O XDR Precisa de Dados de Rede e Eis o Porquê

Por: Jon Clay (Global Threat Communications)

Como já discutimos em posts anteriores, o XDR é uma forma aprimorada de se detectar ataques em uma rede, uma vez que consegue coordenar e correlacionar dados e inteligência de ameaças em diversos vetores, como o endpoint (incluindo mobile e IoT), servidores, redes, serviços de mensagens, web e nuvem. Neste blog, eu quero discutir uma área dentro da sequência de ataques que pode ajudar empresas a identificar o incidente: trata-se da movimentação lateral.

Agentes maliciosos, uma vez que penetram na rede da organização, precisam se deslocar para além do ponto inicial de infecção, buscando outras áreas onde podem encontrar dados e sistemas de interesse. Isso pode incluir data centers, redes de OT ou mesmo sistemas corporativos que sirvam ao propósito dos criminosos. 

Existem várias formas de realizar a movimentação lateral, mas o segredo está em esconder e apagar as evidências de sua presença. Inicialmente eles vão tentar escanear o ambiente da rede com ferramentas similares às usadas pelos admins, para identificar quais sistemas estão disponíveis. Ferramentas de invasão e keyloggers podem ser usadas para roubar contas e senhas, de modo a obter credenciais legítimas dos sistemas. Outras ferramentas são normalmente baixadas para o ambiente usando uma infraestrutura de comando & controle (C&C) para intensificar o ataque. Depois de obter contas de usuário com mais acesso, os invasores podem se movimentar lateralmente para outros sistemas e usar ferramentas “normais” para realizar atividades paralelas; estas podem ser difíceis de serem identificadas, devido a fatores como:

  • PSEXEC para executar um programa remotamente;
  • Agendar uma tarefa remota para executar um backdoor ou código malicioso;
  • Uso de RDP ou net para se conectar a outros hosts;
  • Uso de WMI para invasão fileless;
  • Execução do Powershell para invasão fileless;
  • Utilização de exploits em vulnerabilidades de sistemas desatualizados;
  • Execução de ferramentas comuns como o Bitlocker para criptografar dados de consumidores ao estilo do ransomware, porém com menos chance de detecção por meio de antivírus.

Neste contexto, casar inteligência de rede com um XDR e correlacioná-los com dados relevantes de outras áreas da rede pode ser muito benéfico. Um XDR que suporte recursos avançados de detecção pode identificar e correlacionar estes dados para identificar incidentes que passariam desapercebidos em outras circunstâncias.

Além disso, em muitos ataques, os infiltradores procuram esconder seus rastros ao finalizar sua atividade, de modo que ter a capacidade de obter e acumular inteligência pode ajudar muito na análise de causa-raiz e na correlação de diferentes componentes de um ataque. Isso facilita para a organização na hora de montar o quebra-cabeças do ataque, proporcionando uma visão ampla sobre o problema.

Ataques recentes com o ransomware RYUK são bons exemplos disso. Nestes casos, os criminosos se utilizaram do exploit Eternal Blue e obtiveram credenciais à medida em que deslocavam pelo ambiente, usando, então, as ferramentas do sistema para desativar os serviços de segurança nas máquinas afetadas. A inteligência obtida dos endpoints, servidores e rede permitiu aos pesquisadores identificar a sequência do ataque e todos os seus componentes.

A maioria dos ataques atualmente, incluindo ransomware, utilizam movimentação lateral. Ao incluir detecção como parte de uma plataforma de XDR, você fortalece a capacidade de prevenção, identificação e remediação de ataques sofisticados contra a organização.Confira mais artigos sobre XDR e como ele pode ajudar de forma geral na segurança em nosso blog.