Spear Phishing e APT, ataque eficiente

A evolução das ameaças cibernéticas é tão rápida que fica difícil acompanhar todas as novidades e termos que surgem relacionadas à segurança da informação. Ainda mais em períodos tão turbulentos iguais aos que estamos vivendo, existe um exército gigantesco de pessoas buscando novas falhas, novas formas de ataques, desenvolvendo malwares mais avançados e muitas mais.

A seguir uma breve introdução sobre um tipo de ataque bastante eficiente que tem feito várias vítimas.

Spear Phishing

Não é um termo novo mas está em destaque devido aos ataques específicos direcionados à empresas e governos. No phishing comum que conhecemos são enviados e-mails para tentar “pescar” senhas e outros dados bancários das pessoas em geral, já no spear phishing (“pescaria com arpão”) são enviados e-mails direcionados a alvos específicos, a mensagem é cuidadosamente montada para que se passe por verdadeira dentro de uma empresa ou órgão.

Com a facilidade que temos para descobrir informações em redes sociais e na Internet em geral não é muito difícil montar mensagens convincentes se passando por funcionário de determinada empresa por exemplo. Quando alguém de dentro da companhia receber a mensagem e clicar no link estará comprometendo a segurança de toda a rede. Hoje em dia é muito mais fácil utilizar esse tipo de engenharia social para invadir a rede corporativa do que encontrar uma vulnerabilidade no firewall.


APT: Advanced Persistent Threats

Ameaças Persistentes Avançadas, ou simplesmente APT, é um termo polêmico que foi criado em janeiro desse ano e não tem uma definição precisa, uns dizem que não passa de jogada de marketing de vendors para chamar atenção da mídia, outros dizem que se trata de um tipo de ataque persistente (como o nome diz), cíclico, em um alvo específico envolvendo várias etapas e supostamente utilizando-se de técnicas avançadas empregadas por atacantes altamente capacitados [1] [2].

Um exemplo de APT, um grupo de atacantes escolhem como alvo a empresa X, inicialmente poderão tentar entrar na rede através de um malware, normalmente através de spear phishing. Uma vez que eles comprometeram um host a próxima etapa será implantar no ambiente uma ou mais ferramentas de acesso remoto (um espécie de netcat), esse processo pode durar algumas semanas, nesse período eles tentam capturar com malwares as credenciais da rede, senhas de administradores, VPNs, banco de dados, etc. Depois disso eles desativam as ferramentas de acesso remoto e passam a acessar a rede somente com as credenciais que capturaram, inclusive para não levantar suspeitas podem realizar tarefas comuns de administradores como aplicar patchs.

Utilizando-se esse método, senhas legítimas para acessar a rede, estarão bem mais protegidos. É mais difícil detectar o uso indevido de senhas e logins do que a presença de uma ferramenta estranha, com isso o ataque se mantém persistente na rede. No momento que percebem que as senhas estão sendo alteradas eles voltam para a etapa de capturar novamente as credenciais com o malware, e isso se repete até quando for possível ou for interessante para eles [3].

A verdade é que quando um atacante está motivado e possui um pouco de conhecimento certamente conseguirá atingir seus objetivos.

Caption by Lenny Zeltser. Based on a drawing by sabine voigt.

Referências:

Um comentário:

  1. Olá, muito bom seus artigos muito bom mesmo.
    Estou sempre acompanhando.

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...