Segurança de endpoints é um tópico popular, especialmente agora, com tantas empresas mudando para o trabalho remoto. Para começar, vamos definir o que são endpoints: dispositivos de usuário final, como desktops, laptops e dispositivos móveis. Eles servem como pontos de acesso a uma rede corporativa e criam pontos de entrada que funcionam como portas para agentes mal-intencionados. Uma vez que as estações de trabalho do usuário final constituem uma grande parte dos endpoints, vamos nos concentrar em sua segurança.
A pirâmide da segurança de endpoint
A ilustração acima mostra que os endpoints são essencialmente gateways virtuais para aplicações, serviços e dados em um sistema de usuário. Se explorados, podem ser usados para obter acesso a outras estações de trabalho e até mesmo aos servidores e usuários privilegiados de sua organização.
Vejamos alguns cenários de comprometimento que podem levar a um potencial incidente de segurança.
-
Estabelecendo acesso ao endpoint
Primeiro, como os agentes mal-intencionados obtêm acesso aos endpoints? A pandemia obrigou muitos de nós a adotar o trabalho remoto. Embora trabalhar em casa tenha benefícios notáveis para funcionários e organizações, ele apresenta uma série de riscos para a segurança da rede. Tivemos que relaxar muitas restrições de segurança para permitir essa transição. Abaixo está um exemplo de como os invasores têm como alvo a porta 3389, comumente usada para conexões remotas.
Algumas organizações usam redes privadas virtuais (VPNs), que são usadas para criar conexões seguras com uma rede (especialmente conexões remotas). Mas dezenas de variantes de malware de vários grupos de hackers estão voltando sua atenção para vulnerabilidades em aplicações VPN. Você monitora o tráfego de entrada por meio de VPNs, faz alterações nas configurações ou origens de logons? Se não, agora é a hora de começar.
Outra tendência preocupante é o ataque de macro do Microsoft 365, realizado com documentos do Microsoft 365 que contêm malware. De seu próprio servidor, um invasor pode usar uma ferramenta de linha de comando integrada, como PowerShell ou Terminal no Linux, para criar uma macro do Office repleta de malware e enganar os usuários para que abram a macro por meio de ataques de phishing. Por exemplo, o anexo pode ter malware incorporado que captura os hashes de senha dos usuários e os transfere para um servidor remoto.
Agora que temos uma ideia de como os agentes de ameaças comprometem os endpoints, vamos ver como os invasores podem estabelecer persistência ou obter acesso a dados, outros endpoints ou servidores e usuários privilegiados.
-
Escalonamento de privilégios com aplicações e serviços essenciais para a empresa em execução em um endpoint
A maioria dos serviços executados em um nó de extremidade Windows usa uma conta de sistema local predefinida. Se um invasor obtiver acesso ao endpoint por meio de uma conta do sistema local, ele também obterá os privilégios necessários para verificar os serviços críticos executados com direitos do sistema local e modificar suas permissões para obter acesso aos dados essenciais aos negócios.
Em alguns casos, os invasores podem apontar o binário do serviço para um script ou aplicação que desejam executar com privilégios de sistema local.
Um invasor nem sempre pode visar serviços vulneráveis por meio de uma conta de usuário local; às vezes, uma conta de usuário configurada para executar um serviço específico pode ter privilégios indesejados, que podem ser explorados. Isso também se aplica a sistemas Linux.
Embora a exploração de aplicações e serviços mal configurados seja uma opção, os invasores também podem introduzir aplicações maliciosas que iniciam malware depois de instalados. Eles costumam aproveitar os arquivos MSI, também conhecidos como arquivos do instalador do Windows, para contornar as restrições definidas pelo administrador da rede.
Por exemplo, se o Prompt de Comando do Windows ou PowerShell for bloqueado pelo administrador por meio de regras AppLocker, os invasores ainda podem usar arquivos MSI maliciosos para contornar as regras. Observe como o arquivo MSI está disfarçado como um arquivo PNG; isso ajuda os invasores a permanecerem sem serem detectados.
Os arquivos MSI também podem ser usados para introduzir alterações de backdoor na rede; por exemplo, para adicionar novos usuários a grupos privilegiados no Active Directory, como o grupo de administradores.
Você sempre pode desabilitar a instalação de aplicações MSI por meio da Política de Grupo, mas tenha em mente que existem muitas maneiras pelas quais eles podem instalar aplicações e serviços maliciosos. A única solução verdadeira está em monitorar a instalação e processos suspeitos em todos os seus endpoints.
-
Acesso a dados confidenciais de negócios a partir de um endpoint
Com o acesso do usuário local a um endpoint, um invasor pode acessar todos os dados armazenados localmente em arquivos e pastas. No entanto, com uma conta de usuário de rede legítima, o invasor pode obter acesso aos dados compartilhados com usuários de rede (por meio de compartilhamentos). Discutimos várias maneiras pelas quais eles podem capturar as senhas dos usuários da rede na seção acima. Agora, vamos dar uma olhada em outra técnica para capturar as senhas dos usuários da rede com acesso local.
