Malware

Cada vez mais os problemas relacionados com malware afetam tanto particulares como empresas. Há alguns anos atrás, os tipos mais comuns de malware eram os vírus e os worms, para os quais existiam ferramentas baseadas em assinaturas (antivírus) com uma boa eficácia. No entanto, esse cenário tem vindo a alterar-se, sendo cada vez mais comuns outros tipos de malware: no passado recente tivemos eventos como a operação Aurora (http://en.wikipedia.org/wiki/Operation_Aurora), Zeus 
(http://en.wikipedia.org/wiki/Zeus_(Trojan_horse), e outros mais ou menos significativos e com maior ou menor exposição. Em cada um destes casos, o modus operandis era distinto pelo que o combate não pode passar por ações individualizadas de prevenção de uma determinada vulnerabilidade (explorada por uma dessas instâncias), mas por uma ação mais abrangente e estruturada com o intuito de proteger a informação mais valiosa das empresas (tipicamente o alvo destes ataques).
A dificuldade está na implementação dessas medidas protetoras (que podem passar pela implementação de ferramentas ou estratégias) dado que o grau de efetividade contra o malwareavançado (APT – Advanced Persistent Threat) dificilmente é de 100%. Adicionalmente, a adoção massiva e crescente da chamada “social media”, tanto pelas empresas como pelos particulares, torna esta tendência como um canal para a fácil distribuição do malware e de difícil controlo.
Os gráficos seguintes ilustram os principais vetores de entrada do malware:
Blog malware web
Blog malware tre
.
Para os negócios que realizam transações na web, como por exemplo sites de comércio online ou os sites de homebankingmalware como o trojan Zeus, que se posiciona no browser do cliente e intersecta todos os pedidos (MITB – Man-in-the-Browser), são especialmente preocupantes. Neste caso, não podemos confiar em nada que é enviado pelo browser do cliente, nem mesmo com a utilização de cifra SSL, não sendo possível para as aplicações detetar este tipo de ameaças dado que todo o código no cliente (client-side) pode ser manipulado pelo malware. Existem, no entanto, algumas proteções adicionais que podem ser aplicadas para minimizar a sua efetividade:
  • Implementação de dois níveis de autenticação/autorização, recorrendo a um dispositivo distinto do que origina a transação (e assumindo que a probabilidade de infeção simultânea dos dois dispositivos é baixa);
  • Implementação de medidas no lado das aplicações (server-side fraud detection) para determinar comportamentos anómalos, por exemplo, por variação dos montantes típicos ou das operações comuns.
Este tipo de transações é um alvo sempre apetecível para estas ameaças, que variam e assumem diversas formas explorando inúmeras vulnerabilidades. Como referido, uma das variantes explora as vulnerabilidades dos seus clientes (client-side vulnerabilities) que visa não diretamente a organização, mas os seus utilizadores, tirando partidos de sistemas menos protegidos e não tão educados quanto ao risco de determinados comportamentos. Continuam, no entanto, a existir ataques dirigidos às próprias organizações, que recorrem a soluções como o IPS (Intrusion Prevention Systems) ou o WAF (Web Application Firewalls), tipicamente inline, para o controlo e proteção contra essas ameaças. Nalguns casos, o volume de trafego que tem que ser processado por essas ferramentas limita-as na sua análise, pelo que soluções que fazem essa análise em modo offline, podem ser muito mais detalhadas e minuciosas cobrindo assim um espectro maior de ameaças, estando, naturalmente, limitadas na sua capacidade de prevenir o primeiro ataque, mas tendo a capacidade de gerar alertas para estas ameaças. Cabe depois à organização implementar um plano de ação para o tratamento destes alertas e análise do impacto da sua execução.
A Gartner lançou em finais de 2013 um relatório (http://www.gartner.com/newsroom/id/2595015), no qual caracteriza em cinco o tipo de medidas que pode ser implementada por uma organização para garantir a proteção contra este tipo de ameaças:
 
  • Network Traffic Analysis: A análise do trafego de rede permite definir uma baseline, sendo os comportamentos anómalos analisados e classificados. Implica algum tunningda solução para minimizar os falsos positivos resultantes desta abordagem.
  • Network Forensics: Tipicamente garantem a captura total do trafego de rede e permitem reconstruir e simular num ambiente controlado o impacto de determinado trafego observado. Tem requisitos elevados de storage que aumentam com períodos de retenção elevados.
  • Payload Analysis: Associados a técnicas de sandbox local ou na cloud, para deteção do malware. Estas soluções têm uma visibilidade limitada do impacto do malware nosendpoints, sendo muitas vezes complementada com outras técnicas.
  • Endpoint Behaviour Analysis: Baseado na ideia do isolamento da execução das aplicações nos endpoints, ou na monitorização do comportamento e dos recursos acedidos pela sua execução. Implica a instalação de um agente no endpoint com as implicações que essa instalação acarreta na gestão e manutenção desse agente.
  • Endpoint Forensics: Conjunto de ferramentas que garante às equipas de análise de incidentes de segurança (incident response teams), a automatização do processo de resposta a incidentes.
Blog malware flux
Cada vez mais este tipo de soluções são um requisito nas mais variadas organizações. A recomendação da gartner é a da aplicação conjunta de pelo menos dois tipos de medidas das acima mencionadas, complementando as vantagens para cada um dos segmentos (linhas) com diferentes horizontes temporais (p.ex. colmatar as dificuldades de uma análise do payload com uma análise forense dos endpoints – tipo 3 e tipo 5). Como referido, a estratégia não deverá ser contra uma determinada ameaça ou variante, mas de uma forma global contra este tipo de ameaças através de um plano de ação bem definido, que passa não apenas pela implementação de políticas ou ferramentas por forma a criar ambientes mais seguros e menos suscetíveis às várias ameaças, mas dos próprios utilizadores que muitas vezes são o elo mais fraco desta cadeia.
Autor: Rui Branco @ SysValue

Bibligrafia:

http://tinyurl.com/qe562at

Sources: November 2013 Osterman Research Survey on Email, Web and Social Mdeia Security; 2013 Trustwave Global Security Report; The Global Malware Problem: Complanency Can Be Costl, Osterman Research.