A evasão de soluções de EDR inclui um conjunto de técnicas que os cibercriminosos usam para iludir as defesas dos endpoints
Por German Patiño
A evasão de soluções de EDR (Endpoint Detection and Response) inclui um conjunto de técnicas que os cibercriminosos usam para iludir as defesas dos endpoints, sendo uma tática amplamente empregada por agentes de ameaças para contornar algumas das defesas mais comuns implantadas pelas organizações.
Embora o cenário de EDR esteja evoluindo, com fornecedores expandindo suas ofertas para incluir detecção e resposta estendida e plataformas de proteção de endpoint, com novos recursos e um escopo de cobertura mais amplo, é possível que essas soluções não forneçam cobertura completa da superfície de ataque, não sendo capazes de acompanhar o ritmo acelerado das investidas e técnicas atuais.
Estudo recente realizado pela Universidade de Piraeus (Grécia) comprova esse fato. Os pesquisadores analisaram 26 soluções de detecção e resposta de endpoint e cinco plataformas de proteção de endpoint (EPPs) e chegaram à conclusão que 94% delas foram consideradas vulneráveis a pelo menos uma técnica de evasão comum, o que representa um risco significativo de comprometimento.
Recentemente, atores maliciosos têm usado itens do painel de controle (.cpl) para ocultar softwares mal-intencionados específicos e executá-los, em vez de ferramentas de sistema legítimas.
Tendo em mente que as soluções de EDR se concentram na identificação e bloqueio de arquivos executáveis maliciosos, os invasores podem contornar essas medidas usando .cpl legítimo. Esta técnica é conhecida como “CPL side-loading” ou “CPL Hijacking”.
Desde 2017, quando pesquisadores de segurança descobriram que o grupo de cibercrimes FIN7 usava a técnica para atacar instituições financeiras, várias ocorrências foram identificadas usando carregamento lateral de CPL como parte da cadeia do cibercrime.
No estudo mencionado, foi constatado que 48% das soluções de EDR e EPP testadas não são capazes de detectar ou bloquear a execução desse método imediatamente, o que aumenta o risco de comprometimento.
Outra estratégia usada pelos cibercriminosos é o carregamento lateral de DLL (Dynamic Link Library – biblioteca de vínculo dinâmico), conjunto compartilhado de ferramentas que diferentes programas podem usar para realizar determinadas tarefas.
Com essa tática, os invasores substituem uma DLL legítima por uma maliciosa, fazendo com que o aplicativo a carregue, o que resulta na execução do código do invasor no sistema.
A injeção de código é outro método muito empregado por invasores para introduzir código malicioso em um aplicativo ou processo legítimo, a fim de contornar a detecção por sistemas EDR ou EPP, podendo mascarar a presença em uma operação legítima, dificultando a detecção por soluções de segurança.
Embora novas técnicas de injeção de código tenham surgido nos últimos anos, as mais antigas, como esvaziamento de processo, continuam sendo muito utilizadas por invasores e, ainda, são bem-sucedidas.
Entre algumas das táticas mais recentes, podemos citar a “Atomic Bombing”, que tira proveito do mecanismo do Windows para comunicação entre processos, identificando dados armazenados em uma tabela global chamada atoms.
Mas, assim como existem estratégias para iludir as defesas dos endpoints, também há aquelas que muitos softwares, incluindo sistemas de segurança como EDRs ou EPPs, usam para tentar detectar alterações enquanto monitoram a execução de um processo.
A hooking é uma delas. Para ‘enganchar um aplicativo’, o Windows fornece ferramentas para desenvolvedores interceptarem eventos, mensagens e chamadas entre APIs no Sistema Operacional, denominados de “ganchos”.
Atentos a isso, os agentes mal-intencionados desenvolveram um mecanismo capaz de interceptar chamadas de API e modificá-las para fins maliciosos.
Como se pode comprovar por meio dos exemplos citados, trata-se de um ecossistema em constante mudança em que os desafios para os profissionais de cibersegurança são quase que diários.
Desta forma, técnicas cada vez mais avançadas de evasão de EDR exigem um sistema capaz de detectar as ações na rede e alertar a tempo, fornecendo contexto e informações suficientes para que as equipes de resposta possam agir imediatamente e mitigar o comprometimento antes da ocorrência de danos significativos.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
