5 técnicas de evasão que conseguem burlar o antivírus legado
Técnicas de evasão são um dos grandes desafios da proteção de endpoints, já que furam as defesas dos antivírus tradicionais. Explorando características e vulnerabilidades dos sistemas-alvo, elas viabilizam ataques que passam despercebidos e que não dependem da execução de malware.
Neste post, nós vamos apresentar algumas dessas técnicas, reforçando a importância de proteger endpoints com uma solução moderna, que não dependa de assinaturas. Confira!
Principais tópicos deste artigo
O que são técnicas de evasão
Resumidamente, técnicas de evasão são práticas usadas por cibercriminosos para tentar escapar de mecanismos de defesa durante o ataque. Na prática, eles tentam passar despercebidos e enganar os sistemas de segurança.
Como vamos mostrar ao longo do artigo, isso pode ser feito de várias formas. Normalmente, as técnicas exploram vulnerabilidades e características de sistemas legítimos para usar a favor do ataque.
Para os antivírus legados, é impossível detectar técnicas de evasão, porque eles simplesmente não possuem os recursos necessários. Como são dependentes de bancos de assinaturas (que listam malwares e ameaças já conhecidas), não estão preparados para ataques avançados nem ameaças de dia-zero.
Conheça 5 técnicas de evasão que ameaçam a proteção de endpoints
1. Comprometimento de defesas
Uma prática de evasão comum consiste em usar diferentes táticas para prejudicar ou incapacitar os mecanismos de defesa dentro de um ambiente-alvo.
Isso significa sabotar as salvaguardas preventivas, como firewalls e sistemas de antivírus, bem como os protocolos de detecção usados para examinar atividades e identificar ações maliciosas.
Ao modificar estrategicamente esses componentes, os hackers buscam criar vulnerabilidades que as soluções de segurança legadas não conseguem detectar.
2. Remoção de indicadores
Cibercriminosos também adotam uma estratégia avançada de evasão ao manipular ou apagar rastros deixados nos sistemas.
Esses rastros podem ter sido criados pelas ações de um ataque ou podem ter sido gerados em função dele. Se não forem apagados, podem despertar alertas para a presença de uma atividade maliciosa.
Portanto, a ideia por trás dessa técnica é remover qualquer evidência da presença maliciosa, reduzindo a capacidade de defesa. Um exemplo comum é a exclusão de arquivos e a ofuscação de código.
3. Subversão de controles de confiança
Outra abordagem explorada por cibercriminosos é tentar subverter e superar controles de segurança que rotulam atividades ou softwares como confiáveis. Assim, conseguem passar despercebidos pelos sistemas de antivírus tradicionais.
Em geral, sistemas operacionais e produtos de segurança vêm equipados com mecanismos para marcar programas ou sites como sendo confiáveis.
Os hackers manipulam esses mecanismos ajustando registros, modificando permissões de arquivos e até mesmo roubando certificados de assinatura de código para ganhar credibilidade.
4. Hijack de fluxo de execução
Hackers também se aproveitam dos métodos dos sistemas operacionais para executar programas, implementando seus próprios códigos maliciosos.
Na prática, eles “sequestram” o fluxo de execução e conseguem obter persistência, já que a execução sequestrada continua ocorrendo ao longo do tempo.
Também é comum empregar essa tática para aumentar privilégios ou evitar defesas, como controle de aplicativos.
5. Camuflagem
Para escapar da vigilância tanto de usuários quanto do antivírus legado, hackers também alteram artefatos (como arquivos) para apresentar uma fachada de legitimidade.
Essa técnica, conhecida como camuflagem, envolve a manipulação de atributos de arquivos, induzindo os usuários a identificar erroneamente tipos de arquivos, ou até mesmo imitando nomes legítimos de tarefas ou serviços.
Ao ofuscarem suas atividades, os cibercriminosos embaralham a linha entre ações benignas e maliciosas, escapando do alcance dos sistemas AV legados.
Como se proteger contra técnicas de evasão
Como vimos, todas as técnicas mencionadas no texto são usadas justamente para escapar da detecção dos antivírus tradicionais, baseados em assinatura.
Mas então como se proteger contra elas?
A solução está em investir em uma proteção de endpoints moderna e avançada, que reúna diferentes tecnologias para detectar técnicas de evasão.
Atualmente, essa proteção de endpoints completa inclui dois elementos essenciais: antivírus de última geração e plataforma de EDR (Endpoint Detection & Response).
O que é um antivírus de última geração?
O antivírus de última geração é uma evolução do antivírus tradicional, e normalmente é baseado na nuvem. É esse modelo que está incluído na plataforma da Crowdstrike, parceira da Oblock.
Na prática, o antivírus de última geração vai além da detecção por assinatura e combina diferentes tecnologias para prevenir e detectar ameaças, incluindo inteligência artificial, machine learning e mitigação de exploits.
Esse combo permite que ele consiga detectar e bloquear técnicas de evasão e ameaças desconhecidas, como ataques de dia-zero.
O que é EDR (Endpoint Detection and Response)?
Um EDR (Endpoint Detection and Response) é uma solução completa de proteção de endpoints, agrupando várias tecnologias, incluindo antivírus de última geração.
Enquanto o antivírus isoladamente atua apenas de forma preventiva, o EDR atua de forma completa, monitorando endpoints continuamente e identificando tudo que escapa do filtro do antivírus.
Uma solução de EDR consegue atuar na prevenção, detecção e resposta a ameaças, remediando endpoints infectados.
Além disso, fornece total visibilidade sobre o que acontece em todos os endpoints.
Crowdstrike: proteção endpoints que bloqueia técnicas de evasão
A Crowdstrike, parceira da Oblock, oferece antivírus de última geração e EDR que agregam as tecnologias mais avançadas de proteção de endpoints.
Com uma plataforma baseada na nuvem, o Crowdstrike Falcon conta com diferentes módulos e opções para se adaptar à realidade da sua empresa.
Fale com a Oblock, distribuidora oficial da CrowdStrike, e conheça a solução!
Proteja sua empresa contra ameaças avançadas!
Veja na prática como o CrowdStrike Falcon protege sua empresa contra todo tipo de malware.
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.