Proteção contra malware: conceitos básicos e melhores práticas

Em termos básicos, o malware é um pedaço de código que tenta se esconder dentro de um ambiente computacional, e está programado para desempenhar ações como acessar dados confidenciais, ou causar a interrupção nas operações do computador de origem – a proteção contra malware visa simplesmente impedir ataques de malware.  

É um termo que tem sido usado em demasia pela maioria em uma tentativa geral de convencer os usuários finais de alguma forma de segurança. No nível corporativo, o malware pode ameaçar o estado atual da sua segurança ao realizar ações publicamente que vão contra a política de segurança ferindo, assim, a integridade dos seus documentos ou informações confidenciais. 

Hoje em dia, com a interconexão de sistemas pessoais e comerciais, políticas BYOD (Bring Your Own Device) e o trabalho remoto, é comum descobrir casos em que um ataque individual acabou tomando a rede corporativa. É crucial para a integridade geral da sua empresa ter uma compreensão clara da aparência do software malicioso e que tipos de proteção contra malware você pode incutir em sua postura de segurança para proteger melhor seus ativos físicos e digitais. 

Seja algo tão simples como um e-mail de phishing que contém um bot para coletar bitcoin ou um malware mais complexo como um trojan que está tentando instalar um backdoor direto em sua infraestrutura corporativa, é vital que você saiba quais controles devem ser implementados para detectar com precisão e corrigir cada situação imediatamente. 

Como funciona o malware? 

O malware opera usando vários métodos para, em última análise, ocultar suas ações reais do administrador de redes. A forma mais comum de operação do software malware é ocultando uma parte do código malicioso do software antivírus para evitar a detecção. A principal maneira de fazer isso é por meio da ofuscação. 

Como funciona a ofuscação? 

A ofuscação envolve renomear um software malicioso com o mesmo nome de um software anti-malware confiável. Aqui estão os princípios básicos de como funciona: 

  • O malware invade a máquina do usuário final por meio de phishing 
  • Na sequência, o código se instala como um software legítimo  
  • O código subjacente abre uma rota no firewall local da máquina 
  • Isso permite que todo o tráfego passando por uma porta específica fique oculto do administrador 
  • Tudo isso ocorre segundos depois que o usuário final abre o software malicioso que foi enviado no e-mail de phishing recebido. 

Funcionalidade disfarçada ou malware que não é malware 

Existem malwares que não não são realmente malwares, mas aplicativos legítimos que se comportam como tal. Por exemplo, o arquivo legítimo encontrado em laptops HP, o Mictray64.exe, ou “malware sem arquivo ”, que é onde os invasores vivem fora da terra e usam os aplicativos do seu computador no ataque. 

O único propósito do MicTray64.exe é ajudar a reunir dados de pressionamento de tecla e enviá-los de volta à HP para solução de problemas (se permitido). A maioria das organizações não usa a depuração HP local como um método confiável para solucionar problemas, portanto, esse recurso é desabilitado por padrão na instalação. 

Infelizmente, a maioria das organizações também não saberia se esse recurso teve o ehter reativado. Os hackers podem reativar o MicTray64.exe, alterar o local de gravação da solução de problemas para um local ao qual eles tenham acesso e, assim, capturar todas as batidas de teclado feitas no computador no futuro. 

Este é um excelente exemplo de como um arquivo legítimo pode ser usado contra um usuário, ao mesmo tempo que contorna o software antivírus de malware local. 

O malware opera em um ciclo, os hackers apenas mudam vetores individuais na abordagem para acomodar o objetivo final específico do software malicioso – que geralmente está relacionado com dinheiro. O ciclo observado é o seguinte: 

1. Infecção 

De uma forma ou de outra, o malware precisa encontrar uma maneira de se infiltrar em um sistema ou rede. Existem vários métodos diferentes para fazer isso, incluindo phishing, dispositivos USB e conexões de API, para citar os mais populares. 

2. Execute Payload 

O próximo passo do malware é implementar o código malicioso sem detecção ou prevenção com sucesso. 

3. Exfiltração 

Por último, o software malicioso precisa ser capaz de concluir sua tarefa enviando os dados ou dando ao agente malicioso uma forma de monetizar a situação (ransomware). 

As técnicas e táticas com cada tipo de malware serão diferentes, mas o objetivo final e o ciclo permanecem constantes. 

Tipos de malware 

Cada um dos seguintes tipos de software malicioso exigirá ações individuais para identificar totalmente e corrigir com êxito dentro de um período de tempo aceitável. Conheça os tipos de malware: 

Vírus 

Com o passar dos anos, o propósito dos vírus evoluiu drasticamente. No passado, os vírus eram criados principalmente para causar estragos indesejados. Hoje em dia, os criminosos criaram vírus personalizados para fazer ataques deliberados e prejudiciais. 

