INDÍCIOS DE COMPROMETIMENTO DA REDE

Um guia para identificar e prevenir infecções de malware

SUMÁRIO

INTRODUÇÃO......................................................................................................................................................................... 4

PARTE 1 - COMPREENDENDO A EXECUÇÃO DE CYBER ATAQUES.. ....................................................................................... 6

PARTE 2 - O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES.......................................................................... 16

PARTE 3 - REDUÇÃO DA SUPERFÍCIE DE ATAQUE E ANTIVÍRUS BASEADO EM COMPORTAMENTO.................................. 22

PARTE 4 - PROTEGENDO AS COMUNICAÇÕES DE REDE LAN PARA WAN ....................................................................................................... 28

PARTE 5 – AÇÕES DE RECURSOS EXTRAS E LIMPEZA.......................................................................................................... 34

CONCLUSÃO......................................................................................................................................................................... 44

REFERÊNCIAS....................................................................................................................................................................... 45

2 WWW.SOLARWINDSMSP.COM
Defender redes contra ataques não é uma tarefa fácil para
os profissionais de TI. Ataques variam em potencialidade
e modalidade de ameaça; reagir exageradamente ou
implementar a tecnologia errada pode ser dispendioso e
facilitar a vida dos cyber criminosos.
Este eBook descreve os tipos de ataques que uma rede
típica enfrenta e oferece algumas estratégias de sucesso,
implementadas por profissionais de TI para proteger suas redes.
Considere este guia como um primeiro passo na elaboração
da sua estratégia detalhada de defesa. Os profissionais de
TI devem entender os riscos aos quais os negócios estão
expostos e saber que a segurança em TI não possui soluções
“mágicas”. Independentemente do que os fornecedores de
soluções anunciam, não há só uma tecnologia que possa
prevenir todos os cenários negativos.
Cyber ataques, malware e vulnerabilidades no sistema têm
sido mistificados e enfatizados sem uma análise sensata
sobre o assunto. Na verdade, as estratégias de TI mais eficazes
contra todas as ameaças conhecidas ou não são geralmente
as mesmas. Aplicação de Patches e atualização do sistema
operacional, patches e atualização de aplicativos de terceiros,
acesso administrativo restrito e uso de defesas contra
malware. Essas recomendações são resultado de anos de
análises feitas por governos e organizações de segurança no
mundo inteiro.
Por fim, o ataque informa a defesa. Isso significa que
provedores de serviço de TI precisam aprender a ver as
redes de seus clientes como alvos. Certamente, não estou
defendendo que você lance seus próprios cyber ataques
destrutivos em clientes desavisados, mas que monte um
laboratório de cyber defesa virtual e baixe ferramentas gratuitas
para explorar vulnerabilidades que ajudarão a você a aprimorar
na defesa e a detectar ataques nas suas próprias redes.
Lembre-se, como profissional de TI, você é responsável parcial
ou totalmente pela confidencialidade, pela integridade e pela
disponibilidade dos sistemas de TI sob seus cuidados. Não
facilite para os criminosos. Deixe-os frustrados e dificulte
suas vidas implantando camadas de detecção e prevenção
nas redes e defesa preventiva.
3
INTRODUÇÃO

Conversas sobre segurança com provedores de TI e MSPs

inevitavelmente se transformam a partir da eficácia de
defesas anti-malware para a eficácia dos softwares antivírus,
especialmente contra ransomware. Para responder a essa
pergunta, é interessante compreender a relação entre exploit,
trojan e payload.

O diagrama na página a seguir é uma adaptação da cadeia

Cyber Kill Chain®, de Lockheed Martin, que descreve as várias
fases da infecção de malware, desde o exploit inicial até a
execução de um payload em um terminal.1 A cadeia Cyber Kill
Chain é uma excelente maneira de explicar como o malware
completa sua jornada, desde o lançamento do ataque no
terminal em última instância (na grande maioria dos casos) até
a execução de um payload de ransomware no terminal.

Este eBook foi desenvolvido para ajudar MSPs e Prestadores

de Serviço de TI a compreender o diagrama e as várias
tecnologias e eventos que resultam em uma infecção
executada com sucesso por cyber criminosos. Ao fazer isso,
ele ajudará você a identificar um comprometimento na rede o
mais breve possível e a saber como melhor responder.

4 WWW.SOLARWINDSMSP.COM
“O segredo está na relação entre o
exploit, o trojan e o payload.”

I NTR O DU Ç Ã O 5
P A R T E 1 — C O M PAREXECUÇÃO
COMPREENDENDO EENDEND DEOCYBER
A E X ATAQUES
ECUÇÃO DE CYBER ATAQUES

“A maioria dos MSPs e

prestadores de serviço
de TI se enquadram na
categoria de serviços
de inteligência contra
ameaças.”
6 WWW.SOLARWINDSMSP.COM
O DIAGRAMA CYBER KILL CHAIN DE LOCKHEED MARTIN
Cálculo Munição
O diagrama acima mostra o ciclo da
cadeia Cyber Kill Chain com duas
setas cinzas em reconhecimento e
munição. Essas duas áreas estão
geralmente fora de script para
todos, exceto grandes organizações.
A maioria dos MSPs e prestadores
de serviço de TI se enquadram nas
categorias de serviços de inteligência
contra ameaças.
Com o passar do tempo, com o
setor aprendendo sobre o ciclo
de vida completo de um ataque
malware, a análise computacional e
a inteligência artificial podem ajudar
Execução Exploração Instalação C2 Ações
a fornecer alertas de um ataque
iminente nos dois primeiros estágios
da Kill Chain. Mas por enquanto,
pouco pode ser feito para reduzir as
potencialidades de cyber criminosos
nos primeiros dois estágios.
Na verdade, as variantes de
psicologia/sociologia criminal,
geopolíticas, econômicas e regionais
irão motivar indivíduos e grupos a
perturbar redes sociais e criar kits
de exploit, programas sofisticados
de trojan e payloads de malware/
ransomware.
P A R T E 1 —C O MP R EENDENDO A EX EC U Ç Ã O DE U M C YB ER A TA Q U E 7
COMPREENDENDO A EXECUÇÃO DE CYBER ATAQUE

