Cloud Email (DMDS)
CDN

Estratégias para combater Ransomware e Spear-phishing

O papel do e-mail
O e-mail é o ponto mais fraco que os cyber-atacantes escolhem para infiltrar as organizações, já que contam com uma série de táticas para enganar o usuário, e o e-mail é o veículo mais usado pelas corporações e indivíduos para todo tipo de comunicação.

 
Através do e-mail, usuários podem baixar anexos maliciosos ou clicar em links que levam a sites que infectam a sua estação de trabalho.

 
Os dois principais vetores de ataque por e-mail, o ransomware e o spear-phishing, segundo uma pesquisa do SANS Institute, dependem de que o usuário clique em “algo” para infectar a estação de trabalho, ou para que o usuário releve informação confidencial, realize uma transferência bancária ou pagamento.

 
 
Problemas para os administradores de rede
Os administradores de e-mail corporativo fazem uma série de perguntas para manter seus usuários a salvo:

 
– Tenho uma solução integrada de segurança de e-mail contratada (SEG Secure e-mail gateway) que proteja os usuários de malware, ransomware, spear-phishing, impersonificação, etc.?

 
– Como posso treinar meus usuários para que não sejam enganados por aqueles e-mails, como o spear-phishing, que atravessam a proteção perimetral?

 
Em ambos casos, não só é necessário contar com uma estratégia de prevenção, mas também com uma preparação para os casos em que os incidentes ocorram, ou seja, um plano de contingência ou IR (Incident Report).

 
 
Macros no Word
Recentemente, uma das ameaças que mais tem se espalhado, devido à anexos infectados, é o ransomware ou criptografadores. Estes podem ser arquivos Word com macros que contêm malware que criptografa o conteúdo do disco rígido ou de arquivos acessíveis pela rede para, em seguida, pedir resgate na forma de bitcoins.

 
É importante que a configuração “Vista Protegida” localizada no “Centro de Confiança” do Microsoft Office esteja habilitada no modo padrão, o que impede o programa de executar macros.

 
 
Exploits
Los ransomware costumam entrar na estação de trabalho depois que o usuário clica em um link que o leva a visitar um site que hospeda um kit de exploits, como o Angler, o que é chamado de um ataque “drive-by”, que checa o navegador por vulnerabilidades. Em geral, o kit de exploits pesquisa em versões antigas do Adobe Flash, Internet Explorer ou Java Runtime.

 
Um dos pontos de entrada é o e-mail, devido a que os cyber-atacantes realizam uma campanha de spam e de “malvertising” (malware como parte de publicidade online), e fazem com que muitos usuários cliquem e visitem sites infectados, infectando assim suas estações de trabalho com o kit de exploits Angler que espalha malware e ransomware.

 
Estes sites ou landing pages que suportam Angler normalmente são subdomínios aleatórios criados, destruídos e redirecionados em poucas horas, e, portanto, muito difíceis de serem identificadas como landing pages infectados. Isto é possível a partir de contas hackeadas onde se registradam ou administram domínios, como por exemplo, GoDaddy (DNS Shadowing).

 
 
Não só Windows PCs
Estes downloads maliciosos podem afetar não só PCs com Windows mas também Mac, Android, e até SmarTVs. O usuário recebe uma mensagem na tela que avisa ao usuário que ele deve pagar um resgate para receber um procedimento e um código para recuperar seus arquivos.

 
Porém, o alvo preferido são os PCs ou laptops com Windows, dada sua grande proliferação e o seu uso extenso por corporações.

 
 
Spear-phishing
A outra ameaça que tem causado estragos é o spear-phishing que tem como alvo pessoas determinadas dentro de uma organização que tenham acesso a senhas bancárias ou informação de recursos humanos.

 
Este ataque, que não se da em grande escala y por tanto geralmente não é detectado pelos SEGs, se baseia na falsificação de identidade no campo de remitente de um e-mail para parecer que o e-mail vem de dentro da organização.

 
Geralmente, esses e-mails contém uma ordem para realizar uma transferência bancária ou para proporcionar uma lista com dados sobre os funcionários.

 
 
Treinamento para usuários
Para proteger-se de ransomware, a primeira medida é treinar os usuários na verificação extensa de e-mails e websites onde downloads ou links maliciosos possam existir, dado que esses e-mails ou links convencem ou persuadem o usuário a cometer um descuido e fazer um clique indevido.

