Notícias Notícias

9.08.2011 | admin

SAIBA COMO detectar e corrigir ações de spear phishing

Desta vez, quem colabora com a seção SAIBA COMO de nosso site é o consultor sênior da TechBiz Forense Digital Marcelo de Souza*, que escreveu um artigo sobre como lidar com ataques direcionados. Vale muito a pena conferir.

O termo spear phishing é relativamente antigo mas tem estado em destaque ultimamente, principalmente devido a ataques direcionados a algumas empresas e órgãos de governo. No phishing comum, um indivíduo mal intencionado envia milhares de e-mails sem um alvo específico, buscando vítimas aleatórias que possam “morder a isca”, no intuito de obter dados pessoais, senhas ou até mesmo visando disseminar malware para a criação de botnets. Já no spear phishing, a própria palavra spear (arpão, em inglês) mostra que o indivíduo tem um alvo específico em sua “pescaria”: uma ou mais pessoas que têm alguma relação com uma organização (funcionários de uma empresa, clientes estratégicos, etc.). Nesse caso, os e-mails enviados são cuidadosamente elaborados com conteúdo (modelo, assunto e informações) muito próximo do dia a dia do destinatário.

Em qualquer um dos casos de phishing, e ainda mais no spear phishing, o remetente se utiliza da engenharia social para alcançar seu objetivo. Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.

É importante lembrar que o spear phishing é apenas parte do modus operandi de um atacante que visa comprometer a segurança ou obter informações sensíveis de uma organização. Como exemplo, os seguintes passos poderiam ser seguidos:

1) após a obtenção de dados do usuário de uma empresa alvo em fontes diversas (redes sociais, por exemplo), o atacante elabora e envia o e-mail de spear phishing contendo um arquivo PDF infectado com código malicioso para este destinatário;

2) o destinatário abre o arquivo num leitor de PDFs que possui uma vulnerabilidade não corrigida e que permite a execução do código malicioso;

3) o malware contido no PDF ou baixado da Internet pelo leitor vulnerável é executado, realizando instruções maliciosas na máquina do usuário e na rede local, ou até mesmo se comunicando com a Internet para enviar credenciais capturadas;

4) credenciais enviadas de volta para o atacante que criou o spear phishing são usadas para acesso à empresa-alvo, que permitiriam atividades diversas na rede, inclusive para vazar informações sigilosas.

Para detectar, identificar e corrigir ações decorrentes de ataques como este, a TechBiz Forense Digital oferece diversas soluções que, devidamente integradas, permitem a mitigação dos riscos associados.

Nos casos de incidentes como estes, é fundamental que exista a consciência situacional na iminência de um ataque. Para isso, produtos da NetWitness que realizam a captura de todo tráfego de rede da organização permitiriam a detecção do recebimento de e-mails com arquivos PDF anexos contendo payload malicioso. A solução NetWitness Spectrum seria capaz de analisar automaticamente o arquivo anexo ao e-mail e em tempo real alertar a presença de instruções maliciosas.

“Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.”

Os eventos gerados pelos produtos da NetWitness poderiam ser enviados à solução de SIEM (Security Information and Event Management) da ArcSight, o ArcSight ESM, para correlação dos eventos e consequente escalonamento do incidente. Ao receber e correlacionar o evento “PDF malicioso enviado para fulano@empresa.com.br”, a solução pode ser capaz de gerar um alerta assim que o usuário acesse sua caixa de e-mails, agregando informações que possam identificar a máquina que seria infectada, e até mesmo aumentar o nível de severidade do alerta caso saiba que o software da máquina não está atualizado.O nível de detalhe dependerá da integração com outras ferramentas presentes no ambiente, tais como gateways de e-mail, scanners de vulnerabilidades, etc.

Outros níveis de defesa também seriam possíveis. As medidas citadas acima permitiriam apenas a detecção e identificação de ameaças, sendo cabível portanto outra solução de resposta que possa ser integrada às demais. Uma delas é a EnCase CyberSecurity, que responde ao incidente de infecção de uma máquina realizando a remediação e eliminação de artefatos maliciosos, permitindo também a investigação forense do ocorrido na máquina.

Na hipótese de invasão da rede interna da empresa, por conta de uma resposta inadequada ao incidente, também poderiam ser aplicadas as soluções da NetWitness e ArcSight para impedir outras consequências do ataque. Um exemplo seria impedir o vazamento de informações sigilosas. O produto NetWitness NextGen teria capacidade de detectar documentos específicos que estejam trafegando para fora da rede, informando para o ArcSight ESM que por sua vez dispararia um comando de bloqueio do tráfego no firewall, ou até mesmo de remoção do acesso da máquina à rede no switch. Tudo isso dependeria apenas da simples integração com os outros elementos de rede presentes no ambiente.

Conforme apresentado, a ameaça de spear phishing traz consigo uma série de outras ameaças que podem colocar em risco a segurança de uma organização. A TechBiz Forense Digital está apta a oferecer contra-medidas para todas elas, mitigando estes riscos com soluções integráveis para detecção, investigação e reação.

*Marcelo de Souza é consultor forense e líder técnico de soluções da ArcSight na TechBiz Forense Digital. Atua há 10 anos na área de segurança da informação, tendo trabalhado em empresas de telecomunicações e consultoria. Possui vasta experiência em detecção/prevenção de intrusões, resposta a incidentes e gestão de centros de operação de segurança (SOC).

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653