ADAPTADO DO ESTUDO DO THE LOCKEED MARTINS CYBER KILL CHAIN

Sistemas mais
Redução da Superfície Rígidos (GPOs),
Proteção de e-mail, de Ataque, Remoção de
proteção da Web, Gerenciamento de Administrador, Capacitação/
Firewall, antivírus de Patches, AV Baseado AV Baseado em Regras de Firewall
definição (sandbox), em comportamento, comportamento, Segmentação de Rede, Antivírus,
treinamento de Treinamento de Treinamento de Proteção da Web, HIDS,
conscientização Conscientização Conscientização NIDS, SIEM, Backup & Recovery,
do usuário do Usuário do Usuário Open DNS AV heurístico

Execução Exploração Instalação C2 Ações

WAN para LAN Terminal Terminal WAN para LAN Terminal

No topo do nosso diagrama “Kill Chain” adaptado há uma lista de soluções de atenuação (incluindo
treinamento de conscientização do usuário e uma gama de soluções de tecnologia), mapeadas para
várias fases da infecção. A seçao intermediaria exibe as diversas fases da Lockheed Martin Cyber Kill
Chain. A seção inferior exibe as fases da infecção e onde há oportunidade de detectar, prevenir e
recuperar-se de um ataque cyber criminoso.

8 WWW.SOLARWINDSMSP.COM
P A R T E 1 —C
PARTE
O MP1R-EENDENDO
COMPREENDENDO
A EX EC
A EXECUÇÃO
U Ç Ã O DE DE
U MUM
C YB
CYBER
ER AATAQUE
TA Q U E 9
COMPREENDENDO A INTELIGÊNCIA CONTRA AMEAÇAS

“Muitos países usam IPs

alocados dinamicamente,
de modo que um endereço
IP considerado hostil hoje
pode mudar amanhã.”

10 WWW.SOLARWINDSMSP.COM
Os serviços de inteligência contra
ameaças devem ser abordados
com certa cautela. Simplesmente
receber uma lista de endereços IP
e atualizar as soluções de firewall
não é uma abordagem prática.
Muitos países usam IPs alocados
dinamicamente, de modo que um
endereço IP considerado hostil hoje
pode mudar amanhã. Além disso,
administradores ocasionalmente
limpam malwares das máquinas.
Sem algum contexto sobre a
inteligência contra ameaças, pode
não ser relevante bloquear um
endereço IP que não esteja envolvido
em um ataque contra você.
Organizações em busca de ampliar
suas defesas nas primeiras duas
fases da cadeia Cyber Kill Chain são
aconselhadas a criar e manter um
ambiente de “pote de mel”, uma
armadilha instalada para detectar
ou desviar atividade cyber criminosa
da rede. Ofertas de serviço de
inteligência contra ameaças atuais
apresentam uma variedade de
dados sem contexto. Saber que
um endereço IP na Coréia do Sul
está atacando um endereço IP na
Rússia pode ser interessante, mas
se seu negócio não está localizado
em nenhum desses países, essa
informação não tem utilidade.
Instalar seu próprio “pote de mel”
para coletar inteligência de ataques
reais na sua infraestrutura ajuda a
combater esses desafios.
C O MP R EENDENDO A I NTELI GÊNC
Recusa
I A de
C OServiço
NTR A A Distribuída
MEA Ç A S 11
COMPREENDENDO A INTELIGÊNCIA CONTRA AMEAÇAS

“Ficar sabendo que um endereço IP na Coréia do

Sul está atacando um endereço IP na Rússia pode
ser interessante, mas se seu negócio não está
localizado em nenhum desses países, essa
informação não tem utilidade.”
A menos que MSPs, prestadores de serviço de TI e
organizações estejam preparadas para investir esforços
tecnológicos e implementar hardware específicos, seus
orçamentos e recursos de TI limitados os forçarão a focar as
defesas de terminal nas últimas cinco oportunidades da Cyber
Kill Chain para prevenir, detectar e reagir contra um ataque
cyber criminoso.
O primeiro passo prático onde a tecnologia pode ajudar a
prevenir o Cyber Kill Chain total de ocorrer surge da fase de
execução de um cyber ataque. Na maioria dos casos, o vetor
de ameaça é muito óbvio. O gráfico na página 13, extraído
do relatório da Verizon Data Breach Investigations em 2016,
mostra os métodos mais frequentes de execução
de malware.2

12 WW
www.solarwindsmsp.com
W.SOLARWINDSMSP.COM
A taxa de sucesso em e-mails, com uma CINCO PRINCIPAIS
VETORES DE
impressionante taxa de abertura de 30%.3
MALWARE
torna anexos e links maliciosos em e-mails
o epicentro da luta contra os ataques cyber
criminosos. Os dados também mostram
que não devemos negligenciar os perigos
da navegação desprotegida na web. É difícil
argumentar contra o fato de que a filtragem
de e-mail, filtragem da web e treinamento de
conscientização do usuário são a chave para a
interrupção bem-sucedida de cyber ataques na
fase de execução da cadeia Cyber Kill Chain.

