Header Ads

Home / Microsoft / Notícias / windows / Como se defender contra rootkits

Como se defender contra rootkits

quarta-feira, fevereiro 03, 2021 , ,

Os rootkits comprometem uma rede de uma forma que permite que os agentes da ameaça voltem quando quiserem. Eles podem exfiltrar informações, excluir arquivos ou plantar outro malware. Veja como se manter seguro.

Rootkits

Rootkits são uma forma particularmente perniciosa de malware. Eles são muito difíceis de detectar e ainda mais difíceis de se livrar. Além disso, eles fornecem ao agente da ameaça um tremendo poder sobre o seu sistema, incluindo a capacidade de entrar e sair quando quiser. Isso coloca a observação e o reconhecimento de longo prazo totalmente dentro dos atores da ameaça &’ agarrar.

Os rootkits não são novos. Eles existem desde o início de 1990 &’ s, quando o primeiro rootkit foi desenvolvido para a Sun Microsystems &’ Sistema operacional SunOS Unix. Isso se reflete no nome. A tag “ root ” parte refere-se ao administrador do sistema em sistemas operacionais do tipo Unix e o “ kit ” parte descreve a coleção de ferramentas de software necessárias para realizar a exploração.

O primeiro rootkit projetado especificamente para o sistema operacional Windows foi um malware chamado NTRootkit. Ele foi criado por um pesquisador de segurança chamado Greg Hoglund para promover o interesse no desenvolvimento de defesas contra esses ataques.

Uma inovação recente foi o desenvolvimento de rootkits para dispositivos da Internet das Coisas (IoT). Em parte, isso se deve à surpreendente proliferação de dispositivos IoT. Quanto mais alvos os agentes de ameaças têm, mais felizes eles ficam. Mas o verdadeiro motivo pelo qual o cibercriminoso os considera um alvo tão atraente é a falta de segurança robusta — às vezes qualquer segurança — na maioria dos dispositivos IoT.

Qualquer ponto de entrada é útil para um ator de ameaça. Os dispositivos IoT geralmente têm os recursos de segurança mais fracos de qualquer dispositivo conectado a uma rede. Eles estão voltados para a Internet, conectados ao Wi-Fi da organização e quase certamente não estão segmentados longe da rede corporativa principal. Se o dispositivo IoT comprometido não atender às necessidades deles como base em sua rede, eles podem facilmente encontrar e mover para outro local que melhor atenda a seus objetivos.

Como os rootkits são instalados

Os rootkits não podem se auto-replicar como vírus e worms. Eles devem ser distribuídos por algum outro mecanismo, como ataques baseados em engenharia social, como campanhas de e-mail de phishing, sites infectados ou quedas de USB.

As campanhas de phishing enviam e-mails fraudulentos que se disfarçam como e-mails de fontes genuínas e confiáveis. Os e-mails são redigidos com cuidado. Eles tentam coagir o destinatário a clicar em um link ou abrir um anexo infectado. O anexo contém um software chamado conta-gotas. Assim que estiver instalado, ele baixa uma carga útil adicional — o próprio rootkit — dos servidores do ator da ameaça ’. Os emails de phishing sem anexos contêm links que levam a vítima a sites infectados. Esses sites exploram navegadores não corrigidos para infectar o computador da vítima.

Uma queda de USB é um ataque mais direcionado. As chaves de memória USB infectadas são deixadas em locais onde serão encontradas pelos membros da equipe da organização visada. A chave de memória USB geralmente é anexada a um conjunto de chaves. Isso inicia uma série de eventos destinados a identificar o proprietário das chaves. Claro, ninguém se apresenta para reivindicá-los. Mais cedo ou mais tarde, alguém inserirá a chave de memória USB em um computador para procurar informações que identifiquem o proprietário. O que parecem ser PDFs ou outros arquivos de documentos na chave de memória USB são, na verdade, programas mascarados. Tentar abrir um deles infectará o computador.

As técnicas de Trojan também podem ser usadas. É aqui que um aplicativo de software inocente é reembalado pelos atores da ameaça em uma rotina de instalação diferente. A instalação do software parece ocorrer conforme o esperado, mas o rootkit foi instalado junto com o aplicativo. Softwares crackeados e pirateados de sites de torrent costumam ser cavalos de Tróia.

O que um Rootkit faz

Os rootkits se aprofundam. O conta-gotas pode se esconder no BIOS ou UEFI, portanto, mesmo que o disco rígido seja limpo, o conta-gotas simplesmente baixa o rootkit novamente. É assim que os rootkits parecem sobreviver magicamente à reformatação completa do disco rígido ou até mesmo trocando o hardware e instalando um novo disco rígido.

Um rootkit se instala de forma que parece ser uma parte integrada e legítima do próprio sistema operacional. Eles podem impedir sua detecção por pacotes de proteção de endpoint, podem remover software de proteção de endpoint e podem incluir técnicas para impedir sua remoção, mesmo se forem detectados pelo software de proteção de endpoint. Por ter privilégios de nível de administrador, um rootkit — e, portanto, os atores da ameaça — podem fazer o que quiserem.