 
O foco aqui deve ser posto não somente nas táticas de “social engineering” (Engenharia Social) que fazem o usuário “morder a isca”, mas também em acostumar o usuário a ler e detectar domínios mal escritos nos endereços de e-mail e URLs que são maliciosamente escolhidos com letras trocadas, adicionadas, ou faltando para fazê-los passar por um domínio conhecido.

 
 
Backups da estação de trabalho
Também se deve conscientizar os usuários de fazer backup da sua estação de trabalho pessoal, considerando que os administradores de rede só fazem backup dos discos de redes compartilhados.

 
Esses backups feitos pelos usuários dos seus dados pessoais, uma vez realizados, devem ser postos em modo off-line, por exemplo em pen drives ou discos externos, que devem ser desconectados despois da operação.

 
Os usuários também não devem confiar na geração de shadow volumes a través do vssadmin.exe no Windows, já que ransomwares como CryptoLocker se asseguram de usar esse comando precisamente para deletar todos osShadow Volume Copies” antes de encriptar arquivos.

 
 
Licenças e patches
Os administradores de rede corporativa devem encarregar-se que os usuários finais (end users) tenham licenças de antivírus nas suas estações de trabalho, assim como as últimas atualizações de segurança do sistema operacional e os aplicativos. Esses dois últimos aspectos devem constituir uma política chamada de “aggressive patching” que consiste em não demorar na aplicação de patches mesmo que isso afete o ritmo de trabalho dos usuários, e em “ir buscar” se aparecem as chamadas vulnerabilidades “zero-day”.

 
Uma boa política consiste em estar subscrito a listas de e-mail sobre segurança, e fazer pesquisas regulares no Google de textos tipo “zero-day code-execution vulnerability in Microsoft Office” para entender melhor e o mais rápido possível.

 
Os malware que infectam PCs (p. ex. keyloggers) e robam credenciais de acesso a programas com Microsoft Outlook são uma fonte perigosa de geração de spear-phishing ao tomar controle da agenda e dos e-mails.

 
 
Backups de rede
Outra das tarefas comuns dos administradores de rede é a de realizar backups regulares e automáticos para que, em caso de encriptação de arquivos e e-mails, exista uma cópia de segurança recente que diminua a eficácia do ataque. É importante que existam cópias dos backups que permanecem off-line, ou seja, desconectados completamente da rede.

 
 
Autorizações e privilégios
Outra das tarefas mais complexas de prevenção, que cai sobre os administradores de rede, é a não conceder autorizações de modo de leitura e escrita (read/write) a todos os usuários por igual em todos os discos compartilhados. Ao invés disso, eles diferenciam arquivos e anuários no modo somente-leitura ou de aceso restrito que permitam deixar o conteúdo fora do alcance dos malwares em geral.

 
O uso do Group Policy Objects para impedir a execução de programas nos diretórios %APPDATA% o %TEMP% deve ser tomado com precaução para não bloquear instalações de programas legítimos. Embora essas restrições bloqueiem a execução de CryptoLocker e outros ransomware, a solução é aplicável somente em entornos onde o usuário não pode fazer modificações na sua estação de trabalho e tem tudo pre-instalado.

 
Sites de ajuda
No caso de ser vítima de um ataque de ransomware onde resgate é exigido, se recomenda visitar o site do projeto No more ransom https://www.nomoreransom.org/about-the-project.html e tentar identificar uma solução que evite pagar o resgate.

 
Atualmente, e dado que os ransomware podem ser comprados na Darnket pelo atacante inexperiente em forma de serviço (Malware as a Service), existe uma certa probabilidade que se trate de um ataque cujos antídotos estejam publicados nessa página.

 
 
Estratégia integrada para e-mail
Planisys Avascloud como Secure E-mail Gateway oferece uma ampla proteção contra malwares e ransomwares em geral, não só bloqueando arquivos executáveis como anexo – identificando conteúdo malicioso em anexos e URLs –, mas também identificando IPs atacantes em tempo real sobre a própria infraestrutura de rede e nuvem de Planisys.

 
Para proteger-se do spear-phishing, que é a forma de engano mais temida pelas áreas financeiras e de RH das corporações, e tendo em mente que são mensagens dirigidas a determinadas pessoas, é necessária uma solução integrada de E-mail Security Monitoring como a oferecida pela Planisys Avascloud.