63 31 39 10 10

Anexos
de e-mail

Direcionado
pela web

Link de
e-mail

Download
de malware

Propagação
pela rede
C O MP R EENDENDO A I NTELI GÊNC I A C O NTR A A MEA Ç A S 13
O PAPEL DOS SERVIÇOS BASEADOS EM NUVEM

Com uma infinidade de serviços baseados em nuvem,
incluindo Gmail e Office 365, a fase de execução é talvez
a de melhor custo de ser implementada pelas empresas,
na interceptação de malware hoje em dia. Também é
relativamente fácil de ser implementada, tendo pouco ou
nenhum impacto nas operações de negócios. A varredura
de e-mails e serviços de proxy de navegação da web feitos
localmente ou na nuvem fornecem a maioria da defesa
contra cyber ataques nessa fase.
verificar todos os anexos de e-mail suspeitos/não solicitados
ou solicitados através da confirmação verbal pode ajudar a
proteger contra esses ataques engenhosos sociais cada vez
mais sofisticados. Os chamados ataques de “fraude do CEO”
resultam frequentemente em recompensas maiores para os
cyber criminosos que o ransomware, pois, têm a aparência
de transferência de dinheiro autorizada pelo executivo para
um parceiro de negócios.

Serviços baseados em nuvem empurram a defesa para fora “Serviços baseados em nuvem
do perímetro organizacional e fornecem um valor agregado
de cyber defesa ao prevenir o ataque de chegar ao terminal. levam a defesa para fora do
Embora muitos desses serviços tenham vários mecanismos
de definição de vírus e recursos de análise heurística, cyber perímetro organizacional e
criminosos ocasionalmente escodem malwares, burlando
essa defesa, usando métodos antigos, seduzindo um fornecem um valor agregado
funcionário a clicar em um link e/ou executar um payload.
ao não permitir que o ataque
O comprometimento de e-mails corporativo por um ataque
sem malware ou “fraude do CEO” são exemplos de um chegue ao terminal.”
cyber ataque que ultrapassa até mesmo as defesas de
filtragem de e-mail mais robustas. Assim, o treinamento de
conscientização de funcionários que ensina as pessoas a

14 WWW.SOLARWINDSMSP.COM
Além disso, os ataques de “fraude do CEO” podem ter Faz sentido dizer que a primeira camada de cyber defesa
outras intenções, além de facilitar transferências monetárias deve ser projetada para derrotar o ataque antes que ele
ilícitas. Cyber criminosos podem querer também roubar chegue ao terminal. No entanto, quando o ataque chega na
dados de funcionários. De acordo com o fornecedor SIEM, forma de um e-mail fraudulento que parece ser legítimo, o
“Mais de um terço dos participantes de uma pesquisa treinamento de conscientização de funcionários é o melhor
recente relataram que seus executivos foram vítimas de um investimento que empresas podem fazer para prevenir
e-mail “fraude do CEO” e mais de 80% acreditam que seus grandes perdas.
executivos podem cair em scams de phishing direcionados
a eles no futuro. Essas preocupações têm fundamento.
Mais de 50 organizações, incluindo Snapchat e Care.com,
foram alvos de e-mails de “fraude do CEO” bem sucedidos,
solicitando informações salariais de funcionários no
exercício fiscal do ano passado.”4

O P A P EL DO S SER V I Ç O S B A SEA DO S EM NU V EM 15
PARTE 2—O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO
DE PATCHES

Nesta seção, vamos nos concentrar

na “exploração” do vetor de ataque
do terminal inicial, supondo que
a fase de introjeção do exploit foi
executada com sucesso contra o
terminal alvo.

Da perspectiva do kit de exploit, o

terminal estará em um dos quatro
estados, incluídos nas próximas

“O modo de autenticação
páginas.

do Windows é menos
vulnerável a ataques
de força bruta, pois, o
ofensor provavelmente
irá encontrar um bloqueio
de login após um número
finito de tentativas
16 WWW.SOLARWINDSMSP.COM
de ataque”.
E ST A DO 1 : A M Á Q U I NA TE M PA TC H E S TO TA L M E NT E AT U AL I ZAD O S,
O AN T IVÍR U S E S TÁ I NS TA L A D O E A TU A L I Z A D O
As únicas vulnerabilidades que
existem aqui são “humanas”
(usuários finais persuadidos para
instalar malware) ou dia zero,
ataques/exploits que não fossem
detectadas pelo antivírus.
Claramente, o treinamento de
conscientização do usuário é uma
defesa eficaz contra “ludibriação” ou
ataques baseados em engenharia
social. Somente se os avisos forem
ignorados, o exploit poderá entregar
o payload com sucesso. Este é o
caso com os exploits do Visual Basic
Macro encontrados em e-mails
de phishing. Antivírus robustos,
com definições de assinaturas
de malware, detecção heurística
da atividade de exploits e análise
baseada em comportamento
de atividade de exploit podem
proteger o terminal, mas esse
não é frequentemente o caso.
CONDIÇÃO: VERDE
P A R T E 2 —O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO DE P A TC H ES 17
O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES

ESTADO 2: A MÁQUINA NÃO TEM PATCHES ATUALIZADOS,

ANTIVÍRUS ESTÁ INSTALADO E ATUALIZADO

Aqui as vulnerabilidades estão

relacionadas a exploits desenvolvidos
Future indica que o Adobe Flash,
Java e Internet Explorer são os alvos “A máquina poderia
para a falta de um patch específico.
Embora o antivírus possa estar
mais frequentes de kits exploit.5 Em
primeiro lugar, não ter o software facilmente estar
atualizado, é questionável se o
exploit na verdade será detectado.
explorável instalado é a única
defesa eficaz. infectada por um
Nesse cenário, a máquina poderia
facilmente estar infectada por um exploit projetado
exploit projetado para desviar do
antivírus. Uma pesquisa da Recorded
CONDIÇÃO: AMARELO
para desviar o
antivírus.”

