Opinion
O Aikido Wiper manipula software antivírus para eliminar ficheiros mesmo sem permissões privilegiadas: como se defender?
Por Nuno Antunes Ferreira, Diretor da Semperis para Portugal . 09/03/2023
Aikido Wiper é a designação do novo malware que deixou o mundo da segurança informática num alvoroço: a sua descoberta pelo investigador da SafeBreach, Or Yair, revelou que os cibercriminosos podem manipular antivírus e as suas ferramentas de deteção e resposta de endpoint (EDR) para lançar um ataque wiper capaz de apagar ficheiros do sistema, destruindo eficazmente os dados e tornando os sistemas inacessíveis. Que lições devem as organizações tirar desta descoberta? Como se podem proteger do Aikido Wiper e de outras ameaças semelhantes? As tentativas de contornar as ferramentas de EDR que visam iludi-las para permitir que um atacante penetre nas suas defesas, não são uma nova estratégia de coerção. E o wiperware também não. Wipers como o Shamoon, CaddyWiper, IsaacWiper e outros, já causaram estragos no passado. O Aikido Wiper distingue-se pela sua capacidade de destruir ficheiros sem utilizar chamadas API explícitas atuando como um utilizador sem privilégios. Independentemente das táticas utilizadas, o Aikido Wiper transmite-nos as mesmas lições que os outros wipers: as ferramentas EDR são um importante instrumento de segurança mas não podem ser utilizadas como única defesa. Os ataques Wiperware tendem a ser mais populares entre Estados-nação ou terroristas cujo objectivo é a destruição e não o lucro. Este tipo de atuação é frequentemente utilizada no âmbito de ataques APT (Advanced Persistent Threat) a infraestruturas críticas, tais como serviços públicos, com a intenção de gerar o caos. Naturalmente, os números de ataques wiperware aumentam em tempos de conflitos geopolíticos. O problema das EDRAs ferramentas EDR, e mesmo as ferramentas de deteção e resposta alargada (XDR), são uma parte determinante na estratégia de ciberdefesa, mas o Aikido Wiper põe em evidência um princípio essencial: a melhor defesa é usar várias camadas de proteção. Não se pode contar com uma única ferramenta de segurança, por muito fiável que seja. Os cibercriminosos estão a tornar-se cada vez mais hábeis a contornar as proteções de EDR e, uma vez infiltrados na sua rede, visam geralmente a sua infraestrutura de identidade. Ao entrar no Active Directory (AD) - o sistema de identidade utilizado atualmente por 90% das empresas - ou no Azure AD, os atacantes podem apropriar-se de recursos ainda mais críticos. Com os sistemas de identidade a serem os alvos principais dos ciberataques - o uso indevido de credenciais é considerado a causa mais comum para a falhas de segurança – o Gartner aponta para a necessidade de adoptar uma "defesa em profundidade" particularmente centrada na identidade. O Aikido Wiper atua num endpoint, sem depender de um sistema de identidade. O novo wiper utiliza os pontos de junção (uma entidade baseada no Sistema de Ficheiros do Windows) para forçar o EDR por cima ou a apagar ficheiros do sistema. Um ataque de wipwerware de maior envergadura pode ter como alvo vários endpoints. Na maioria dos casos, os atacantes não estão interessados no que está nos seus endpoints, mas sim em obter acesso privilegiado aos seus dados e sistemas. Tanto num caso como no outro, nenhuma protecção EDR será capaz de ajudar assim que os atacantes tenham atingido os endpoints. A proteção dos sistemas de identidade no quadro de uma estratégia de defesa multicamadas continua sempre a ser uma prioridade. Manter um backup do AD, seguro e livre de malware, pode fazer toda a diferença quando se trata de recuperar rapidamente um ambiente, independentemente de os sistemas terem sido desativados por malware, desastres naturais ou qualquer outra causa. Como reforçar as suas ciberdefesasÀ semelhança de uma cebola, um sistema de segurança eficaz possui várias camadas de proteção, sendo a EDR a camada exterior e a segurança centrada na identidade a camada interior. As organizações estão a aperceber-se de que, entre estas camadas, a proteção da identidade deve estar no centro da sua estratégia de ciber-resiliência. Então, o que fazer para defender as empresas das novas ameaças? Como o Aikido Wiper explora as capacidades integradas do sistema operativo, cabe aos fornecedores de soluções EDR afetados colmatar as lacunas. Infelizmente, não existe uma varinha mágica para desactivar o comportamento do wiper no Windows. É de esperar que os fornecedores de EDR disponibilizem patches, o que significa que a