 
Esta solução é desenhada, além de outras coisas, para impedir que e-mails do mesmo domínio, mas originados em IPs externas maliciosas, cheguem à empresa. Para isso, se aplica Avascloud ao tráfico de entrada e saída, se faz integração com Microsoft ActiveDirectory ou Zimbra, e se controlam as configurações de DNS de maneira estrita.

 
 
Proteção das contas de e-mail
Para aqueles casos onde se permite o acesso via IMAP ou POP3 às contas de e-mail pela da Internet através de laptops e celulares sem VPN, deve-se contar com uma proteção que impeça o hackeamento dos códigos e do uso das contas de e-mail para gerar spear-phishing ou propagar malware.

 
A Planisys Avascloud fornece proteção perimetral que detecta provas de possíveis senhas para crackear contas, além de identificar os IPs maliciosos de onde se está realizando a tentativa, bloqueando-os. Também permite forçar IMAP e POP3 encriptados com SSL/TLS para evitar que as senhas e os textos dos e-mails sejam lidos por terceiros (p. ex. nas redes Wifi).

 
Os administradores de e-mail corporativo devem também assegurar-se, com as ferramentas adequadas, que os usuários não estejam usando senhas fáceis de adivinhar. Para isso, os administradores podem ter que recorrer a ferramentas de Pentesting, como https://github.com/ins1gn1a/pwdlyser, ou uma pesquisa no Google de “password analyzer” ou diretamente contratar Pentesting externo.

 
 
Backscattering
Uma das fontes mais comuns de geração de spam e propagação de malware se dá quando os cyber-atacantes usam um MS-Exchange como amplificador de bounce, ou NDRs (Non-Delivery-Reports) com cabeçalhos denominados como Reply-To ou Error-To que serão os destinatários dos bounces que carregam malware.

 
Estes ataques, por sua vez, podem ser de DDoS (Distributed Denial of Service) ao realizar ataques de dicionário (provas de combinação de letras do nome do usuário) direto sobre o MS=Exchange e obrigá-lo a gerar quantidades enormes de bounces.

 
A proteção perimetral da Planysys Avascloud, ao integrar-se com o ActiveDirectory do cliente, impede a geração de ataques de backscattering e facilita a detecção e bloqueio em tempo real dos IPs atacantes.

 
 
Propagação interna de malwares
No caso de algum PC interno ter sido infectado, p. ex. por ter acessado um website malicioso, e o malware comece a tentar propagar-se via e-mail de saída, é importante contar com uma solução que controle a quantidade de e-mails enviados por remetente, além de aplicar antivírus e antispam de saída, assegurando assim, que o remetente seja válido para aqueles casos em que o bot gera remitentes random.

 
Planisys Avascloud oferece essa proteção contra Outbreaks como parte da sua solução integrada, assim como monitoramento em tempo real para alertar aos usuários e administradores quando os remitentes estão sendo usados para propagar spam, ou para descartar e-mails de usuários inexistentes em MS-Exchange ou Zimbra.

 
 
E-mails em massa
Uma prática corporativa comum que dificulta a estratégia da segurança de e-mail é a de realizar envios em massa de e-mail marketing e inclusive e-mail transacional pelo o MS-Exchange. Estes podem ser confundidos com Outbreaks, além disso esses e-mails devem ter outro conteúdo que permita realizar métricas de abertura, conversas, etc.

 
O outro problema de misturar e-mail corporativo com e-mail marketing e e-mail transacional é a deliverability ou a possibilidade que esses e-mails têm, de caírem em lista negra de IPs de saída o que afeta a reputação do domínio dos IPs em geral e podem também afetar o envio de e-mails individuais.

 
Para solucionar esse problema se deve usar um produto de e-mail marketing e transacional especializado que permita realizar o envio por fora do MS-Exchange próprio e usar APIs para os envios transacionais como comprovantes, avisos e faturas.

 
A Planisys conta com um produto de e-mail marketing e transacional chamado DMDS (Data Mining and Deliverery Services) para mais informações, visitar http://planisys.com/dmds.

 
 
Por último, o DNS
Uma parte fundamental desta estratégia de segurança de e-mail é a configuração e monitoramento dos domínios no DNS que é a base sobre qual se assenta todo o funcionamento do e-mail e da Internet em geral.

 
Para maiores informações, acesse https://avas.planisys.net.

Usuario Dev

This entry has 0 replies

Comments are closed.