18 WWW.SOLARWINDSMSP.COM
ESTADO 3: A MÁQUINA NÃO TEM PATCHES ATUALIZADOS,
ANTIVÍRUS ESTÁ INSTALADO, MAS DESATUALIZADO

As vulnerabilidades aqui são

bastante reforçadas em relação
Definições de antivírus incluem as
assinaturas de malware reais, porém “Estes são sinais
aos dois primeiros estados, pois,
a máquina está aberta para uma
atualizações de mecanismo mais
sofisticadas comportamentais e indicadores de um
ampla gama de exploits, não só as
últimas versões dos kits exploit.
heurísticas, fornecem ao software
antivírus “indicações de onde terminal prestes a
Semelhante ao estado 2, uma
máquina neste estado pode ser
procurar” (tais como tráfego de rede
para um determinado conjunto receber um Trojan.”
facilmente infectada, no entanto, de IPs) ou “eventos suspeitos”, tais
também é suscetível de ser infectada como invocação de JavaScript para
indefinidamente. Provedores de TI e um documento no e-mail. Estes são
MSPs encontram-se nesse cenário, sinais indicadores de um terminal
com muita frequência. A ênfase deve prestes a receber um Trojan.
ser colocada na execução de patches,
devido à capacidade do pacote de
exploit de executar e acionar um CONDIÇÃO: VERMELHO
trojan, que por sua vez, entrega um
payload na máquina sem patch.

O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO DE P A TC H ES 19

O PAPEL DO ANTIVÍRUS E DO GERENCIAMENTO DE PATCHES

ESTADO 4: A MÁQUINA TEM PATCHES ATUALIZADOS,

ANTIVÍRUS ESTÁ INSTALADO, MAS DESATUALIZADO

Este estado é semelhante ao estado

1, mas os cyber criminosos têm
Com os patches implementados,
o provedor de TI ou MSP reduz “A máquina é mais
mais sucesso, pois, a maior parte
da cyber defesa é fornecida pelas
consideravelmente a probabilidade
de exploração, no entanto, o perigo suscetível a uma
instalações de patch. A superfície de
ataque é a mesma do estado1, no
permanece com Trojans entregues
sob a forma de e-mail. A combinação vulnerabilidade
entanto, a máquina é mais suscetível
a uma vulnerabilidade “humana”,
de e-mails de phishing e ataques de
engenharia social pode ser realizada “humana”.”
pois, há uma gama inteira de Trojans usando famílias de Trojans mais
(instalados via e-mail de phishing) antigos, se o antivírus da máquina
que podem infectar a máquina. Este alvo não estiver atualizado.
é provavelmente o segundo cenário
mais comum, logo depois de patches
terem sido fornecidos aos terminais. CONDIÇÃO: AMARELO

20 WWW.SOLARWINDSMSP.COM
Nos estados 3 e 4 onde o antivírus ser removido, então um antivírus
está desatualizado, o melhor robusto, com atualizações de
percurso de ação é atualizar as assinaturas de malware frequentes,
definições mais recentes e executar análises comportamentais e baseada
uma varredura completa no terminal. em heurística oferecem a melhor
Há um boa chance de um malware rota para proteger esses sistemas.
ter se instalado enquanto as defesas
de antivírus da máquina estavam
Supondo que haja treinamento de
“baixas”. Muitos usuários não vão
conscientização do usuário no local,
admitir que eles podem ter clicado
os cenários acima devem representar
acidentalmente em algo que não
a prioridade de trabalho para MSPs
deviam, de modo a permitir que um
e provedores de serviços. Este
Trojan fique à espreita no terminal
trabalho deve ser centrado no teste
aguardando para baixar um payload,
e na implantação de patches rápida
enquanto é mantido à distância pelas
e eficientemente na rede — a cultura
defesas da rede.
de obsessão por definições ou
recursos de antivírus de sua escolha
Para sistemas de finalidade certamente não é uma atividade
especial, como folha de pagamento, prioritária.
contabilidade e ponto de
venda, a remoção do software
Na sequência de backups de dados
frequentemente explorado,
robusto, a execução de patches e
patches semanais e atualização do
atualização devem ser a prioridade
software passível de exploit, como
para manter os sistemas longe do
o Adobe Flash mencionado acima,
alcance de ciber criminosos.
é essencial. Se o software não pode

O P A P EL DO A NTI V Í R U S E DO GER ENC I A MENTO

Ataque
DEde
P APhishing
TC H ES 21
PARTE 3—REDUÇÃO DA SUPERFÍCIE DE ATAQUE E ANTIVÍRUS
BASEADO EM COMPORTAMENTO

De acordo com a tabela no canto inferior direito, se você setores regulados ou organizações preocupadas com a
não pode aplicar rapidamente patches em terminais, então, confidencialidade e integridade dos seus dados de sistemas.
pode frequentemente melhorar a segurança, simplesmente
Na parte 1, discutimos como tecnologias baseadas em
removendo o software mais afetado. Há um número de razões
definição anti-malware, tais como antivírus de terminal,
pelas quais as empresas podem não se sentir capazes de
filtragem/proteção da web e varredura de e-mails — aliados ao
executar um programa de aplicação de patch emergencial,
treinamento de conscientização do usuário — podem ser úteis
incluindo a falta de um processo automatizado ou ferramenta,
para impedir o acionamento de Trojans e payloads. Há um
ansiedade institucional devido ao tempo de inatividade
papel significativo desempenhado pelo antivírus de terminal
implicado, falta de uma TI dedicada ou de ciclos para esta
com recursos baseados em análise comportamental e também
tarefa.
pelo treinamento de conscientização do usuário no combate
Uma abordagem de segurança organizacional que requer ao exploit.
autorização da gestão para a instalação e utilização dos
“5 perigosos” (Adobe Flash, Java, Internet Explorer, Firefox VULNERABILIDADES DE SOFTWARE
27
e Silverlight) pode ser a chave para implementar uma EXPLORADAS PELOS KITS EXPLOIT 6
segurança robusta sem ter que recorrer à tecnologias mais 21
significativamente poderosas. Em um ambiente empresarial,
remover Adobe Flash, Java ou Internet Explorer (IE) - ou um
compromisso de mantê-los atualizados com as versões mais 14
recentes - reduz significativamente o potencial de exploit em
terminais.
6
Uma estação de trabalho de negócios sem Flash, Java, IE, 5

Firefox, Adobe Reader ou Silverlight que se deparar com 3

um exploit moderno pode sair dessa completamente ileso,

pois, o kit exploit não seria capaz de encontrar uma via para Adobe Oracle Internet Mozilla Adobe Microsoft
o ataque. Esta é uma descoberta muito importante para Flash Java Explorer Firefox Reader Silverlight

22 WWW.SOLARWINDSMSP.COM
 “Esta é uma descoberta muito importante
para setores regulados ou organizações preocupadas
com a confidencialidade e integridade
dos seus sistemas de dados.”