Atores de ameaças gostam particularmente de rootkits por causa da porta dos fundos privada que eles oferecem. É como um intruso em um prédio. Se eles tiverem que arrombar a fechadura toda vez que tentarem obter acesso, serão identificados mais cedo ou mais tarde. Mas se eles tiverem sua própria chave ou souberem o código do teclado de entrada, podem entrar e sair à vontade. Em 2020, o tempo médio desde a infecção até a detecção e contenção era de mais de 200 dias. É por isso que os rootkits são classificados como ameaças persistentes avançadas.

Um rootkit pode fazer o seguinte:

  • Instalar um backdoor: Isso permite que os agentes da ameaça tenham acesso fácil e repetido à rede.
  • Instalar outro software malicioso: o rootkit pode instalar outros malwares, como software de keylogging. O objetivo é obter credenciais de autenticação para banco online, outras plataformas de pagamento ou outros serviços nos quais os cibercriminosos estão interessados. Uma vez que os agentes da ameaça decidam que extraíram o máximo possível de sua rede, eles podem instalar ransomware quanto seus tiro de despedida. É cada vez mais comum que uma rede seja comprometida e sigilosa ou que material confidencial da empresa seja exfiltrado antes que o ataque de ransomware seja disparado. Se a vítima tem um esquema robusto de recuperação de desastres em vigor e se recusa a pagar o resgate que os cibercriminosos ameaçam para liberar publicamente os documentos privados.
  • Ler, copiar, exfiltrar ou excluir arquivos: assim que estiverem em sua rede nada é privado ou imutável.
  • Alterar as configurações do sistema: os rootkits modificarão as configurações do sistema para se esconder do software de proteção de endpoint e parecer legítimo para outros componentes do sistema operacional. Ele modificará as configurações para dar a si mesmo o nível mais alto de direitos de administração e permissão para interagir com o nível mais baixo de funcionalidade do sistema operacional.
  • Acessar e modificar arquivos de log: os rootkits irão corrigir os logs do sistema para fazer sua descoberta ou investigação impossível.
  • Registrar e monitorar pressionamentos de tecla: O registro de pressionamentos de tecla é uma maneira simples e eficaz de capturar nomes de usuário e senhas, tanto para sistemas locais quanto para sistemas online. Afinal, tudo que você digita passa pelo mesmo teclado.

Quem está por trás dos rootkits?

Rootkits são pedaços de código extremamente sofisticados. A criação de um rootkit eficaz está além das capacidades do cibercriminoso médio. No entanto, conjuntos de ferramentas de rootkit estão disponíveis na Dark Web. Isso coloca o poder dos rootkits nas mãos de qualquer programador razoavelmente competente. O código de prova de conceito que demonstra as técnicas de rootkit também está disponível no GitHub.

Escrever um rootkit do zero requer muitos recursos e experiência de desenvolvimento de alto nível. Os cibergrupos ofensivos patrocinados pelo estado — grupos APT — trabalhando em nome de seus militares ou outras agências são uma fonte conhecida de rootkits. Um exemplo recente é o rootkit Drovorub. A atribuição da Agência de Segurança Nacional (NSA) e do Federal Bureau of Investigation (FBI) para isso identificou o 85º Centro Principal de Serviços Especiais da Rússia (GTsSS) — também conhecido como APT28 e Fancy Bear — como o grupo por trás da ameaça.

Tipos de rootkits

Os rootkits podem ser classificados de acordo com alguns de seus comportamentos. As variantes mais comuns são:

  • Rootkits do kernel: operam no nível do kernel. O rootkit obtém todos os privilégios concedidos ao sistema operacional.
  • Rootkits de aplicativos: funcionam no nível do aplicativo. Normalmente, eles substituem ou modificam módulos de aplicativos, arquivos ou código. Isso permite que o rootkit e os cibercriminosos se apresentem como softwares normais permitidos.
  • Rootkits de memória: operam na memória de acesso aleatório (RAM). Como são executados na RAM, não deixam nenhuma pegada digital ou assinaturas de arquivo no disco rígido.
  • Bootkit: Um bootkit — ou kit de bootloader — é um rootkit que afeta os carregadores de inicialização do sistema operacional como o Master Boot Record (MBR). Eles são inicializados enquanto o computador é ligado e antes que o sistema operacional seja totalmente carregado. Isso torna sua remoção extremamente difícil.
  • Rootkits de biblioteca: Esses rootkits se comportam como um patch de kernel ou gancho. Eles bloqueiam ou interceptam e modificam as chamadas do sistema. Eles também podem substituir as bibliotecas de vínculo dinâmico (DLLS) em sistemas baseados no Windows ou bibliotecas em sistemas operacionais semelhantes ao Unix.
  • Rootkits de firmware: afetam o firmware em dispositivos de rede. Isso dá aos atores da ameaça &’ controle do dispositivo. A partir dessa base, os atores da ameaça podem mover-se para outros dispositivos e computadores em rede.

