F-Secure: Aprimore o EDR para parar o Grupo Lazarus

O relatório de inteligência tática detalha um ataque ocorrido no ano passado como parte da campanha mais ampla do grupo patrocinado pelo estado norte-coreano contra empresas de criptografia. Ativos desde 2018, os invasores provavelmente usaram os mesmos artefatos em pelo menos 14 países: Estados Unidos, China, Reino Unido, Canadá, Alemanha, Rússia, Coreia do Sul, Argentina, Cingapura, Hong Kong, Holanda, Estônia, Japão e Filipinas.

O Lazarus Group investiu “esforço significativo” para contornar as defesas cibernéticas da organização vítima, como desabilitar o antivírus em hosts comprometidos e remover evidências de implantes maliciosos. No entanto, essas ações foram “ruidosas” em si mesmas e serviram como sinais claros de que deveriam ter sido percebidas, disse a F-Secure.

O grupo também usou utilitários de sistema operacional nativos para se misturar, mas novamente “os elementos dos comandos usados ​​costumam ser anômalos e usam cadeias de caracteres esotéricas específicas que oferecem oportunidades de detecção de equipes azuis”, disse a F-Secure.

“Esses comandos podem se misturar com a atividade padrão, então pode não ser possível construir detecção de alta fidelidade para todas as técnicas usadas”, observou o relatório.

“Nessa situação, o uso de detecções de baixa fidelidade que são então agregadas em uma base de host para correlacionar a atividade e construir um limite inteligente para sistemas de alerta pode ajudar a detectar atividades maliciosas sem gerar muitos falsos positivos.”

Na verdade, o Lazarus Group tem usado a mesma família de ferramentas observada em 2016. Ainda é eficaz por causa dessas técnicas de ofuscação, embora ofereça mais oportunidades de detecção.

A F-Secure concluiu que detecção e resposta eficazes não se referem apenas a ter as ferramentas certas, mas também aos usuários que sabem o que procurar.

“O alvo nesta investigação tinha uma importante ferramenta de EDR e segurança de rede instalada que capturava a telemetria das ações do Lazarus Groups, mas isso não resultou em uma detecção positiva acionada”, argumentou.

“A opinião da F-Secure é que as pessoas desempenham um papel importante na construção de capacidade de detecção eficaz, e este incidente serve como um exemplo da necessidade de investir em pessoas, bem como em tecnologia.”

Fonte: https://www.infosecurity-magazine.com/news/fsecure-enhance-edr-to-stop