P A R T E 3 —R E DU ÇÃ O DA S U P E R FÍCIE DE A TA Q U E E A NTI V Í R U S B A SEA DO EM C O MP O R TA MENTO 23

ANTIVÍRUS BASEADO EM DEFINIÇÕES
O antivírus baseado em definições (ou baseado em assinatura)
compara as assinaturas (MD5 ou SHA-1 hashes) dos arquivos
encontrados para ver se elas correspondem a uma lista de
malwares conhecidos. Dependendo dos recursos do software,
é possível investigar dentro do arquivo por sinais de malware.
Normalmente, quando as tecnologias baseadas em assinatura
encontram uma correspondência de assinatura, o arquivo
segue para quarentena.
Os cyber criminosos que escrevem códigos de exploits
e Trojans, sabem que seus malwares podem se deparar
24 WWW.SOLARWINDSMSP.COM
com um antivírus de terminal, então eles frequentemente
incluem um código mal-intencionado que desativa o antivírus
e evita atualizações ou comunicação com a rede. Em
ataques altamente especializados, a presença dos softwares
antivírus pode ser usada para de fato instalar o código mal-
intencionado. Em maio de 2016, Tavis Ormandy, pesquisador
na área de segurança, identificou um overflow passível de
exploit no, “núcleo do Symantec Antivirus Engine, usado
na maioria dos produtos antivírus com as marcas Symantec
e Norton.”6
“Normalmente, quando as
tecnologias baseadas em
assinatura encontram uma
correspondência de assinatura,
o arquivo segue para
quarentena.”

A NTI V Í R U S B A SEA DO EM A SSI NA TU R A O U DEF I NI Ç Õ ES 25

ANTIVÍRUS BASEADO EM COMPORTAMENTO

26 WWW.SOLARWINDSMSP.COM
O antivírus baseado em Claro que é altamente desejável ter
comportamento observa processos camadas de defesa implementadas
de sinais característicos de malware para interceptar a entrada de
e, em seguida, compara esses sinais exploits, Trojans e payloads,
a uma lista de comportamentos antes que cheguem ao terminal.
maliciosos conhecidos. Por exemplo,
dada a lista de pacotes de software
Mas, se as defesas são violadas,
vulnerável acima, um documento
a ação combinada de remover
que está sendo aberto em um
o software alvo (redução da
e-mail que invoca o JavaScript
superfície de ataque), antivírus
ou Adobe Flash poderia ser visto
com um mecanismo baseado em
como “altamente suspeito ou
comportamento, gerenciamento
de comportamento compatível
de patches agressivo e treinamento
com malware.”
de conscientização do usuário final,
pode ajudar a repelir os ataques
A detecção baseada em mais persistentes (bem como
comportamento é necessária aquelas visitas acidentais a sites
porque muitos desenvolvedores de perigosos).
malware começaram a usar técnicas
de ocultação, como segmentos de
código criptografado ou polimórficos,
que são muito difíceis de terem
uma assinatura hashed. Então, a
maneira mais fácil de detectá-los
é observar um determinado padrão
de comportamento.

A NTI V Í R U S B A SEA DO EM C O MP O R TA MENTO 27

PARTE 4—PROTEGENDO AS COMUNICAÇÕES
DE REDE LAN PARA WAN

“Após o malware ser plantado,

ele deve se comunicar com
uma rede de comando e controle
(C2) para receber instruções.”

28 WWW.SOLARWINDSMSP.COM
Após o malware ser plantado ou, mais
especificamente, após o Trojan ter
se instalado no terminal, ele deve se
comunicar com uma rede de comando
e controle (C2) para receber instruções.
Esta é talvez uma das áreas mais
fáceis para implementar controles
de arquitetura de firewall, login e
de rede para detectar ou prevenir o
comprometimento do terminal.
A infraestrutura C2 é caracterizada
por estações de trabalho e servidores
previamente infectados ou
comprometidos. Estas redes podem ser
alugadas por criminosos, como fontes
de serviço (CaaS) ou propositadamente
construídas por cyber criminosos para
dar assistência um ataque de Trojan.
Praticamente todos os malwares
modernos têm que “dar retorno” para
uma fonte de C2 para baixar um ataque
de payload. Em alguns casos, métricas
detalhadas sobre sucesso de infecção,
distribuição geográfica e informações
detalhadas do sistema são capturados
por CaaS para fins de marketing. Sim,
os cyber criminosos coletam tanto
dados de sucesso sobre infecção
quanto as empresas modernas coletam
sobre visitas a sites e interações com o
cliente.
Tome como exemplo a comunicação
de rede “típica” de um Trojan que
possui um domínio codificado
permanentemente C2 como o
twinpeakshockey.com (veja abaixo). O
Trojan dá retorno para este domínio,
usando uma consulta DNS padrão e em
seguida, tenta obter (comando GET) o
payload de ransomware GORsjo.exe do
servidor C2.
Neste caso, a comunicação não
foi realizada furtivamente e nem
foi criptografada (https). A maioria
dos produtos de filtragem da web
rapidamente identificaria o endereço
IP (69.89.31.222) ou o domínio como
sendo um lugar perigoso para ser
visitado por um terminal. Tenha em
mente que a proteção de DNS como
Open DNS e outros produtos fornecem
uma camada valiosa que pode
funcionar mesmo contra malwares
usando https para comunicação. Além
disso, transferir um arquivo executável
(.exe) para um terminal seria algo que
espera-se que o produto de proteção
da web ou firewall bloqueie.

