Uma pesquisa recente mapeou muitos dos principais tipos de ataque presentes no framework MITRE ATT&CK. As descobertas presentes no relatório reforçam a necessidade de se entender completamente a rede corporativa. Reveja e documente os scripts de forma regular e quais IDs de eventos são jogados nos logs, especialmente os mais usados nas técnicas de ataque a seguir.

Confira a Lista das 5 técnicas de ataque mais comuns em redes Windows em 2020:

 

1 PowerShell (24%)

Essa ferramenta é nativa do Windows, o que torna muito mais difícil para as empresas determinar se estão sendo atacadas. Esse tipo de técnica é eficiente porque, ao invés de trazer novas ferramentas para a rede, o atacante faz uso de ferramentas disponíveis em sua rede. Para monitorar o PowerShell e ataques baseados em linhas de comando, use ferramentas que possibilitem a captura de logs.

Busque por cmdlets suspeitos e outros comandos mais obscuros que precisam ser decodificados para investigação. Comparar padrões normais de PowerShell com padrões de ataque requer tempo. Fique de olho no Event 4688 – Process Creation – para alertar você de atividade maliciosa. Compreenda quais processos são usados de forma regular por sua empresa, podendo filtrá-los como normais e fique de olho em comandos que parecem ser cmd.exe combinados com ofuscação.

 

2 Execução de processos binários (19%)

Este ataque usa duas técnicas: Rundll32 e Mshta. Ambas permitem ao atacante criar códigos maliciosos por meio de binários de confiança. Novamente, o atacante está usando ferramentas disponíveis na sua rede, evitando ser detectado. Você pode setar alertas de uso malicioso do Rundll32, mas aqui é importante um ajuste fino para separar atividades maliciosas de falsos positivos.

 

3 Criar e modificar processos do sistema (16%)

Agora temos o Windows Service sendo usado por uma única ameaça: Blue Mockingbird, que instala um minerador de criptomoedas. Reveja os logs de eventos 4679, 7045 e 4688 quando novos serviços e novos processos são criados.

 

4 Tarefas e serviços agendados

Os atacantes usam tarefas agendadas para introduzir persistência. O relatório mostrou que devemos rever quando uma tarefa agendada é definida para executar como sistema é a configuração de ataque mais frequente. Event ID 106 e 140 registram quando uma nova tarefa é criada ou atualizada.

 

5 Dumping de credenciais (7%)

O LSASS (local Security Authority Subsystem Service) é muitas vezes usado para dump de senhas com ajuda de ferramentas como ProcDump e Mimikatz. Mais uma vez, um bom registro de logs e eventos é sua melhor arma. Busque por Event ID 10, também busque no Attack Surface Reduction configurações para encontrar acessos suspeito ao LSASS.