{"id":15884,"date":"2020-08-10T19:58:19","date_gmt":"2020-08-10T22:58:19","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15884"},"modified":"2020-08-10T19:58:19","modified_gmt":"2020-08-10T22:58:19","slug":"hackers-ferramentas-legitimas-ataques","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hackers-ferramentas-legitimas-ataques\/15884\/","title":{"rendered":"Hackers usam ferramentas leg\u00edtimas em ataques bem-sucedidos"},"content":{"rendered":"<p class=\"x_MsoNormal\">Quase um ter\u00e7o (30%) dos ciberataques investigados em 2019 pela equipe global de Resposta a Incidentes da Kaspersky utilizaram ferramentas leg\u00edtimas de administra\u00e7\u00e3o e gerenciamento remoto. Com isso, os hackers se mantiveram escondidos por mais tempo, espionando ou realizando roubo de dados durante 122 dias, em m\u00e9dia.<\/p>\n<p class=\"x_MsoNormal\">Softwares de monitoramento e gerenciamento remoto ajudam as equipes de rede e de TI nas tarefas di\u00e1rias, como a solu\u00e7\u00e3o de problemas e suporte t\u00e9cnico a funcion\u00e1rios. No entanto, essas <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2019\/11\/22\/vnc-vulnerability-research\/\" target=\"_blank\" rel=\"noopener noreferrer\">ferramentas leg\u00edtimas <\/a>tamb\u00e9m podem ser exploradas em ciberataques. Uma vez dentro do sistema, os criminosos usam esses programas nativos para acessar e extrair informa\u00e7\u00f5es sigilosas, sem serem percebidos pelos controles de seguran\u00e7a.<\/p>\n<p class=\"x_MsoNormal\">Nossa <a href=\"https:\/\/securelist.com\/incident-response-analyst-report-2019\/97974\/\" target=\"_blank\" rel=\"noopener\">an\u00e1lise<\/a> de dados an\u00f4nimos de casos de Resposta a Incidentes (IR, sigla em ingl\u00eas) mostrou que 18 ferramentas leg\u00edtimas foram usadas para fins maliciosos. A mais comum \u00e9 o PowerShell, que apareceu em 25% dos casos e pode ser usada para v\u00e1rios fins, da coleta de informa\u00e7\u00f5es \u00e0 execu\u00e7\u00e3o de malware. Em segundo lugar, o <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/psexec\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">PsExec<\/a><u>, <\/u>app de console para execu\u00e7\u00e3o de processos em endpoints remotos, utilizado em 22% dos ataques. Em seguida o <a href=\"https:\/\/www.softperfect.com\/products\/networkscanner\/\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">SoftPerfect Network Scanner,<\/a> destinado \u00e0 recupera\u00e7\u00e3o de informa\u00e7\u00f5es sobre ambientes de rede, com 14% dos casos de uso.<\/p>\n<h2>Dificuldade de detec\u00e7\u00e3o<\/h2>\n<p class=\"x_MsoNormal\">A execu\u00e7\u00e3o de ataques por meio de ferramentas leg\u00edtimas dificulta a detec\u00e7\u00e3o de amea\u00e7as pelas solu\u00e7\u00f5es de seguran\u00e7a, pois as a\u00e7\u00f5es relacionadas podem tanto ser parte de um cibercrime quanto uma tarefa normal do administrador do sistema. Exemplo disso \u00e9 que, no segmento de ataques que duraram mais de um m\u00eas, o tempo m\u00e9dio dos incidentes foi de 122 dias. Como n\u00e3o eram detectados, os cibercriminosos podiam coletar dados sigilosos das v\u00edtimas.<\/p>\n<p class=\"x_MsoNormal\">Nossos especialistas observam por\u00e9m que, em alguns casos, as a\u00e7\u00f5es maliciosas aparecem rapidamente, como nos ataques de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/ransomware-snake-paralisou-industrias-no-mundo-todo\/15637\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a>, nos quais os danos s\u00e3o percebidos imediatamente. Nesses casos, o tempo m\u00e9dio de dura\u00e7\u00e3o do incidente foi de um dia.<\/p>\n<p class=\"x_MsoNormal\">\u201cPara evitar serem detectados, os cibercriminosos usam amplamente softwares j\u00e1 existentes. Com elas, \u00e9 poss\u00edvel coletar informa\u00e7\u00f5es sobre as redes corporativas e ent\u00e3o realizar movimentos laterais, alterando as configura\u00e7\u00f5es de software e hardware ou at\u00e9 executar alguma a\u00e7\u00e3o maliciosa. Podem, por exemplo, usar um software leg\u00edtimo para criptografar dados de clientes ou passarem desapercebidos pelos analistas de seguran\u00e7a. Por v\u00e1rios motivos, n\u00e3o \u00e9 poss\u00edvel eliminar essas ferramentas, mas registros em log implementados corretamente e sistemas de monitoramento ajudam a detectar atividades suspeitas na rede e ataques complexos nos est\u00e1gios iniciais\u201d, explica Konstantin Sapronov, chefe da Equipe Global de Resposta a Incidentes da Kaspersky.