EXEMPLO DE UM TROJAN SE COMUNICANDO COM UMA REDE C2

11 4.177967 8.8.8.8 172.16.25.137 ICMP Echo (ping) reply (id=0x0200, seq(be/le)=7168/28, ttl=128)
12 25.196459 172.16.25.137 172.16.25.2 DNS Standard query A twinpeakshockey.com
13 25.674355 172.16.25.2 172.16.25.137 DNS Standard query response A 69.89.31.222
14 25.676099 172.16.25.137 69.89.31.222 TCP iascontrol-oms > http [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1
15 25.676823 69.89.31.222 172.16.25.137 TCP http > iascontrol-oms [SYN, ACK] Seq = 0 Ack = 1 Win = 64240 Len = 0 MSS = 1460
16 25.676879 172.16.25.137 69.89.31.222 TCP iascontrol-oms > http [ACK] Seq=1 Ack=1 Win=64240 Len=0
17 25.677229 172.16.25.137 69.89.31.222 HTTP GET /GORsjo.exe HTTP/1.1
18 25.677524 69.89.31.222 172.16.25.137 TCP http > iascontrol-oms [ACK] Seq=1 Ack=188 Win=64240 Len=0

P A R T E 4 — PR O TEGENDO A S C O MU NI C A Ç Õ ES DE R EDE LA N P A R A W A N 29
CAMADAS ESSENCIAIS NA SUA DEFESA

“A técnica de
movimentação
lateral é projetada
para criar cyber
armadilhas para
tornar difícil
para o Trojan
comunicar-se com
a rede ou infectar
outros terminais.”

30 WWW.SOLARWINDSMSP.COM
Os recursos indispensáveis neste
momento incluem a segmentação de
rede, regras de firewall (de saída) e um
sistema de informações de segurança
e de gestão de incidentes (SIEM)/logs
com recursos de alerta. Regras de
firewall, especialmente a necessidade
de portas abertas externas, tem que ser
mapeadas para serviços de negócios.
As regras conceituais básicas de firewall
abaixo, ajudam a detectar e prevenir
comunicações com C2, bem como
a exploração de rede ao usar uma
chamada técnica. “Essas regras foram
projetadas para criar cyber armadilhas
para tornar difícil para o Trojan
comunicar-se de volta com a rede ou
infectar outros terminais.”
• Regras de negação para a sub-rede
de estação de trabalho: Nenhum
DNS externo, IRC, NTP, FTP, ICMP,
SMTP,SNMP, RDP
• Regras de negação para admins
(aberto conforme necessário):
Nenhum DNS externo, IRC, NTP,
FTP, ICMP, SMTP, SNMP, RDP
• Regras de negação para sub-
redes de impressora: negar tudo.
Nenhuma impressora na Internet!
• Regras de negação para servidores.
Somente DNS, NTP para IPs e
HTTPS específicos.
Como você pode ver, limitar as portas,
protocolos e comunicação interna e
externamente na rede em nível de
arquitetura, pode prevenir e detectar a
presença de atividade da rede suspeita
ou não autorizada.
Se essas regras de firewall forem
implementadas e um Trojan furtivo
tentar usar o protocolo de Internet
Relay Chat (IRC) para se comunicar
com a infraestrutura C2, esta atividade
seria bloqueada, e se um SIEM tiver
sido implementado, um alerta seria
desencadeado.

UM EXEMPLO DE MOVIMENTAÇÃO LATERAL

SERVIDORES
USUÁRIOS
192.168.2 X FIREWALL ADMINS
192.168.4 X
Comparti- 192.168.1 X 192.168.3 X
GPO: Sem Com.
lhamento de Comunicação IMPRESSORAS Sem E-mail de
192.168.4 X
arquivos Regras, Regras 192.168.5 X Admin, Log de
Administrador
SAN/NSA de Detecção, Eventos
local para
Via https, WAP em DMZ. HIDS/HIPS.
MAX & Mgt.
Log de eventos,
HIDS/HIPS.

C A MA DA S ESSENC I A I S NA SU A DEF ESA 31

CAMADAS ESSENCIAIS NA SUA DEFESA

Como outro exemplo, regras de

“negação” contra Simple Mail
Para MSPs e prestadores de serviço
de TI, desenvolver uma arquitetura “Para MSPs e
Transport Protocol (SMTP) em
estações de trabalho, tornam mais
de rede padrão segmentada e um
pacote de regras de firewall para prestadores de serviço
difícil para os cyber criminosos
usarem um terminal comprometido
seus clientes compensa o tempo
e o esforço. Em muitos casos, a de TI, desenvolver uma
como um bot de SPAM para
desencadear mais ataques de
possibilidade de segmentar a rede e
codificar regras de firewall pode ser arquitetura de rede
phishing por e-mail com anexos
de Trojan.
feita com a infraestrutura existente.
Aliado a um SIEM para monitorar e padrão segmentada e
Usando uma combinação de regras
alertar contra um terminal tentando
quebrar uma regra de firewall, um pacote de regras
saída de firewall, segmentação
de rede e um SIEM para capturar
o provedor de TI ou MSP pode
rapidamente identificar o culpado de firewall para seus
informações de log e alerta de
atividade suspeita, as tentativas do
e responder de acordo.
clientes compensa o
trojan de infectar e se comunicar
interna e externamente serão
tempo e o esforço.”
descobertas ou impedidas.

