Segurança De Endpoints

As equipes de segurança estão enfrentando um novo desafio na detecção de malware, pois muitos ataques modernos não se manifestam mais como arquivos ou binários que acionam alertas tradicionais. Em vez disso, os invasores utilizam ferramentas já existentes no ambiente, como scripts, acesso remoto e fluxos de trabalho de desenvolvedores, criando assim um ponto cego nas defesas. O artigo destaca a importância de uma nova abordagem para identificar táticas ocultas, como os ataques ‘Living off the Land’, que utilizam ferramentas confiáveis do sistema, e os ataques de reassemblagem ‘Last Mile’, que empregam HTML e JavaScript ofuscados para executar lógica maliciosa sem um payload claro. Além disso, a segurança em ambientes de desenvolvimento, como pipelines CI/CD, é crítica, pois dependem de tráfego criptografado, permitindo que códigos maliciosos passem despercebidos. O webinar proposto pela equipe da Zscaler Internet Access abordará como a inspeção nativa em nuvem, análise de comportamento e design de zero-trust podem ajudar a expor esses caminhos de ataque ocultos antes que atinjam os usuários ou sistemas de produção. Essa discussão é especialmente relevante para equipes de SOC, líderes de TI e arquitetos de segurança que buscam fechar lacunas sem comprometer a agilidade dos negócios.

O EDR-Freeze é uma ferramenta de prova de conceito que incapacita motores de detecção e resposta em endpoints (EDR) ou antivírus, utilizando componentes legítimos do Windows, como o WerFaultSecure.exe e a API MiniDumpWriteDump. Ao ser executado, o EDR-Freeze_1.0.exe se disfarça como um manipulador de falhas, suspendendo temporariamente processos de segurança, como o MsMpEng.exe (serviço do Windows Defender), sem acionar alertas. Durante a criação de dumps de falha, o EDR-Freeze consegue pausar a coleta de telemetria, mantendo o estado do processo intacto. Após um intervalo configurável, os processos suspensos são retomados, permitindo que os atacantes operem sem serem detectados. Para a investigação, é crucial preservar vestígios do arquivo temporário gerado, t.txt, e analisar a tabela de endereços de importação do WerFaultSecure.exe. A implementação de regras YARA pode ajudar a identificar atividades do EDR-Freeze, destacando a necessidade de análises forenses de memória e caça comportamental em fluxos de resposta a incidentes. Essa técnica demonstra como componentes confiáveis do sistema operacional podem ser explorados para desativar controles de segurança, exigindo uma resposta proativa dos profissionais de cibersegurança.