Detecção e Remoção

Falhas inexplicáveis ​​repentinas ou desempenho muito baixo podem ser indicadores de que você tem um rootkit. Rootkits mal projetados construídos na “ automontagem ” kits de ferramentas disponíveis no Dark Web podem introduzir instabilidade em seu sistema. como os rootkits interagem com o kernel e outros módulos do sistema operacional no nível mais baixo, os bugs no rootkit podem facilmente levar à instabilidade do sistema.

Os rootkits são notoriamente difíceis de detectar porque podem se esconder com muito sucesso de suítes de segurança de endpoint. Alguns dos pacotes de proteção de endpoint de grande nome de nível superior afirmam ser capazes de detectar algumas variantes de rootkit, o que é uma ajuda.

O software de segurança que inclui técnicas de análise comportamental pode criar uma imagem da operação correta do seu computador e dos hábitos de rede dos diferentes tipos de funções dos usuários. O desvio do comportamento esperado pode ser uma indicação de um rootkit em seu sistema. Deve-se observar que, sem sistemas de detecção de última geração, geralmente requer intervenção de um especialista para identificar positivamente um comprometimento de rootkit e removê-lo.

  • O software de auditoria de segurança obtém impressões digitais de referência de arquivos críticos do sistema. O software está configurado para verificar o seu computador regularmente. Quaisquer diferenças entre os arquivos em disco e suas assinaturas de referência significam que os arquivos foram alterados ou substituídos. Essas anomalias são sinalizadas para investigação. Essa técnica pode localizar arquivos modificados ou substituídos, patches de kernel, DLLs e drivers. Um exemplo desse tipo de ferramenta de auditoria de segurança é o pacote Lynis de código aberto com um plug-in de integridade de arquivo adequado.
  • O software de monitoramento de API pode rastrear as chamadas e os dados retornados de chamadas de API. Qualquer variação das normas esperadas é sinalizada como suspeita.

a remoção pode ser um assunto prolixo. Iniciar no modo de segurança não adianta nada com um rootkit. Você precisa inicializar de um CD ou DVD contendo um sistema operacional. Isso significa que seu disco rígido não está envolvido no processo de inicialização e o software de conta-gotas rootkit não pode modificar a imagem no CD ou DVD.

Freqüentemente, o sistema operacional inicializado não é o mesmo que sua máquina normalmente executa. Em um PC com Windows, você pode inicializar de um Linux Live CD, por exemplo. Você pode então usar um software especializado em busca de rootkit para identificar onde o conta-gotas reside para que possa ser removido. O disco rígido deve ser substituído ou completamente apagado e reinstalado.

A prevenção é a melhor cura

A grande maioria das infecções por rootkit depende da interação humana. Talvez alguém tenha sido enganado por um e-mail de phishing ou decidiu baixar um software de um site de torrent ilegal. Isso significa que a melhor maneira de melhorar suas defesas contra o comprometimento de rootkits é fornecer treinamento de conscientização sobre segurança cibernética para sua equipe e ter políticas e procedimentos a serem seguidos.

Uma Política de uso aceitável detalha o que é e o que não é considerado uso aceitável dos recursos de computação da sua organização. Seus funcionários podem navegar em qualquer tipo de site durante a hora do almoço ou algumas categorias de site foram banidas? Quais são as regras para permitir que eles vejam seu webmail pessoal? se eles usarem o desktop do escritório para ler seus e-mails pessoais e cair em um ataque de phishing, é a sua organização que está comprometida, não o computador doméstico do usuário.

Uma Política de Senha deve conter uma orientação clara para a construção de senhas robustas, bem como as armadilhas a serem evitadas. Não baseie as senhas em nada que possa ser criado socialmente, como nomes de crianças ou datas de aniversário. Não reutilize senhas em sistemas diferentes. Você deve defender os gerenciadores de senhas e fornecer uma lista de quais são aprovados para uso. Implemente a autenticação de dois fatores onde você puder.

Conduza sessões de treinamento curtas e precisas, descrevendo a ameaça de malware e ataques de phishing. Um ataque de ransomware pode ameaçar a viabilidade financeira da organização, portanto, prestar atenção à segurança cibernética não protege apenas a empresa, mas protege seus funcionários &’ meios de subsistência. Dê orientações sobre como identificar um e-mail de phishing e o que fazer se receber um. Promova uma cultura voltada para a segurança, na qual as consultas e verificações com base na segurança são valorizadas, não desaprovadas.

Você pode querer se envolver com uma empresa de segurança cibernética e realizar exercícios de suscetibilidade da equipe, como campanhas de phishing benignas e quedas de USB para identificar a equipe que precisa de treinamento complementar.

Com a maioria dos tipos de malware, seu pessoal é sua tropa na linha de frente. Você deve capacitá-los para que sejam o mais eficazes possível na proteção de sua rede.

RELACIONADO: Por que sua equipe é o elo mais fraco da cibersegurança

Nenhum comentário

Assinar: Postar comentários ( Atom )