O malware sem arquivo supera as ameaças críticas de endpoint no primeiro semestre de 2020

No primeiro semestre de 2020, a ameaça de segurança cibernética de gravidade crítica mais comum aos endpoints era o malware sem arquivo, de acordo com uma análise recente de dados de telemetria da Cisco.

Ameaças sem arquivo consistem em código malicioso executado na memória após a infecção inicial, em vez de arquivos armazenados no disco rígido. A Cisco sinalizou ameaças como Kovter, Poweliks, Divergent e LemonDuck como o malware sem arquivo mais comum.

Outra ameaça crítica predominante aos terminais na primeira metade foram as ferramentas de uso duplo que normalmente são aproveitadas para tarefas de exploração e pós-exploração. Os exemplos em circulação incluem PowerShell Empire, Cobalt Strike, Powersploit e Metasploit, de acordo com a Cisco.

“Embora essas ferramentas possam muito bem ser usadas para atividades não maliciosas, como testes de penetração, mal-intencionados as utilizam com frequência”, escreveu Ben Nahorney, pesquisador da Cisco, em um blog na segunda-feira.

As ferramentas de dumping de credenciais constituem uma terceira categoria de ameaças de gravidade crítica. A Cisco descobriu que a mais comumente vista dessas ferramentas, que os agentes mal-intencionados roubam as credenciais de login de um computador comprometido, é a Mimikatz.

Ameaças IoC por nível de gravidade (clique para ampliar). Fonte: Cisco.

A atividade parece estar se estendendo pelo resto do ano. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) disse na semana passada que os agentes da ameaça foram localizados usando a ferramenta de teste de penetração comercial Cobalt Strike para atingir redes comerciais e governamentais federais; eles também viram os estados-nação implementando com sucesso a ferramenta de código aberto Mimikatz para roubar credenciais.

Essas três primeiras categorias compreendem 75 por cento dos indicadores de comprometimento de gravidade crítica (IoC) vistos no período de análise; os 25% restantes são compostos por uma mistura de diferentes malwares, incluindo ransomware ( Ryuk , Maze , BitPaymer e outros); vermes ( Ramnit e Qakbot); trojans de acesso remoto (Corebot e Glupteba); trojans bancários ( Dridex , Dyre, Astaroth e Azorult ); e vários downloaders, limpadores e rootkits.

A Cisco também deu uma olhada em como as ameaças eram distribuídas na estrutura de táticas MITER ATT & CK.

Outra maneira de examinar os dados de IoC é usando as categorias de táticas estabelecidas na estrutura MITER ATT & CK. Na solução Endpoint Security da Cisco, cada IoC inclui informações sobre as táticas MITER ATT e CK empregadas. Essas táticas podem fornecer contexto sobre os objetivos de diferentes partes de um ataque, como mover-se lateralmente por uma rede ou exfiltrar informações confidenciais.

“Várias táticas podem … aplicar-se a um único IoC”, explicou o pesquisador. “Por exemplo, um IoC que cobre uma ferramenta de uso duplo, como PowerShell Empire, cobre três táticas: Evasão de defesa (pode ocultar suas atividades de serem detectadas); execução (pode executar outros módulos para realizar tarefas maliciosas); e acesso de credencial (pode carregar módulos que roubam credenciais).

De longe a tática mais comum, a evasão defensiva aparece em 57% dos alertas de IoC vistos. A execução também aparece com frequência, em 41 por cento, já que os malfeitores costumam lançar mais códigos maliciosos durante ataques em vários estágios.

“Por exemplo, um invasor que estabeleceu persistência usando uma ferramenta de uso duplo pode fazer o download e executar uma ferramenta de despejo de credencial ou ransomware no computador comprometido”, disse Nahorney, acrescentando que a execução é mais comum entre IoCs de severidade crítica do que defesa evasão.

Duas táticas comumente usadas para se firmar, acesso inicial e persistência, vêm em terceiro e quarto lugar, aparecendo em 11 e 12 por cento das vezes, respectivamente. A persistência aparece em 38 por cento dos IoCs críticos, em oposição a 12 por cento dos IoCs em geral.

E a comunicação por meio de comando e controle completa as cinco táticas principais, aparecendo em 10% dos IoCs vistos.

“Embora esses [problemas críticos] constituam uma pequena parte dos alertas gerais de IoC, eles são indiscutivelmente os mais destrutivos, exigindo atenção imediata se vistos”, de acordo com Nahorney. Ele acrescentou: “Como você pode esperar, a grande maioria dos alertas se enquadra nas categorias baixa e média, [e] há uma grande variedade de IoCs dentro dessas severidades.”

Fonte: https://threatpost.com/fileless-malware-critical-ioc-threats-2020/159422