Hackers estão se aproveitando de softwares legítimos. Diversas apresentações da conferência Black Hat 2017 demonstraram que as soluções empresariais da Microsoft podem ser bem úteis nas mãos de pessoas mal-intencionadas.
Empresas que usam clouds híbridas precisam adotar diferentes considerações de segurança das que usam sistemas de nuvem tradicionais. Contudo, na prática, as atualizações não são feitas rápido o suficiente, e o resultado são inúmeros pontos cegos que hackers podem explorar, como demonstrado em julho na conferência hacker a Black Hat 2017. Estudos mostraram o quanto a infraestrutura de negócios pode de fato ajudar cibercriminosos a se manter invisíveis para a maioria das soluções de segurança.
Assim que os hackers se infiltram na rede corporativa, sua maior dificuldade é encobrir a troca de dados entre máquinas infectadas. Essencialmente, seu objetivo é impelir máquinas infectadas a receberem comandos e transmitir informações roubadas sem alertar sistemas de detecção de invasores (sigla em inglês IDS) e sistemas de prevenção de perda de dados (DLP). Favorecendo esses ataques, os serviços da Microsoft às vezes não funcionam em zonas de restrição de segurança, de modo que os dados transmitidos por esses eles não são verificados profundamente.
Estudo desenvolvido por Ty Miller e Paul Kalinin, da Threat Intelligence, mostra como bots podem se comunicar por meio de serviços de diretórios ativos (AD em inglês) em uma rede corporativa. Pois todos os clientes – incluindo dispositivos móveis – e a maioria dos servidores, tem de acessar o AD para autenticação, e seus servidores são o “ponto central de comunicação” -bem conveniente para gerenciar uma botnet. Além disso, os pesquisadores dizem que a integração do Azure AD com servidores de AD garantem acesso direto do lado de fora.
Como o AD pode auxiliar uma botnet a extrair dados? O conceito é bem simples. Por definição, cada cliente na rede pode atualizar suas informações – por exemplo, número do usuário e endereço de e-mail – no servidor AD. Os campos passíveis de escrita incluem alguns de alta capacidade que podem armazenar até 1 megabyte de dados. Outros usuários de AD podem ler toda essa informação, criando assim um canal de comunicação.
Pesquisadores recomendam monitoramento periódico de campos de AD por mudanças pouco usuais e ações que desabilitem a capacidade dos usuários de escrever na maioria dos campos.
Estudo realizado por Craig Dod, da Juniper Networks, esclarece outra técnica para extração de dados encobertos, utilizando o Office 365 services. A técnica mais popular emprega o OneDrive para Business, que quase 80% dos clientes usam. Hackers gostam disso porque o pessoal de TI normalmente confia nos servers da Microsoft, fornecendo conexões de alta velocidade e permitindo ignorar criptografia para uploads. Como resultado, a tarefa de um cibercriminoso é reduzida a conectar-se ao disco do OneDrive em um computador alvo por meio de credenciais de usuário fora da empresa. Nesse caso, copiar os dados para o OneDrive não se enquadra em evasão do perímetro, de modo que sistemas de segurança assumem que o disco conectado é de natureza corporativa. Esse disco pode ser conectado de forma invisível, diminuindo as chances de detecção. Por isso, o responsável pelo ataque precisa de duas outras ferramentas da Microsoft para isso, o Internet Explorer e o PowerShell. Como resultado, um bot pode copiar livremente dados para “seu próprio” disco, e o autor pode simplesmente baixá-los do OneDrive.
De acordo com Dods, para se proteger contra esse tipo de ataque, usuários precisam restringir o acesso para permitir apenas subdomínios do Office 365 que pertence à empresa. Executar uma inspeção do tráfego criptografado e analisar o comportamento dos conflitos do PowerShell em sandbox também é recomendado.
Leve em conta que essas ameaças são apenas hipotéticas. Para usar essas tecnologias, cibercriminosos entrar na infraestrutura da vítima, de alguma forma. Feito isso, sua atividade será indetectável não apenas para a maioria das soluções de segurança atualizadas, mas para observadores despreparados também. É por isso que faz sentido analisar a infraestrutura de TI em busca de vulnerabilidades periodicamente. Nós, por exemplos, temos diversos serviços especializados em análises do que ocorre dentro da infraestrutura da perspectiva da segurança da informação – e, se necessário vasculhar o sistema por intrusões.