do ataque ser realmente realizado. Para parecer hosts legítimos, os hackers normalmente usarão ferramentas de negócios comuns como o “PSExec” para lançar arquivos e se conectar aos servidores durante o horário comercial, para que o tempo de sua atividade na rede não seja sinalizado. Além disso, usar malware para disfarçar URLs como protocolos HTTP ou HTTPS ajuda a ocultar a operação, porque os Administradores de Sistema não têm tempo de investigar todas as partes do tráfego que veem e os software de segurança geralmente não consegue detectar ataques de dia-zero.
Uma das peças mais sofisticadas de malware no mercado atual é conhecida como Stegoloader, que incorpora tráfego C&C dentro de arquivos de imagens, como .PNG. A maioria dos Administradores de Sistema é enganada por essa técnica porque costuma analisar apenas arquivos executáveis e não imagens. A capacidade de movimento lateral desse malware, depois de entrar no ambiente do alvo, realmente o destaca. Seu design modular permite que se mova em todos os endpoints e rapidamente determine o tipo e a quantidade de informação disponível para que os hackers possam decidir o que vale a pena para lançar um ataque. A maioria dos especialistas espera que o Stegoloader seja uma ferramenta operacional de longo prazo para hackers habilidosos.
Conforme as táticas de movimento lateral evoluem e os dados ficam cada vez mais valiosos, o cenário de ameaças se torna mais complexo do que nunca. Os hackers, como todos os criminosos, são capazes de obter as mais novas e sofisticadas ferramentas. Os grupos de APTs estão usando essas ferramentas para invadir as redes da vítima com facilidade, mantendo uma presença persistente. As organizações precisam continuar a melhorar suas posturas de segurança operando em um ambiente com uma visualização total da rede. Produtos como o Trend Micro Deep Discovery oferecem uma visualização de 360 graus para detectar ataques direcionados, impedindo-os de coletar informações sensíveis. Ser hackeado hoje em dia é inevitável, mas ser capaz de diminuir o tempo de espera, protegendo os endpoints com as informações mais valiosas, é o que mais importa.
Publicado originalmente por David Dunkel em TrendLabs.