32 WWW.SOLARWINDSMSP.COM
C A MA DA S ESSENC I A I S NA SU A DEF ESA 33
PARTE 5—AÇÕES DE RECURSOS EXTRAS E LIMPEZA

Se o exploit foi recebido, a estação de trabalho está Por sorte, a execução de um ataque de ransomware não é
comprometida por um Trojan, as comunicações de saída são uma atividade “normal”. Em geral, as estações de trabalho
estabelecidas e payload foi plantado, então coisas prejudiciais em um ambiente de negócios agem de uma forma previsível.
estão prestes a acontecer. Quando ciclos de CPU aumentam inesperadamente devido a
um processo e permanecem fixos e arquivos locais ou na rede
compartilhada começam a ser sequencialmente acessados
Num mundo perfeito, a análise da cadeia Cyber Kill Chain, as
e gravados, um bom antivírus heurístico pode interromper
defesas em cada fase teriam dado várias oportunidades para
ou matar o processo que causou esta atividade repentina —
que o terminal escapasse a fase de comprometimento final
especialmente se essa atividade aparenta se manter ativa.
- quando o payload é acionado. Para a grande maioria das
pequenas e médias empresas, se trata agora de um ataque
ransomware. São os sinais indicadores os quais a detecção heurística do
malware tenta identificar. Ransomware como uma categoria
de ataque é muito evidente, do ponto de vista do sistema.
Os malware variam em qualidade e capacidade, de
Mesmo na camada de rede, haverá um aumento no tráfego
simplesmente funcional com efeitos de sistema muito
de dados e nas solicitações de leitura/gravação do servidor
óbvios, até furtivos, com efeitos sutis no sistema. No caso
originadas do terminal infectado.
do ransomware, não somente os efeitos em um sistema são
perceptíveis (arquivos criptografados por exemplo), mas a
atividade também é altamente detectável pela heurística.

34 WWW.SOLARWINDSMSP.COM
“Num mundo perfeito, a análise
da cadeia Cyber Kill Chain, as
defesas em cada fase teriam dado
várias oportunidades para que
o terminal escapasse da fase de
comprometimento final - quando
o payload é acionado.”

P A R TE 5 —A Ç O ES DE R EC U R SO S EX TR A S E LI MP EZ A 35
SUAS ÚLTIMAS AÇÕES DE
RECURSOS DE DEFESA
Mesmo nessa fase, nem tudo está
perdido. Ainda há medidas que
podem ser tomadas para limitar
o impacto do acionamento de um
ransomware. Usar Objetos de Política
de Grupo (GPO) ou um aplicativo
de terceiros para bloquear os
diretórios %App/Data e %App/User
para impedir a execução de arquivos
localizados nesses diretórios é uma
excelente abordagem. Confira o Kit
de Prevenção contra Ransomware
de Terceira Camada para obter mais
informações.8
Para novos ambientes do Active
Directory do Windows, implementar
uma lista branca de aplicativos
usando o AppLocker ou um aplicativo
de terceiros também pode fornecer
uma defesa contra o acionamento
de payloads de ransomware. Para
saber mais, veja a nota de rodapé 9
na seção de referências, abordando
o uso do AppLocker no combate a
ransomware. Para isso funcionar, os
usuários não devem ter privilégios
de administrador local ou de
administrador de domínio.
36 WWW.SOLARWINDSMSP.COM
Se um usuário suspeitar que um
ataque ransomware está sendo
executado, após ter aberto o anexo
de e-mail infectado ou de visitar um
site comprometido, o treinamento
deve incluir desplugar o sistema
ou manter o botão liga/desliga
pressionado até que o computador
seja desligado. Se a infecção não se
espalhou para o servidor real e o
ransomware está sendo executado
na estação de trabalho, esta ação
pode impedir que muitos arquivos
sejam criptografados. A TI precisa
desconectar a máquina, sem
esquecer de desativar conexões sem
fio, a partir da rede do escritório,
antes que seja seguro ligar
novamente.
Ao lidar com um ataque de
ransomware, há dois componentes
a considerar: primeiro, o terminal
infectado, que se for ligado
começará a infectar arquivos
quase imediatamente no ato de
inicialização (se ainda conectado
à rede); e segundo, os próprios
arquivos criptografados.
 r o c e s so. Nem
tardi a do p tu do e
u i t o stá p
ase m
o nessa f erdi
do.”
“Mesm
SU A S Ú LTI MA S A Ç Õ ES DE R EC U R SO S DE DEF ESA 37
“Você
VOLTEpode querer preservar a máquina para
À ATIVA
um exame profissional como o realizado pela
Digital Forensic Incident Response (DFIR) ou
uma agência de execução da lei.”

38 WW
www.solarwindsmsp.com
W.SOLARWINDSMSP.COM
O terminal infectado precisa ter
o exploit anulado (via patch ou
remoção do software afetado pelo
exploit), o Trojan removido e o
payload ou ransomware removidos.
Se algum desses componentes
permanecer, há chances de que a
máquina irá se conectar à Internet,
infectar-se novamente, baixar o
payload e o ataque pode começar
tudo de novo. Uma reinstalação
completa a partir de um script .iso
“gold image” ou uma boa imagem
conhecida de uma mídia segura
(não uma recuperação local) pode
ser a única forma de remover uma
infecção mais avançada.
Um terminal infectado pode ter
informação valiosa sobre como
a sua segurança em camadas foi
driblada e pode incluir informações
sobre os cyber criminosos. Se o
ataque teve impacto significativo na
sua organização, você pode querer
preservar a máquina para um exame
proffissional como o realizado pela
Digital Forensic Incident Response
(DFIR) ou uma agência de execução
da lei.
Se você vai tentar a solução de
usar um anti-malware em um
sistema isolado ou off-line, pode ser
prudente verificar se há qualquer
tráfego de rede suspeito usando
o Wireshark (especialmente
http ou https) de uma máquina
recentemente limpa, antes de
restabelecer o serviço. Infelizmente,
payloads de ransomware mais
avançados fornecem recursos de
roubo de credencial, então todas as
senhas, incluindo as armazenadas
em cookies do navegador, podem
estar comprometidas. Portanto,
todas as senhas devem ser alteradas.
V O LTE À A TI V A 39
CHAMADA PARA BACKUP

“Tenha cuidado
ao carregar quaisquer
arquivos criptografados
como dados de
amostra.”

