COMO DETECTAR E MITIGAR TÉCNICAS AVANÇADAS DE EVASÃO DE MALWARE

COMO DETECTAR E MITIGAR TÉCNICAS AVANÇADAS DE EVASÃO DE MALWARE Nick Lewis Mesmo que existam objetivos a explorar e dinheiro a ganhar, o malware seguirá avançando. Para seguir tendo relevância e recebendo, os autores de malware adotarão técnicas de evasão avançadas e incluirão novas características para satisfazer as petições de seus clientes, para que os ataques usando malware possam ser mais eficazes e rentáveis. Há muitos casos de malware cada vez mais sofisticado acontecendo nos últimos meses, incluindo o Zeus, passando de 32 bits a 64 bits e mais o avanço do malware iBanking, com dispositivos Android como alvo. Além das novas características de malware, há uma idéia relativamente nova em torno de “viver da terra”, onde os atacantes utilizam ferramentas incorporadas ou legítimas para evitar que seus ataques sejam detectados por software antimalware. O malware Poweliks é o mais recente exemplo disso. Neste guia, vou discutir os avanços mais recentes de malware e os controles necessários na empresa para detectá-los e controlá-los.

TROJ_POWELIKS.A — O Poweliks é um malware sem arquivo criado para descarregar outros exemplares de malware que controlarão o sistema comprometido. O Poweliks requer um vetor de infecção inicial separado para comprometer o sistema local e instalar o malware, o qual, segundo informado, é um arquivo de Word malicioso. Depois da infecção inicial, o malware se instala e se armazena no registro como uma biblioteca de vínculos dinâmicos (DLL) codificada que se extrai e se injeta nos processos dllhost.exe legítimos que rodam em um sistema, ou que logo serão executados.

Embora armazenar uma DLL no registro não seja um método comum de instalação de malware num terminal, faz com que seja mais difícil detectar o malware, porque nem todas as ferramentas antimalware vasculham o registro. Sem dúvidas, para ferramentas que varrem o registro, encontrar uma chave de registro com uma quantidade significativa de dados seria fator suficiente pelo qual emitir um alerta. O malware Poweliks também executa comandos PowerShell para completar o ataque. Os comandos PowerShell poderiam ter sido utilizados para evitar a detecção usando ferramentas legítimas, já que o PowerShell está instalado na maioria dos sistemas e tem as funcionalidades avançadas para interagir com o sistema operacional que são necessárias para completar o ataque.

Outros malware também seguem avançando para permanecer sendo rent- áveis para os criadores de malware. O antigo malware Zeus continua incorporando novas funções; a funcionalidade agregada reportada mais recentemente nele foi um ataque de engenharia social melhorada onde o malware imitava uma mensagem de advertência do navegador para conseguir que o usuário instalasse o software malicioso.

Do mesmo modo, o iBanking.Android adicionou uma nova funcionalidade que utiliza software de segurança falso para conseguir que o usuário instale o software malicioso.

Baixe Paper http://www.bitpipe.com.br/data/demandEngage.action?resId=1438813545_478