A equipe de XDR gerenciado da Trend Micro™ abordou um ataque multicamada furtivo que progrediu de uma vulnerabilidade de endpoint explorada para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão
O início do ano é o momento oportuno para fazer um balanço de como as empresas podem fortalecer sua postura de segurança e reforçar suas defesas. Embora as organizações possam ter soluções de cibersegurança de ponta ao seu lado, os agentes mal-intencionados continuam trabalhando para refinar seus métodos e aproveitar as vulnerabilidades sempre que podem. Uma mentalidade proativa, portanto, é fundamental.
A equipe da solução Trend Micro™ Managed XDR (MDR) abordou recentemente um incidente encontrado por um dos clientes da Trend Micro. Ele mostrou como um agente malicioso lançou um ataque furtivo em várias camadas que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral. Da instalação de um web shell no servidor de nuvem comprometido por meio de uma exploração do ProxyShell, o ataque persistente progrediu para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão.
Primeiro foi encontrado um malware em um endpoint que o produto colocou em quarentena. Embora as plataformas tradicionais de proteção de endpoint (EPPs) parassem nesse estágio, o MDR levou em consideração o contexto da detecção. A detecção foi um malware web shell identificado como Possible_SMWEBSHELLYXBH5A, que foi encontrado em um servidor Microsoft Exchange. Isso significava uma alta probabilidade de o servidor ter sido comprometido por uma vulnerabilidade. Nesse caso, a exploração provavelmente envolveu três vulnerabilidades do ProxyShell: CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523. Isso levou a equipe a ativar o modo de resposta a incidentes e alertar o cliente envolvido.
O incidente demonstrou como é crucial que as equipes de segurança adotem uma abordagem integrada para detecção, monitoramento e resposta de ameaças para lidar com ataques rapidamente, especialmente agora que os acordos de trabalho remoto se tornaram comuns para as empresas devido à pandemia de Covid-19.
“As organizações podem aprender muitas lições com esse incidente. Uma é que as empresas não podem depender apenas do EPP para impedir ameaças persistentes porque ele é incapaz de fornecer uma visão holística necessária para detecção, investigação e resposta precoces. Como vimos, a série de ataques nesse caso usou meios furtivos para invadir o sistema, incluindo ferramentas aparentemente inofensivas em várias camadas de segurança. A complexidade dos ataques tornou ainda mais desafiador para a equipe de segurança e os pesquisadores de ameaças analisar a cadeia de eventos e chegar a uma compreensão contextual clara do cenário de ameaças em questão”, explica Cesar Candido, diretor de Vendas da Trend Micro no Brasil.
Incidentes como esse oferecem às equipes de segurança oportunidades de ver os ataques de diferentes ângulos e de uma maneira geral. Discutindo os principais insights as empresas podem considerar ao adotar uma abordagem proativa de segurança cibernética para garantir a máxima proteção de seus sistemas.
Veja passo a passo como aconteceu o ataque AQUI.