Cautela sempre foi uma marca registrada das Ameaças Persistentes Avançadas (APTs), mas os escritores de códigos maliciosos (craftiers) aumentaram os seus esforços para evitar a detecção por defesas do sistema.
Crackers não apenas têm aperfeiçoado suas habilidades em simular documentos legítimos que possam ser abertos por suas vítimas, mas também estão implementando suas técnicas de entrega a fim de evitar a detecção. "A nova geração de ataques APT não é monolítica. Os ataques são misturados e contam com inúmeras técnicas de infiltração", disse a FireEye em seu Relatório de Ameaças Avançadas para o segundo semestre de 2012. O relatório foi divulgado esta semana.
O documento citou um ataque APT que incorporou documentos conhecidos e white papers em sua campanha de phishing para infectar um alvo. "Os atacantes pegaram esses documentos geralmente seguros e os transformaram em armas", disse o relatório. "Esses documentos são equipados com uma variante de três exploits para PDF e dois para Word."
Técnicas de evasão
Duas novas técnicas de evasão identificadas no relatório envolvem reconhecimento de cliques do mouse e máquinas virtuais. Com a técnica do mouse, o malware não realiza qualquer operação a menos que o cursor de um computador esteja ativamente em uso. O código malicioso faz isso para enganar as defesas de uma organização, de acordo com Rob Rachwald, diretor de pesquisa e comunicação da FireEye.
"O malware faz com que pareça aos sistemas de detecção que ele é um software executado por um humano", disse, em uma entrevista. "Vimos alguns desses no passado, mas atualmente temos temos visto mais ênfase."
A tática pode ser uma reação a aplicações "sandbox" das empresas, que barram aplicativos ruins antes que possam danificar o sistema. "É um esforço para contornar a tradicional e menos sofisticada tecnologia sandbox", disse Rachwald.
O malware também não será executado se detectar que desembarcou em uma máquina virtual. Essa tática aborda uma tendência crescente entre os defensores do uso de máquinas virtuais para rodar aplicativos para determinar se eles são ou não malware. "O problema é que algumas delas não estão fazendo isso de uma forma muito sofisticada", observou Rachwald. Isso permite que programas infectados passem despercebidos pelo teste da máquina virtual e continuem com seu processo de infecção.
Criadores de APTs estão ficando mais experientes na luta contra as medidas defensivas montadas contra eles, de acordo com Ken Silva, vice-presidente sênior de estratégia cibernética da ManTech Internacional. "Quanto mais comum as ferramentas de defesa se tornam, mais especialistas os craftiers se tornam em saber como contorná-las, como elas os detectam e como se esconder delas".
Uma vez que crackers violam um sistema, eles também estão sendo mais cuidadosos no quesito "detecção". "Eles não estão deixando vestígios no disco rígido", ressaltou Silva. "Eles estão apenas carregando na memória e permanecendo lá."
Isso pode ser precário, porque se uma máquina é reiniciada, o malware desaparecerá. No entanto, Silva explicou: "Em uma grande empresa, muitas vezes você pode encontrar um servidor que está ligado 24 horas por dia."
Jon Clay, gerente sênior da Trend Micro, concordou que ladrões de dados estão cada vez mais hábeis em cobrir seus rastros depois de comprometer um sistema. "Os cibercriminosos têm acrescentado uma fase de manutenção, que lhes permite permanecer persistentes por muito mais tempo", disse ele.
"Isso envolve a limpeza depois do que é feito com um sistema", continuou. "A medida que eles se movem de um sistema para outro, eles limpam suas pistas da uma máquina anterior."
"Isso está acontecendo em uma base regular", acrescentou Clay.
No lado positivo para os defensores, a concientização de APTs aumentou no último ano devido a alguns incidentes de alto perfil, e comentários de funcionários de alto escalão do governo, incluindo o presidente Barack Obama.
"Há um ano, esses ataques foram acontecendo e não se falou muito sobre isso", disse o estrategista de segurança sênior da Trusteer, George Tubin, em entrevista. "As empresas encontraram computadores comprometidos e mantiveram silêncio sobre o assunto.
"Continuamos a ver um monte desses ataques atualmente", continuou, "mas mais e mais instituições estão tornando público quando descobrem as APTs".