40 WWW.SOLARWINDSMSP.COM
Quanto aos arquivos criptografados,
espera-se que a sua solução de
backup baseada em nuvem seja
capaz de restaurar rapidamente os
arquivos — ransomware que muitas
vezes tentam destruir todos os
backups locais.
Infelizmente, depois de um ataque
bem-sucedido de ransomware,
muitas empresas descobrem (ou seu
prestador de serviços de TI ou MSP)
que a estratégia de backup do cliente
pode ter sido menos robusta. Para
uma empresa, esta situação pode ser
catastrófica.
Se sua empresa ou negócio do
seu cliente sofre um ataque de
ransomware, a Heimdal Security
oferece um recurso fantástico com
cerca de 100 programas diferentes
de descriptografia online.10 Vale a
pena guardar esse site nos favoritos.
No entanto, aqui vai um conselho:
tenha cuidado ao carregar quaisquer
arquivos criptografados necessários
para descriptografia — não use nada
confidencial.
C H A MA DA P A R A B A C KU P 41
PAGAR OU NÃO PAGAR

“É claro que pagar

por um resgate não a
melhor solução para
ninguém, exceto para
os cyber criminosos”.

42 WWW.SOLARWINDSMSP.COM
Apesar das recentes declarações satisfações sobre a importância dos
controversas do FBI, está claro dados ou o preço para recuperá-los
que pagar por um resgate não é a vai aumentar. A última coisa que você
melhor solução para ninguém, exceto pode querer é patrocinar a criação de
para os cyber criminosos. A única uma versão melhor e mais eficaz de
circunstância em que você pode um ransomware.
considerar pagar o resgate seria se os
dados forem extremamente valiosos
Todos os incidentes de ransomware
para o negócio e suas operações, ou
constituem cyber crime e devem ser
se anos de pesquisa estão em jogo.
denunciados. Para denunciar crimes
De qualquer forma, você precisará
cibernéticos, contate a delegacia
encarar a dura verdade de se
local11 ou registe a ocorrência no
perguntar por que esses dados já não
Internet Crime Complaint Center.12
estavam protegidos contra um ataque
No Reino Unido, contate o Action
de ransomware .
Fraud,13 na Comunidade Europeia,
entre em contato com a Europol,14 e
Tenha em mente que quem enviou, na Austrália, entre em contato com a
cultivou e instalou um Trojan no seu Acorn.15. Esses organismos ajudarão
sistema e depois baixou e executou você a lutar contra os criminosos.
o ransomware, é um criminoso. Se
há uma oportunidade para extorquir
mais dinheiro, os cyber criminosos
não deixarão passar, então não dê

P A GA R O U NÃ O P A GA R 43
CONCLUSÃO

O conteúdo presente nas Indicações de comprometimento de rede

apresentadas pela SolarWinds® MSP ajudarão a educar as empresas,
MSPs e prestadores de TI sobre a dinâmica de um ataque de malware
moderno e os passos e tecnologias que podem diminuir os danos.

Um ataque pode ocorrer em questão de segundos ou minutos,

dependendo de muitos fatores, mas implementar defesas para
interceptar a atividade maliciosa através das fases da cadeia Cyber Kill
Chain e aumentar as defesas com treinamento de conscientização do
usuário, pode ser a solução para prevenir ataques de ransomware e o
comprometimento de terminais.

44 WWW.SOLARWINDSMSP.COM
REFERÊNCIAS

1  ockheed Martin Cyber Kill Chain®

L
http://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html
2  erizon Data Breach Investigation Report 2016
V
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
3 https://blog.barkly.com/phishing-statistics-2016
4 https://www.alienvault.com/blogs/security-essentials/clicking-with-the-enemy
5 Recorded Future
https://www.recordedfuture.com/
6 
Digital Shadows
https://www.digitalshadows.com
7  avis Ormandy report
T
https://bugs.chromium.org/p/project-zero/issues/detail?id=820
8  hird Tier Ransomware Kit
T
http://www.thirdtier.net/ransomware-prevention-kit/
9 Technet Blog
https://blogs.technet.microsoft.com/askpfeplat/2016/06/27/applocker-another-layer-in-the-defense-in-depth-against-malware/
10 
Heimdal Security
https://heimdalsecurity.com/blog/ransomware-decryption-tools/
11 
FBI
https://www.fbi.gov/contact-us/field-offices
12 IC3
https://www.IC3.gov
13 
Action Fraud
http://www.actionfraud.police.uk/report_fraud
14 Europol
https://www.europol.europa.eu/report-a-crime/report-cybercrime-online
15 Acorn
https://report.acorn.gov.au/

R EF ER ÊNC I A S 45
A SolarWinds MSP prepara os MSPs de todos os portes e dimensões no mundo inteiro para a criação Para saber mais, visite www.solarwindsmsp.com
de negócios altamente eficientes e lucrativos com uma vantagem competitiva mensurável. As soluções
integradas incluindo automação, segurança e gerenciamento de redes e serviços – locais ou na nuvem
– suportadas por ações baseadas em informações de dados, ajudam os MSPs a trabalhar de forma
mais fácil e rápida. A SolarWinds MSP ajuda os MSPs a focarem no que mais interessa: cumprir os SLAs
e criar um negócio lucrativo.

© 2017 SolarWinds MSP UK Ltd. Todos os Direitos Reservados.

RMEB00067BRPT0417

www.solarwindsmsp.com