Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Proteção contra malware: conceitos básicos e melhores práticas

Proteção contrProteção contra malware: conceitos básicos e melhores práticas | Varonisa malware: conceitos básicos e melhores práticas | Varonis
Emilia Bertolli
6 minuto de leitura
Ultima atualização 29 de Junho de 2021

Conteúdo

    Em termos básicos, o malware é um pedaço de código que tenta se esconder dentro de um ambiente computacional, e está programado para desempenhar ações como acessar dados confidenciais, ou causar a interrupção nas operações do computador de origem – a proteção contra malware visa simplesmente impedir ataques de malware.  

    É um termo que tem sido usado em demasia pela maioria em uma tentativa geral de convencer os usuários finais de alguma forma de segurança. No nível corporativo, o malware pode ameaçar o estado atual da sua segurança ao realizar ações publicamente que vão contra a política de segurança ferindo, assim, a integridade dos seus documentos ou informações confidenciais. 

    Hoje em dia, com a interconexão de sistemas pessoais e comerciais, políticas BYOD (Bring Your Own Device) e o trabalho remoto, é comum descobrir casos em que um ataque individual acabou tomando a rede corporativa. É crucial para a integridade geral da sua empresa ter uma compreensão clara da aparência do software malicioso e que tipos de proteção contra malware você pode incutir em sua postura de segurança para proteger melhor seus ativos físicos e digitais. 

    Seja algo tão simples como um e-mail de phishing que contém um bot para coletar bitcoin ou um malware mais complexo como um trojan que está tentando instalar um backdoor direto em sua infraestrutura corporativa, é vital que você saiba quais controles devem ser implementados para detectar com precisão e corrigir cada situação imediatamente. 

    Como funciona o malware? 

    O malware opera usando vários métodos para, em última análise, ocultar suas ações reais do administrador de redes. A forma mais comum de operação do software malware é ocultando uma parte do código malicioso do software antivírus para evitar a detecção. A principal maneira de fazer isso é por meio da ofuscação. 

    Como funciona a ofuscação? 

    A ofuscação envolve renomear um software malicioso com o mesmo nome de um software anti-malware confiável. Aqui estão os princípios básicos de como funciona: 

    • O malware invade a máquina do usuário final por meio de phishing 
    • Na sequência, o código se instala como um software legítimo  
    • O código subjacente abre uma rota no firewall local da máquina 
    • Isso permite que todo o tráfego passando por uma porta específica fique oculto do administrador 
    • Tudo isso ocorre segundos depois que o usuário final abre o software malicioso que foi enviado no e-mail de phishing recebido. 

    Funcionalidade disfarçada ou malware que não é malware 

    Existem malwares que não não são realmente malwares, mas aplicativos legítimos que se comportam como tal. Por exemplo, o arquivo legítimo encontrado em laptops HP, o Mictray64.exe, ou “malware sem arquivo ”, que é onde os invasores vivem fora da terra e usam os aplicativos do seu computador no ataque. 

    O único propósito do MicTray64.exe é ajudar a reunir dados de pressionamento de tecla e enviá-los de volta à HP para solução de problemas (se permitido). A maioria das organizações não usa a depuração HP local como um método confiável para solucionar problemas, portanto, esse recurso é desabilitado por padrão na instalação. 

    Infelizmente, a maioria das organizações também não saberia se esse recurso teve o ehter reativado. Os hackers podem reativar o MicTray64.exe, alterar o local de gravação da solução de problemas para um local ao qual eles tenham acesso e, assim, capturar todas as batidas de teclado feitas no computador no futuro. 

    Este é um excelente exemplo de como um arquivo legítimo pode ser usado contra um usuário, ao mesmo tempo que contorna o software antivírus de malware local. 

    O malware opera em um ciclo, os hackers apenas mudam vetores individuais na abordagem para acomodar o objetivo final específico do software malicioso – que geralmente está relacionado com dinheiro. O ciclo observado é o seguinte: 

    1. Infecção 

    De uma forma ou de outra, o malware precisa encontrar uma maneira de se infiltrar em um sistema ou rede. Existem vários métodos diferentes para fazer isso, incluindo phishing, dispositivos USB e conexões de API, para citar os mais populares. 

    2. Execute Payload 

    O próximo passo do malware é implementar o código malicioso sem detecção ou prevenção com sucesso. 

    3. Exfiltração 

    Por último, o software malicioso precisa ser capaz de concluir sua tarefa enviando os dados ou dando ao agente malicioso uma forma de monetizar a situação (ransomware). 

    As técnicas e táticas com cada tipo de malware serão diferentes, mas o objetivo final e o ciclo permanecem constantes. 

    Tipos de malware 

    Cada um dos seguintes tipos de software malicioso exigirá ações individuais para identificar totalmente e corrigir com êxito dentro de um período de tempo aceitável. Conheça os tipos de malware: 

    Vírus 

    Com o passar dos anos, o propósito dos vírus evoluiu drasticamente. No passado, os vírus eram criados principalmente para causar estragos indesejados. Hoje em dia, os criminosos criaram vírus personalizados para fazer ataques deliberados e prejudiciais. 