<\/p>\n<p class=\"x_MsoNormal\">Para detectar e reagir a esses ataques rapidamente, as organiza\u00e7\u00f5es devem, entre outras medidas, implementar uma solu\u00e7\u00e3o de detec\u00e7\u00e3o e resposta (ERD) nos endpoints com um servi\u00e7o de gerenciamento de detec\u00e7\u00e3o e resposta (MDR \u2013 <i>Managed Detection and Response<\/i>). A <a href=\"https:\/\/www.kaspersky.com\/mitre\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">MITRE ATT&amp;CK \u00ae Round 2 Evaluation <\/a>\u2013 que avalia diversas solu\u00e7\u00f5es, incluindo o Kaspersky EDR e o servi\u00e7o de prote\u00e7\u00e3o gerenciada da Kaspersky \u2013 pode apoiar na escolha da solu\u00e7\u00e3o EDR mais adequada \u00e0s necessidades da empresa. Os resultados da ATT&amp;CK Evaluation comprovam a import\u00e2ncia de ado\u00e7\u00e3o desta solu\u00e7\u00e3o, que associa um produto com v\u00e1rias camadas de seguran\u00e7a a um controle manual de amea\u00e7as.<\/p>\n<h2 class=\"x_MsoNormal\">Dicas para evitar ataques com software leg\u00edtimos<\/h2>\n<ul>\n<li class=\"x_MsoNormal\">Limite o acesso de endere\u00e7os IP externos a ferramentas de gest\u00e3o remota e garanta que um n\u00famero limitado de dispositivos tenha acesso \u00e0s interfaces de controle remoto.<\/li>\n<li class=\"x_MsoNormal\">Imponha uma pol\u00edtica r\u00edgida de senhas para todos os sistemas de TI e implemente a autentica\u00e7\u00e3o de m\u00faltiplos fatores.<\/li>\n<li class=\"x_MsoNormal\">Ofere\u00e7a privil\u00e9gios limitados \u00e0s equipes e forne\u00e7a contas com muitos privil\u00e9gios apenas \u00e0s pessoas que precisam delas para realizar seu trabalho.<\/li>\n<\/ul>\n<p class=\"x_MsoNormal\">A Kaspersky oferece duas solu\u00e7\u00f5es de categoria EDR: para grandes empresas ou estruturas maduras de seguran\u00e7a, o <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/endpoint-detection-response-edr\" target=\"_blank\" rel=\"noopener\">Kaspersky EDR<\/a> fornece funcionalidades de investiga\u00e7\u00e3o detalhadas e avan\u00e7ada com dados de intelig\u00eancia de amea\u00e7as, busca de amea\u00e7as e resposta centralizada a ataques complexos em v\u00e1rios est\u00e1gios. O <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/edr-security-software-solution\" target=\"_blank\" rel=\"noopener noreferrer\">Kaspersky EDR Optimum <\/a>prov\u00ea as principais funcionalidades de EDR \u2013 inclusive melhor visibilidade dos endpoints, an\u00e1lise simplificada de causas b\u00e1sicas e op\u00e7\u00f5es de resposta automatizada \u2013 para organiza\u00e7\u00f5es com limita\u00e7\u00f5es de recursos e especialistas em ciberseguran\u00e7a.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Estudo da Kaspersky revela que 18 programas foram usados indevidamente para fins maliciosos em 2019. Dentre elas se destacam: Powershell, PsExec e SoftPerfect Network Scanner<\/p>\n","protected":false},"author":61,"featured_media":11617,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,14],"tags":[71,799,1185,1333,1613,805],"class_list":{"0":"post-15884","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"tag-apt","12":"tag-b2b","13":"tag-business","14":"tag-edr","15":"tag-enterprise","16":"tag-hacker"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hackers-ferramentas-legitimas-ataques\/15884\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15884"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15884\/revisions"}],"predecessor-version":[{"id":15886,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15884\/revisions\/15886"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11617"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}