{"id":19626,"date":"2022-06-09T20:51:31","date_gmt":"2022-06-09T23:51:31","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19626"},"modified":"2022-06-09T20:51:33","modified_gmt":"2022-06-09T23:51:33","slug":"ameacas-avancadas-dependem-de-sistemas-sem-patches","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/ameacas-avancadas-dependem-de-sistemas-sem-patches\/","title":{"rendered":"Amea\u00e7as avan\u00e7adas dependem de sistemas sem patches"},"content":{"rendered":"\n

At\u00e9 as amea\u00e7as mais avan\u00e7adas dependem de sistemas sem patches<\/span><\/h1>\n

\u00a0<\/p>\n

Os cibercriminosos comuns s\u00e3o uma amea\u00e7a, n\u00e3o h\u00e1 d\u00favida sobre isso, de hackers de quarto a grupos de ransomware, os cibercriminosos est\u00e3o causando muitos danos. <\/span>Mas tanto as ferramentas usadas quanto a amea\u00e7a representada pelos cibercriminosos comuns s\u00e3o insignificantes em compara\u00e7\u00e3o com as ferramentas usadas por grupos mais profissionais, como os famosos grupos de hackers e grupos patrocinados pelo Estado.<\/span><\/p>\n

\u00a0<\/p>\n

Na verdade, essas ferramentas podem ser quase imposs\u00edveis de detectar e de se proteger. BVP47 \u00e9 um caso em quest\u00e3o. Neste artigo, descreveremos como esse poderoso malware patrocinado pelo estado circula silenciosamente h\u00e1 anos, como ele se disfar\u00e7a de maneira t\u00e3o inteligente e explicamos o que isso significa para a seguran\u00e7a cibern\u00e9tica na empresa.<\/span><\/p>\n

\u00a0<\/p>\n

Hist\u00f3ria de fundo por tr\u00e1s do BVP47<\/strong><\/h2>\n

\u00a0<\/p>\n

\u00c9 uma longa hist\u00f3ria, digna de um romance de espionagem. No in\u00edcio deste ano, um grupo chin\u00eas de pesquisa de seguran\u00e7a cibern\u00e9tica chamado Pangu Lab publicou um relat\u00f3rio detalhado de 56 p\u00e1ginas cobrindo um peda\u00e7o de c\u00f3digo malicioso que o grupo de pesquisa decidiu chamar de BVP47 (porque BVP era a string mais comum no c\u00f3digo e 47 dado que o algoritmo de criptografia usa o valor num\u00e9rico 0x47).<\/span><\/p>\n

\u00a0<\/p>\n

O relat\u00f3rio \u00e9 realmente aprofundado com uma explica\u00e7\u00e3o t\u00e9cnica completa, incluindo um mergulho profundo no c\u00f3digo do malware. Ele revela que o Pangu Lab originalmente encontrou o c\u00f3digo durante uma investiga\u00e7\u00e3o de 2013 sobre o estado da seguran\u00e7a do computador em uma organiza\u00e7\u00e3o que provavelmente era um departamento do governo chin\u00eas, mas por que o grupo esperou at\u00e9 agora para publicar o relat\u00f3rio n\u00e3o \u00e9 declarado.<\/span><\/p>\n

\u00a0<\/p>\n

Como fator chave, o relat\u00f3rio vincula o BVP47 ao “Equation Group”, que por sua vez est\u00e1 vinculado \u00e0 Unidade de Opera\u00e7\u00f5es de Acesso Adaptado da Ag\u00eancia de Seguran\u00e7a Nacional dos Estados Unidos (NSA). O Pangu Lab chegou a essa conclus\u00e3o porque encontrou uma chave privada que poderia acionar o BVP47 dentro de um conjunto de arquivos publicados pelo grupo The Shadow Brokers (TSB). A TSB atribuiu esse dump de arquivo ao Equation Group, o que nos leva de volta \u00e0 NSA. Voc\u00ea simplesmente n\u00e3o conseguia inventar, e \u00e9 uma hist\u00f3ria digna de um filme.<\/span><\/p>\n

\u00a0<\/p>\n

Como o BVP47 funciona na pr\u00e1tica?<\/span><\/strong><\/h2>\n

\u00a0<\/p>\n

Mas o suficiente sobre o elemento espi\u00e3o vs espi\u00e3o da hist\u00f3ria. O que o BVP47 significa para a seguran\u00e7a cibern\u00e9tica? Em ess\u00eancia, ele funciona como uma porta traseira muito inteligente e muito bem escondida no sistema de rede de destino, o que permite que a parte que o opera obtenha acesso n\u00e3o autorizado aos dados e fa\u00e7a isso sem ser detectado.<\/span><\/p>\n

\u00a0<\/p>\n

A ferramenta tem alguns truques muito sofisticados na manga, em parte contando com o comportamento de explora\u00e7\u00e3o que a maioria dos administradores de sistema n\u00e3o procuraria, simplesmente porque ningu\u00e9m pensou que qualquer ferramenta de tecnologia se comportaria assim. Ele inicia seu caminho infeccioso configurando um canal de comunica\u00e7\u00e3o secreto em um lugar que ningu\u00e9m pensaria em olhar: pacotes TCP SYN.<\/span><\/p>\n

\u00a0<\/p>\n

Em uma virada particularmente insidiosa, o BVP47 tem a capacidade de escutar na mesma porta de rede em uso por outros servi\u00e7os, o que \u00e9 algo muito dif\u00edcil de fazer. Em outras palavras, pode ser extremamente dif\u00edcil de detectar porque \u00e9 dif\u00edcil diferenciar entre um servi\u00e7o padr\u00e3o usando uma porta e o BVP47 usando essa porta.<\/span><\/p>\n

\u00a0<\/p>\n

A dificuldade em se defender contra esta linha de ataque<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Em mais uma reviravolta, a ferramenta testa regularmente o ambiente em que \u00e9 executada e apaga seus rastros ao longo do caminho, ocultando seus pr\u00f3prios processos e atividades de rede para garantir que n\u00e3o haja vest\u00edgios para encontrar.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, o BVP47 usa v\u00e1rios m\u00e9todos de criptografia em v\u00e1rias camadas de criptografia para comunica\u00e7\u00e3o e exfiltra\u00e7\u00e3o de dados. \u00c9 t\u00edpico das ferramentas de primeira linha usadas por grupos avan\u00e7ados de amea\u00e7as persistentes, incluindo os grupos patrocinados pelo estado.<\/span><\/p>\n

\u00a0<\/p>\n

Tomado em conjunto, equivale a um comportamento incrivelmente sofisticado que pode iludir at\u00e9 as defesas de seguran\u00e7a cibern\u00e9tica mais astutas. A combina\u00e7\u00e3o mais capaz de firewalls, prote\u00e7\u00e3o avan\u00e7ada contra amea\u00e7as e similares ainda pode falhar em parar ferramentas como o BVP47. Esses backdoors s\u00e3o t\u00e3o poderosos por causa dos recursos que os atores estatais endinheirados podem usar para desenvolv\u00ea-los.<\/span><\/p>\n

\u00a0<\/p>\n

Como sempre, a boa pr\u00e1tica \u00e9 sua melhor aposta<\/strong><\/h2>\n

\u00a0<\/p>\n

Isso n\u00e3o significa, \u00e9 claro, que as equipes de seguran\u00e7a cibern\u00e9tica devam simplesmente desistir. H\u00e1 uma s\u00e9rie de atividades que podem tornar, no m\u00ednimo, mais dif\u00edcil para um ator implantar uma ferramenta como o BVP47. Vale a pena realizar atividades de conscientiza\u00e7\u00e3o e detec\u00e7\u00e3o, pois o monitoramento rigoroso ainda pode detectar um intruso remoto. Da mesma forma, os honeypots podem atrair invasores para um alvo inofensivo, onde eles podem se revelar.<\/span><\/p>\n

\u00a0<\/p>\n

No entanto, h\u00e1 uma abordagem simples de primeiros princ\u00edpios que oferece uma enorme quantidade de prote\u00e7\u00e3o. At\u00e9 mesmo ferramentas sofisticadas como o BVP47 dependem de software sem patches para se firmar. A corre\u00e7\u00e3o consistente do sistema operacional e dos aplicativos dos quais voc\u00ea depende \u00e9, portanto, seu primeiro porto de escala.<\/span><\/p>\n

\u00a0<\/p>\n

O ato de aplicar um patch por si s\u00f3 n\u00e3o \u00e9 a etapa mais desafiadora a ser tomada, mas como sabemos, corrigir rapidamente todas as vezes \u00e9 algo com o qual a maioria das organiza\u00e7\u00f5es luta.<\/span><\/p>\n

\u00a0<\/p>\n

E claro, \u00e9 exatamente nisso que os agentes de amea\u00e7as, como a equipe por tr\u00e1s do BVP47 confiam, pois mentem e esperam por seu alvo, que inevitavelmente teria recursos demais para corrigir consistentemente, eventualmente perdendo um patch cr\u00edtico.<\/span><\/p>\n

\u00a0<\/p>\n

O que as equipes pressionadas podem fazer? <\/span>A aplica\u00e7\u00e3o de patches ao vivo e automatizada<\/span> \u00e9 uma solu\u00e7\u00e3o, pois elimina a necessidade de corrigir manualmente e elimina as reinicializa\u00e7\u00f5es demoradas e o tempo de inatividade associado. Onde a aplica\u00e7\u00e3o de patches ao vivo n\u00e3o for poss\u00edvel, a verifica\u00e7\u00e3o de vulnerabilidades pode ser usada para destacar os patches mais cr\u00edticos.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

N\u00e3o o primeiro e n\u00e3o o \u00faltimo<\/strong><\/h2>\n

\u00a0<\/p>\n

Relat\u00f3rios detalhados como esse s\u00e3o importantes para nos ajudar a ficar atentos a amea\u00e7as cr\u00edticas. Mas o BVP47 est\u00e1 em jogo h\u00e1 anos e anos antes deste relat\u00f3rio p\u00fablico, e in\u00fameros sistemas foram atacados nesse meio tempo, incluindo alvos de alto perfil em todo o mundo.<\/span><\/p>\n

\u00a0<\/p>\n

N\u00e3o sabemos quantas ferramentas semelhantes existem, tudo o que sabemos \u00e9 o que precisamos fazer para manter uma postura de <\/span>seguran\u00e7a cibern\u00e9tica<\/span> consistentemente forte : monitorar, distrair e corrigir. Mesmo que as equipes n\u00e3o consigam mitigar todas as amea\u00e7as, elas podem pelo menos montar uma defesa eficaz, dificultando ao m\u00e1ximo a opera\u00e7\u00e3o de malware com sucesso.<\/span><\/p>\n

\u00a0<\/p>\n

Este arrtigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/even-most-advanced-threats-rely-on.html\u00a0<\/a> (Autor: The Hacker News<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

At\u00e9 as amea\u00e7as mais avan\u00e7adas dependem de sistemas sem patches \u00a0 Os cibercriminosos comuns s\u00e3o uma amea\u00e7a, n\u00e3o h\u00e1 d\u00favida sobre isso, de hackers de quarto a grupos de ransomware, os cibercriminosos est\u00e3o causando muitos danos. Mas tanto as ferramentas usadas quanto a amea\u00e7a representada pelos cibercriminosos comuns s\u00e3o insignificantes em compara\u00e7\u00e3o com as ferramentas […]<\/p>\n","protected":false},"author":2,"featured_media":19627,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19626","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19626","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19626"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19626\/revisions"}],"predecessor-version":[{"id":19629,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19626\/revisions\/19629"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19627"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19626"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19626"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19626"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}