    Por definição, um vírus é um pedaço de código que se espalha para outros programas em um computador assim que é executado. A principal razão para a propagação do vírus é evitar a remoção permanente. Se você remover o arquivo original, ele ainda pode estar em outro lugar no computador, continuando assim a cumprir sua única intenção. 

    Ransomware 

    O ransomware é um dos tipos de malware mais conhecidos, já que as notícias de infecções em massa chegaram à mídia convencional. Esse tipo de malware criptografa arquivos em um computador ou sistema de armazenamento e, em seguida, deixa uma nota com instruções sobre como descriptografar os dados (por um preço). 

    O público é instado a nunca pagar o resgate se você for afetado, pois não há garantia de que os criminosos irão ajudá-lo a conseguir que seus dados sejam descriptografados. É recomendável que você entre em contato com a autoridade local e utilize serviços profissionais para ajudar a descriptografar seus dados. O ransomware é um dos principais tipos de malware que afetam as empresas, pois costuma ser muito prejudicial para a rede corporativa. 

    Trojans Horse 

    Esse tipo de malware visa invadir um sistema com sucesso, evitar a detecção e deixar uma porta dos fundos no local para dar ao invasor um caminho de volta para o sistema em uma data posterior. Os cavalos de Tróia (na tradução do seu nome para o português) dão aos cibercriminosos a chance de coletar informações sobre o sistema interno ou a rede e criar ataques mais profundos especificamente adaptados à rede comprometida. 

    Rootkits e backdoors 

    Os rootkits e backdoors basicamente capacitam os hackers a acessar e controlar remotamente um sistema sem serem detectados. Os rootkits permitem que os invasores obtenham acesso total “root” a um sistema onde podem então iniciar novos comandos, começar a exfiltrar dados ou modificar logs e programas para evitar a detecção 

    Backdoors são o termo geral para quaisquer rotas deixadas por hackers ou insiders que permitem o acesso remoto ou fora do acesso autenticado a um sistema interno. 

    Uma vez que os invasores podem estabelecer uma backdoor sólida e ganhar uma presença em uma rede, pode ser difícil remover o acesso e determinar de forma forense quais dados firam acessados. Sem o monitoramento adequado com antecedência, pode não ser possível. 

    Trojans de acesso remoto (RATs) 

    RATs ou ferramentas de administração remota são uma forma de técnica de backdoor que os hackers usam para obter e manter o acesso remoto em um sistema, um processo que ainda prevalece hoje. Para que um RAT opere conforme o esperado, ele precisa ter um agente ou arquivo do lado do servidor que mantenha a persistência na rede, permitindo que a parte externa mantenha o controle e o acesso. Esses arquivos costumam ser disfarçados para parecerem arquivos padrão para evitar a detecção. 

    Como derrotar e prevenir malware com Varonis 

    As soluções da Varonis estabelecem uma linha de base em sua rede e ajuda a categorizar os eventos em duas categorias principais; atividade humana versus atividade da máquina. O DatAlert ajuda a trazer alertas de detecção e prevenção eficazes para a ponta dos dedos com o mínimo de falsos positivos. 

    Ao monitorar e criar uma linha de base do que um usuário típico em seu ambiente faz de maneira consistente, a Varonis é então capaz de determinar rapidamente se a atividade suspeita é comum ou não. A Varonis utiliza modelos de ameaças padrão para ajudar a estabelecer essa linha de base. Cada modelo de ameaça é considerado uma violação ou, simplesmente, um alerta de que um ataque mais significativo pode estar em andamento. 

    Práticas de remediação 

    Quando se trata de práticas de remediação, há alguns temas abrangentes que sempre devem desempenhar um papel. Não importa a situação, você deve sempre manter a comunicação e a vigilância como principais prioridades, assim como lembrar e usar seus protocolos predeterminados. 

    Comunicação: É vital para o sucesso de empresas de qualquer tamanho ter uma comunicação clara. Mesmo fora de uma crise, é essencial para implementar controles de segurança em todos os níveis. Sem um canal claro de comunicação, você pode se deparar com complicações que afetam outros departamentos ou áreas de sua empresa (por exemplo, a configuração de controles restritivos). 

    Fique atento: não importa a solução ou processo que você tenha em uso para detectar e responder às vulnerabilidades, é crucial que você o faça imediatamente. Lidar com os alertas logo no início ajuda a evitar mais danos. 

    Planejamento: por último, mas não menos importante, certifique-se de que haja um plano de resposta em vigor para quando ocorrer um incidente. Este plano de ação de resposta deve ser praticado algumas vezes por ano. Ter todas as partes envolvidas nessas sessões irá aliviar a tensão e os erros quando a coisa real acontecer. 

    Seja você um profissional de segurança ou alguém responsável pela segurança de sua empresa. As ameaças mencionadas acima são reais e ocorrem no dia-a-dia de empresas de todos os portes. Você deve compreender seus dados e suas opções para protegê-los. 

    Confira testes gratuitos e tutoriais de como ferramentas como DatAlert e DatAdvantage podem lhe dar a tranquilidade de saber que sua segurança está sendo cuidada. 

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento