A Netskope estreia como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE Obtenha o Relatório

fechar
fechar
  • Por que Netskope divisa

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes divisa

    A Netskope atende a mais de 3.400 clientes em todo o mundo, incluindo mais de 30 das empresas da Fortune 100

  • Nossos parceiros divisa

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Um Líder em SSE.
E agora Líder em Single-Vendor SASE.

Descubra por que a Netskope estreou como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE

Obtenha o Relatório
Destaques de clientes visionários

Leia como os clientes inovadores estão navegando com sucesso no cenário atual de mudanças na rede & segurança por meio da plataforma Netskope One.

Baixe o eBook
Destaques de clientes visionários
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Grupo de diversos jovens profissionais sorrindo
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Apresentando a plataforma Netskope One

O Netskope One é uma plataforma nativa da nuvem que oferece serviços convergentes de segurança e rede para permitir sua transformação SASE e zero trust.

Saiba mais sobre o Netskope One
Abstrato com iluminação azul
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vista aérea de uma cidade
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Rodovia iluminada através de ziguezagues na encosta da montanha
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Passeio de barco em mar aberto
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos divisa

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog divisa

    Saiba como a Netskope permite a transformação da segurança e da rede por meio do serviço de acesso seguro de borda (SASE)

  • Eventos e workshops divisa

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined divisa

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

O futuro da segurança: mudança quântica, inteligência artificial e macropolítica
Emily Wearmouth e Max Havey conversam com o CEO da Netskope, Sanjay Beri, e o CTO Krishna Narayanaswamy sobre o futuro da segurança.

Reproduzir o podcast Navegue por todos os podcasts
O futuro da segurança: mudança quântica, inteligência artificial e macropolítica
Últimos blogs

Leia como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio de recursos de borda de serviço de acesso seguro (SASE).

Leia o Blog
Nascer do sol e céu nublado
SASE Week 2024 On-Demand

Aprenda a navegar pelos últimos avanços em SASE e confiança zero e explore como essas estruturas estão se adaptando para enfrentar os desafios de segurança cibernética e infraestrutura

Explorar sessões
SASE Week 2024
O que é SASE?

Saiba mais sobre a futura convergência de ferramentas de redes e segurança no modelo predominante e atual de negócios na nuvem.

Saiba mais sobre a SASE
  • Empresa divisa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Carreira divisa

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • Customer Solutions divisa

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e credenciamentos divisa

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Ajude a moldar o futuro da segurança na nuvem

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Faça parte da equipe
Vagas na Netskope
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Grupo de jovens profissionais trabalhando

Introdução link link

Os atacantes estão adicionando novos e sofisticados recursos de comando e controle (C2) em seus malwares, que facilmente evitam as defesas estáticas comuns com base em assinaturas IPS ou listas de bloqueio de IP/domínio/URL usando ferramentas comuns e amplamente disponíveis da estrutura C2, como Cobalt Strike, Brute Ratel, Mythic, Metasploit, Sliver e Merlin. Essas ferramentas fornecem recursos pós-exploração, incluindo comando e controle, escalonamento de privilégios e ações no host, e foram originalmente projetadas para testes de penetração e operações de equipe vermelha.

No entanto, os atacantes sequestraram e incorporaram esses mesmos kits de ferramentas para fins maliciosos, pois muitos produtos são de código aberto, como Mythic e Merlin, enquanto outros produtos comerciais, como Cobalt Strike e Brute Ratel, foram roubados pelos atacantes por meio de cópias hackeadas ou código-fonte vazado. Isso efetivamente transformou essas mesmas ferramentas em estruturas C2 adversárias para pós-exploração maliciosa.

As ferramentas podem facilmente moldar e alterar muitos parâmetros das comunicações C2, permitindo que o malware evite as defesas atuais com ainda mais facilidade e por períodos mais longos, causando maiores danos nas redes das vítimas, incluindo: roubo de mais dados, descoberta de dados mais valiosos, indisponibilidade de aplicativos/serviços comerciais e manutenção do acesso oculto às redes para danos futuros.

As abordagens atuais para detectar o malware mais recente usando estruturas C2 utilizam assinaturas e indicadores estáticos, incluindo detecção de executáveis de implantes, assinaturas IPS para detecção de tráfego C2 e filtros IP/URL que são inadequados para lidar com os perfis dinâmicos e maleáveis das ferramentas da estrutura C2 amplamente disponíveis.

É necessária uma nova abordagem que não esteja tão rigidamente vinculada a ataques conhecidos, mas baseada na detecção de anomalias de um conjunto abrangente de sinais alimentados em modelos treinados de aprendizado de máquina com rastreamento detalhado do risco do dispositivo e do usuário. Essa abordagem complementará as abordagens existentes, mas pode aumentar drasticamente as taxas de detecção, mantendo baixos os falsos positivos e protegendo o futuro contra a evolução dos padrões de tráfego de C2, que são facilmente ativados por essas mesmas ferramentas da estrutura C2.

Este artigo discute as lacunas nas abordagens atuais e o aumento da eficácia do uso de uma abordagem focada em aprendizado de máquina com sinais de rede adicionais e métricas de risco refinadas com base em modelos no nível do usuário e da organização. Também discutimos alguns dos principais desafios em testar a eficácia de qualquer solução de detecção de farol C2.

 

Estruturas C2 adversárias link link

Cobalt Strike, Metasploit, Mythic e Brute Ratel são algumas das ferramentas comerciais e de código aberto de simulação de adversários originalmente projetadas para testes de detecção de malware pela equipe vermelha. Esses kits de ferramentas às vezes são chamados de ferramentas de emulação de ameaças ou estruturas C2, pois fornecem um rico conjunto de recursos (Gill) para simular a atividade real de ameaças durante as operações da equipe vermelha, com foco nas partes de comando e controle pós-exploração da cadeia de ataque.

Podemos usar alguns desses termos de forma intercambiável ao longo do artigo, mas geralmente usamos estruturas C2 para enfatizar que essas ferramentas estão sendo usadas por agentes mal-intencionados para impactar os ambientes de produção e que o problema a ser resolvido é muito mais do que simulações ou emulações feitas por equipes vermelhas internas amigáveis.

Essas ferramentas da estrutura C2 foram incorporadas, hackeadas ou roubadas e usadas por vários atacantes (“Cobalt Strike: operação policial internacional aborda o uso ilegal da ferramenta de teste de canivetes suíços”), incluindo atores estatais como o APT29 da Rússia na SolarWinds (“O ataque à cadeia de suprimentos da SolarWinds usa o SUNBURST Backdoor”) e o TA415 da RPC (Larson e Blackford) para aprimore e desenvolva os recursos de comunicação furtiva de vários RATs, botnets e malwares habilitados para C2.

O Cobalt Strike é a ferramenta de estrutura C2 mais popular e a usamos como um exemplo específico ao longo deste artigo, embora as observações se apliquem a todas as ferramentas semelhantes. O diagrama de arquitetura de alto nível do Cobalt Strike a seguir mostra seus componentes básicos (Rahman) e o fluxo de ataque em tempo de execução.

Arquitetura de alto nível Cobalt Strike

Figura 1: Arquitetura de alto nível Cobalt Strike

 

#

Etapa de ataque

Description

1

Acesso inicial/infecçãoVetor de infecção inicial, incluindo o downloader e o loader para a carga útil do beacon.

2

Ligue para casa (C2)

O Beacon chama o Team Server normalmente utilizando HTTP/HTTPS/DNS. Pode utilizar ofuscação de domínio/IP por meio de redirecionadores, como proxies, fronting de domínio (por exemplo. CDNs) ou mascaramento de domínio. Os beacons também podem encadear as comunicações para contornar a segmentação interna da rede.

3

Comando e controle do atacanteO atacante controla o Beacon, emitindo vários comandos. Pode utilizar Aggressor Scripts para automatizar/otimizar o fluxo de trabalho.

4

Executar comandosO Beacon pode usar Execute Assembly (executáveis.NET) em um processo separado ou arquivos de objeto Beacon dentro da sessão/processo do Beacon, estendendo os recursos pós-exploração. A injeção de memória é usada para evitar a detecção das defesas de terminais focadas em arquivos e atividades de disco associadas a arquivos maliciosos.

5

Ações no hostVárias ações integradas são fornecidas para novos recursos por meio de extensões como BOFs ou Execute Assembly.

Tabela 1: Cadeia de ataque usando o Cobalt Strike C2 Framework

 

O Cobalt Strike e kits de ferramentas similares permitem uma ampla e fácil configuração no tráfego HTTP/S, produzindo tráfego C2 que geralmente parece benigno, parece tráfego HTTP/Web normal e é semelhante ao tráfego de navegadores da Web ou aplicativos populares. Há configurações padrão fornecidas com as ferramentas que emulam malwares conhecidos e aplicativos válidos conhecidos.

Embora o DNS também seja suportado como um protocolo C2, focaremos a discussão no HTTP/S C2, pois ele reflete a maior parte do tráfego de rede entrada/saída de uma organização, é mais complexo devido à variedade de aplicativos que usam HTTP/S e atrai a maioria dos agentes mal-intencionados que estão tentando se esconder em meio ao ruído da rede, incluindo beacons C2 benignos legítimos.

Os kits de ferramentas são altamente configuráveis (por meio de perfis maleáveis) e podem variar facilmente o tempo, a frequência, o volume, os protocolos do aplicativo, os IPs/domínios de destino, os agentes do usuário, os cabeçalhos HTTP, os verbos HTTP, os URIs, os parâmetros, os certificados SSL/TLS, o atraso de sinalização com instabilidade aleatória e a carga/conteúdo. As ferramentas da estrutura C2 também permitem um grande número de ações pós-exploração, que são criptografadas, baixadas e executadas na memória, tornando a atividade pós-comprometimento muito difícil de detectar nos endpoints.

Vamos nos concentrar nos recursos específicos de comunicação C2 das ferramentas da estrutura C2 (por exemplo, beaconing C2) e na facilidade com que as comunicações são alteradas (por exemplo, por meio dos perfis maleáveis C2 da Cobalt Strike) e nos desafios colocados às organizações que tentam detectar malware furtivo.

Existem vários bons recursos que discutem a funcionalidade dos perfis maleáveis (Gill) do Cobalt Strike, mas destacaremos alguns dos recursos mais usados. Aqui está um trecho do perfil maleável para imitar o aplicativo de navegador Gmail no Cobalt Strike (Mudge):

Figura 2: Perfil maleável C2 (gmail)

Figura 2: Perfil maleável C2 (gmail)

 

Algumas das principais funcionalidades e áreas do perfil são:

Seção | Configurações

Descrição | Capacidades

certificado https# Use um certificado existente ou gere um certificado autoassinado, conforme mostrado neste
# exemplo.
opções globais# As opções globais abaixo definem o tempo de sono do farol C2 para 60 segundos com uma variação aleatória
# de +/- 15%, mostrando a capacidade de variar o tempo de chamada para casa para evitar # fácil detecção.

set sleeptime " 60000 ";
set jitter " 15 ";


# Outras opções globais especificam parâmetros de ação pós-exploração no host, como o nome do processo
# gerado para executar comandos usando injeção na memória ou o # pipename usado para comunicações IPC.
Eles não são relevantes para o C2.
defina o nome do tubo " interprocess_## "; defina spawn como " userinit.exe ";
http-get# O caminho uri usado para comunicações


com
o





servidor beacon- > pode ser variado com um conjunto de listas uri " /_/scs/mail-static/_/js/ "; # As comunicações do cliente (servidor beacon- >), incluindo cookies, cabeçalhos e codificação #, podem ser especificadas e variadas facilmente no
nível do protocolo HTTP, cliente {metadata {}} # Da mesma forma, servidor- As comunicações do beacon > também podem ser variadas no servidor de nível de protocolo HTTP #
{
header {}}
}


# O Cobalt Strike permite moldar o fluxo de comunicação bidirecional entre o
cliente # Beacon e o C2 Team Server (“Um passo a passo da transação HTTP do Beacon”):
# 0. http-stager {} opcional stager para baixar o Beacon
# 1 completo. http-get {client} cliente -- ligue para casa → servidor
nº 2. http-get {server} servidor -- cmds → cliente
nº 3. http-post {client} cliente -- saída cmd
→ servidor nº 4. http-get {server} servidor -- confirm → client

Tabela 2: Descrição do perfil maleável C2 (gmail)

 

Como pode ser visto acima, modificações simples desses perfis podem facilmente alterar o comportamento das comunicações C2 para imitar aplicativos comuns, seus beacons e tráfego da web. Existem mais de 240 perfis públicos maleáveis somente para o Cobalt Strike, prontamente disponíveis para uso ou que podem ser facilmente modificados.

 

Abordagens de detecção atuais link link

As abordagens atuais para detectar tráfego C2 malicioso tendem a corresponder a assinaturas de bytes codificadas ou usar expressões regulares para corresponder à carga útil ou aos cabeçalhos (assinaturas IPS), ou são baseadas na correspondência de listas de IP/domínio/URL. Essas abordagens são estáticas e facilmente evitadas pela natureza dinâmica e configurável dos kits de ferramentas da estrutura C2 incorporados pelos atacantes.

Assinaturas IPS

Para ilustrar os desafios das soluções IPS, aqui está uma das regras do Snort para detectar o Zeus Trojan (Snort):

Figura 3: Regra do Snort (Zeus Trojan)

Figura 3: Regra do Snort (Zeus Trojan)

 

O Snort e muitas soluções IPS permitem várias combinações de conteúdo ou cabeçalhos nas camadas 3 e 4, bem como no nível do aplicativo, conforme indicado pelos verbos de ação na regra. Muitas correspondências, como a opção de regra de conteúdo, são correspondências estáticas de byte/caractere, enquanto a opção de regra pcre é uma correspondência de expressão regular.

Ao olhar lado a lado tanto para o lado adversário (por exemplo, o perfil maleável C2 para o Gmail visto anteriormente) quanto para o lado defensivo (por exemplo, a regra de bufo de Zeus), a correspondência estática e a fragilidade codificadas ficam claras. Imagine que um invasor tenha criado e implantado uma nova variante do Zeus que usava o Cobalt Strike e um Snort IPS tivesse a regra Zeus acima em vigor que detectou efetivamente o novo malware. O invasor poderia facilmente alterar um caractere no perfil, como adicionar um espaço no MSIE para evitar a correspondência: content: " |3B 20|MSIE|20| "; e o malware poderia escapar da assinatura IPS.

Embora haja consciência contextual e rastreamento de estado, a abordagem de assinatura IPS é inerentemente limitada devido à sua correspondência estática, que resulta em falsos negativos e fácil evasão (alterar literalmente um caractere em um campo pode ignorar uma regra de IPS).

Isso não quer dizer que as soluções IPS não sejam úteis. Em vez disso, as assinaturas IPS devem ser mantidas, pois servem como uma defesa de perímetro útil, bloqueando muitas explorações de rede conhecidas de maneira rápida e eficiente. Nesse caso, mesmo que um IPS alcance taxas de detecção de apenas 60%, esses 60% podem ser bloqueados/alertados facilmente, evitando o dispendioso processamento posterior.

Listas de bloqueio de IP/URL

Outras abordagens tradicionais, como o uso de listas de bloqueio (IP ou URLs), geralmente são aplicadas em um esforço para impedir o acesso ou o download inicial de malware durante a navegação na web, bem como para bloquear o tráfego potencial de C2.

Um desafio comum com as listas de bloqueio é que elas geralmente estão desatualizadas, causando falsos positivos e são reativas, pois são atualizadas após o comprometimento da meta #1 ou do paciente zero.

Isso é exacerbado pelas técnicas de indireção de IP/domínio usadas para ocultar o domínio ou endereço IP do servidor C2. O Cobalt Strike tem redirecionadores, que podem ser tão simples quanto proxies IP, para ofuscar o verdadeiro domínio ou IP do servidor C2. Também existem outras técnicas, como fronting de domínio usando CDNs ou mascaramento de domínio, que aproveitam as incompatibilidades entre TLS (SNI) e HTTPS (host) para ocultar o domínio malicioso final de alguns filtros de segurança de URL.

Heurística de tráfego de rede

Uma abordagem diferente envolve o uso de heurística, normalmente aplicada a padrões de tráfego de rede com base no volume ou no tempo. O exemplo clássico é detectar comunicações de saída regulares (por exemplo, a cada 60 minutos), talvez para um endereço IP sem registro DNS A registrado.

Para evitar a detecção, os kits de ferramentas da estrutura C2 permitem a fácil configuração de um fator aleatório no atraso de sinalização usando a configuração de jitter em um perfil maleável Cobalt Strike:

Figura 4: Configurações do perfil maleável C2 (tempo de sinalização)

Figura 4: Configurações do perfil maleável C2 (tempo de sinalização)

 

Essas configurações especificam um intervalo de call home de 60 segundos +/- 15%, o que significa que o intervalo real variará de 51 a 69 segundos, evitando verificações simples de sinalização recorrente em intervalos constantes.

Eficácia

O problema com as abordagens atuais é que elas não detectam com eficácia as comunicações C2 maleáveis e são facilmente evitadas, mesmo se ajustadas especificamente. Eles servem para detectar com eficiência técnicas de ataque que são estáticas com indicadores conhecidos, mas perdem ataques mais dinâmicos ou sofisticados ou criam um grande número de falsos positivos.

Como ponto de dados, ao testar os perfis maleáveis Cobalt Strike C2 mais comuns em repositórios públicos, soluções IPS prontas para uso, como Snort e Suricata, detectaram substancialmente menos de 20% das comunicações C2 dos kits de ferramentas de estrutura C2 mais comuns.

Mesmo depois de adicionar regras específicas para corresponder ao maior número possível de perfis públicos, otimizando para esse teste específico, a cobertura só poderia aumentar razoavelmente para ~ 60% sem introduzir falsos positivos significativos que seriam muito problemáticos em um ambiente de produção.

Existem vários problemas de eficácia: não apenas falsos positivos mais altos, mas também a configuração resultante é construída rigidamente para o teste específico em questão e é facilmente evitada por meio de pequenos ajustes nos perfis. E no final do dia, ainda existem ~ 40% dos perfis que permanecem sem serem detectados, o que é uma taxa de falsos negativos muito alta. Sem falar nos falsos negativos adicionais de um determinado atacante que personaliza os perfis C2 para imitar aplicativos conhecidos existentes de uma forma um pouco diferente.

Nova abordagem de detecção link