Por definição, um vírus é um pedaço de código que se espalha para outros programas em um computador assim que é executado. A principal razão para a propagação do vírus é evitar a remoção permanente. Se você remover o arquivo original, ele ainda pode estar em outro lugar no computador, continuando assim a cumprir sua única intenção. 

Ransomware 

O ransomware é um dos tipos de malware mais conhecidos, já que as notícias de infecções em massa chegaram à mídia convencional. Esse tipo de malware criptografa arquivos em um computador ou sistema de armazenamento e, em seguida, deixa uma nota com instruções sobre como descriptografar os dados (por um preço). 

O público é instado a nunca pagar o resgate se você for afetado, pois não há garantia de que os criminosos irão ajudá-lo a conseguir que seus dados sejam descriptografados. É recomendável que você entre em contato com a autoridade local e utilize serviços profissionais para ajudar a descriptografar seus dados. O ransomware é um dos principais tipos de malware que afetam as empresas, pois costuma ser muito prejudicial para a rede corporativa. 

Trojans Horse 

Esse tipo de malware visa invadir um sistema com sucesso, evitar a detecção e deixar uma porta dos fundos no local para dar ao invasor um caminho de volta para o sistema em uma data posterior. Os cavalos de Tróia (na tradução do seu nome para o português) dão aos cibercriminosos a chance de coletar informações sobre o sistema interno ou a rede e criar ataques mais profundos especificamente adaptados à rede comprometida. 

Rootkits e backdoors 

Os rootkits e backdoors basicamente capacitam os hackers a acessar e controlar remotamente um sistema sem serem detectados. Os rootkits permitem que os invasores obtenham acesso total “root” a um sistema onde podem então iniciar novos comandos, começar a exfiltrar dados ou modificar logs e programas para evitar a detecção 

Backdoors são o termo geral para quaisquer rotas deixadas por hackers ou insiders que permitem o acesso remoto ou fora do acesso autenticado a um sistema interno. 

Uma vez que os invasores podem estabelecer uma backdoor sólida e ganhar uma presença em uma rede, pode ser difícil remover o acesso e determinar de forma forense quais dados firam acessados. Sem o monitoramento adequado com antecedência, pode não ser possível. 

Trojans de acesso remoto (RATs) 

RATs ou ferramentas de administração remota são uma forma de técnica de backdoor que os hackers usam para obter e manter o acesso remoto em um sistema, um processo que ainda prevalece hoje. Para que um RAT opere conforme o esperado, ele precisa ter um agente ou arquivo do lado do servidor que mantenha a persistência na rede, permitindo que a parte externa mantenha o controle e o acesso. Esses arquivos costumam ser disfarçados para parecerem arquivos padrão para evitar a detecção. 

Como derrotar e prevenir malware com Varonis 

As soluções da Varonis estabelecem uma linha de base em sua rede e ajuda a categorizar os eventos em duas categorias principais; atividade humana versus atividade da máquina. O DatAlert ajuda a trazer alertas de detecção e prevenção eficazes para a ponta dos dedos com o mínimo de falsos positivos. 

Ao monitorar e criar uma linha de base do que um usuário típico em seu ambiente faz de maneira consistente, a Varonis é então capaz de determinar rapidamente se a atividade suspeita é comum ou não. A Varonis utiliza modelos de ameaças padrão para ajudar a estabelecer essa linha de base. Cada modelo de ameaça é considerado uma violação ou, simplesmente, um alerta de que um ataque mais significativo pode estar em andamento. 

Práticas de remediação 

Quando se trata de práticas de remediação, há alguns temas abrangentes que sempre devem desempenhar um papel. Não importa a situação, você deve sempre manter a comunicação e a vigilância como principais prioridades, assim como lembrar e usar seus protocolos predeterminados. 

Comunicação: É vital para o sucesso de empresas de qualquer tamanho ter uma comunicação clara. Mesmo fora de uma crise, é essencial para implementar controles de segurança em todos os níveis. Sem um canal claro de comunicação, você pode se deparar com complicações que afetam outros departamentos ou áreas de sua empresa (por exemplo, a configuração de controles restritivos). 

Fique atento: não importa a solução ou processo que você tenha em uso para detectar e responder às vulnerabilidades, é crucial que você o faça imediatamente. Lidar com os alertas logo no início ajuda a evitar mais danos. 

Planejamento: por último, mas não menos importante, certifique-se de que haja um plano de resposta em vigor para quando ocorrer um incidente. Este plano de ação de resposta deve ser praticado algumas vezes por ano. Ter todas as partes envolvidas nessas sessões irá aliviar a tensão e os erros quando a coisa real acontecer. 

Seja você um profissional de segurança ou alguém responsável pela segurança de sua empresa. As ameaças mencionadas acima são reais e ocorrem no dia-a-dia de empresas de todos os portes. Você deve compreender seus dados e suas opções para protegê-los. 

Confira testes gratuitos e tutoriais de como ferramentas como DatAlert e DatAdvantage podem lhe dar a tranquilidade de saber que sua segurança está sendo cuidada.