atualização regular das ferramentas de segurança EDR é essencial. Para além da necessidade de manter atualizadas as ferramentas EDR, o Aikido Wiper demonstra como é importante ter uma defesa em profundidade. Por mais tentador e prático que possa parecer, optar por um único fornecedor para todo o conjunto de ferramentas de segurança pode ter desvantagens significativas. Para além das potenciais preocupações relacionadas com a consolidação, a ciber-resiliência, especialmente quando se trata de sistemas de identidade, requer um certo nível de redundância para evitar pontos únicos de falha (SPOF), que são demasiado comuns no mundo EDR/XDR. Para a Gartner, uma estratégia XDR requer um elevado nível de dependência de um único fornecedor. Especialmente no caso da deteção e gestão de ameaças de sistemas de identidade (ITDR), o Gartner recomenda uma abordagem multivendor, afirmando que "uma abordagem multicamada envolvendo ITDR é a melhor maneira de se preparar para ciberataques... e de preencher as lacunas da ITDR, avaliando a totalidade de vectores de ataque e telemetrias cobertos. Para responder aos requisitos de uma iniciativa ITDR completa, é melhor planear a utilização de um conjunto de ferramentas que se complementam, e inclusive, se sobrepõem umas às outras". Ao avaliar os fornecedores de soluções ITDS, há que ter em mente que a proteção do sistema de identidade é vital. Muitos fornecedores de XDR não são especialistas nesta área, por isso deve-se procurar uma solução ITDR avançada dedicada especificamente a esta tarefa. 1. Planear a recuperaçãoOutra lição do Aikido Wiper: é imperativo fazer backups seguros e testados dos seus principais sistemas de identidade. Um recente inquérito a mais de 50 empresas - centrado nas prioridades ITDR - concluiu que 77% das empresas inquiridas sofreriam um impacto grave ou catastrófico se o Active Directory fosse alvo de um ataque informático. Uma cópia de segurança do AD - separada das cópias de segurança do sistema operativo ou de outros serviços - constitui uma excelente defesa contra as consequências devastadoras de wiperware e outros ataques. Outras opções de backup, tais como snapshots do controlador de domínio (DC), podem levar a problemas de consistência dos dados, perda de dados, e mesmo à reintrodução de malware. Em contraste, uma cópia de segurança AD dedicada pode restaurar o seu ambiente muito mais rapidamente e gerar uma pegada menor do que backups de estado do sistema ou de recuperação bare-metal (BMR). Uma robusta ferramenta de backup AD protege contra a reintrodução de malware e pode, inclusive, ser automatizada para evitar erros humanos, bem como reduzir o tempo de inatividade para apenas alguns minutos. Um plano de recuperação de desastres deve incluir passos específicos para implementar e testar regularmente os backups do sistema de identidade e o processo de recuperação, sem esquecer outras manutenções essenciais. Afinal, o melhor momento para testar o seu plano de recuperação é quando tudo está a correr bem. 2. Monitorizar constantementeA monitorização regular da superfície de ataque do seu sistema de identidade pode ajudá-lo a identificar e corrigir potenciais vulnerabilidades antes que os atacantes possam ganhar terreno. O Aikido Wiper mostrou que a sua estratégia de monitorização não se deve limitar a antivírus, ferramentas EDR e registos de segurança. Quando se trata de proteger contra os ataques informáticos mais prejudiciais, as soluções de Gestão de Informação e Eventos de Segurança (SIEM) e de Orquestração, Automatização e Gestão de Segurança (SOAR) atingem rapidamente os seus limites. À semelhança da sua estratégia de defesa global, obterá os melhores resultados com uma monitorização multicamadas. Para uma segurança ótima centrada na identidade, procure uma solução que ofereça visibilidade em tempo real e conselhos práticos. Existem ferramentas gratuitas que permitem monitorizar indicadores de segurança - nomeadamente indicadores de compromisso (IoC) e de exposição (IoE) - e gerir caminhos de ataque Tier 0 sem gastar um cêntimo. Não receie o wiperOs cibercriminosos estão a criar ameaças cada vez mais sofisticadas e persistentes. Uma estratégia de segurança multicamada com defesa em profundidade - que protege tanto os endpoints como o núcleo da sua identidade - é o seu melhor aliado contra todos os ataques, quer sejam wipers como o Aikido, ransomware ou algo ainda por descobrir. Ao pôr a segurança centrada na identidade na sua lista de prioridades em 2023 terá menos uma coisa com que se preocupar. |