Ferramentas como Mimikatz podem ser usadas para extrair senhas armazenadas na memória de nós de extremidade. Mas muitos administradores estão usando esse método de ataque, o que faz com que ferramentas como Mimikatz sejam bloqueadas por soluções antivírus e pelo Windows Defender.
A imagem acima mostra uma técnica com a qual um invasor pode criar um despejo de memória do processo LSASS (Local Security Authority Subsystem Service) em endpoints do Windows, transferir o arquivo para seu próprio servidor, onde ferramentas podem ser executadas sem restrições e extrair senhas de isto. Quanto mais senhas de usuário eles obtêm acesso, mais acesso aos endpoints e dados eles também ganham.
Também é importante observar que os dados podem ser copiados de servidores privilegiados para um endpoint, que pode eventualmente ser usado como um meio de exfiltração de dados por meio de unidades USB, servidores remotos, e-mail, armazenamento em nuvem e muito mais. O endpoint também pode ser usado para corromper e bloquear o acesso a dados críticos de negócios – em outras palavras, para realizar um ataque de ransomware. O invasor pode colocar um documento infectado por malware em um compartilhamento acessado por muitos usuários e alavancar os usuários finais como portadores para propagá-lo, fazendo com que eles infectem suas próprias estações de trabalho.
-
Acesso a outros endpoints a partir de um endpoint comprometido
Além das técnicas mencionadas acima, um erro comum é que, em redes, uma única conta de administrador local é usada para configurar endpoints. O problema é que a senha do admin local é reutilizada, portanto, o acesso a um endpoint pode significar acesso a outros endpoints.
A Solução de Senha de Administrador Local da Microsoft (LAPS) é gratuita e pode ser aproveitada para alternar as senhas do administrador local em uma frequência saudável e garantir a força da senha. Mas tenha cuidado com seus recursos de segurança antes de implantá-lo em sua rede; por exemplo, o LAPS armazena senhas em um atributo AD, em texto simples, que é um alvo principal em ataques de roubo de credenciais.
Também é possível extrair senhas dos arquivos de hibernação do sistema (hiberfil.sys) e arquivos de memória virtual (VMEM) de máquinas virtuais. Você também pode extrair os hashes de senha de usuários locais do Windows, incluindo contas de administrador integradas.
Da mesma forma, em máquinas Linux, as senhas são armazenadas no arquivo / etc / passwd em texto não criptografado em sistemas mais antigos e no arquivo / etc / shadow em formato hash em sistemas mais novos. Não queremos dar ideias aos hackers, mas apenas saber que é possível obter acesso às senhas nesses arquivos, mesmo com acesso não administrativo a um servidor Linux.
-
Monitorar cada mudança em seus endpoints é essencial
Suponha que um endpoint esteja infectado com malware. O malware pode se estabelecer em locais genuínos aprovados pelo sistema operacional no endpoint para evitar a detecção. Por exemplo, dentro de chaves de registro ou fluxos de dados alternativos. Ele pode até criar novos processos ou interromper os existentes.
Os endpoints também podem ser invadidos por meio de vulnerabilidades do sistema, que são essencialmente bugs que ainda não foram corrigidos pelos fornecedores do sistema operacional ou da aplicação, ou um patch crítico do fornecedor que ainda não foi aplicado pela organização. As vulnerabilidades vêm em muitas formas, por exemplo, as que permitem aos usuários executar códigos usando privilégios de administrador, contornar recursos de segurança ou executar comandos root e admin como um usuário sem privilégios. É sempre melhor manter-se atualizado sobre as correções e patches críticos e ficar de olho em seus servidores para exploração de vulnerabilidades.
-
Auditoria de segurança para proteger seus endpoints de ataques
O monitoramento e rastreamento de alterações de segurança persistentes é a única maneira de detectar atividades incomuns. Lembre-se de que uma atividade simples, como o login de um usuário em uma rede a partir de seu endpoint após o horário de trabalho pode ser uma ameaça potencial à segurança.
Vamos observar exemplos de alguns registros de segurança e as dificuldades que administradores e analistas podem enfrentar ao trabalhar com eles.
Os endpoints do Windows e do Linux registram eventos de segurança na forma de registros de auditoria e é crucial analisar esses registros para descobrir anomalias. Às vezes, pode ser necessário correlacionar os logs produzidos em momentos diferentes em vários componentes nos servidores para entender verdadeiramente o contexto subjacente.
A maioria dos administradores encaminha logs de eventos do Windows ou syslogs do Linux de vários endpoints para um servidor central para coletar, monitorar e analisá-los. Isso complica ainda mais as coisas.
É importante observar que, embora coletar e configurar registros seja bastante simples, o que importa é mais:
-
Ler e compreender os eventos de segurança registrados.
-
Técnicas de filtragem e classificação para encontrar eventos específicos.
-
Correlacionar e combinar eventos para derivar o significado subjacente.
-
Priorizando e alertando sobre eventos críticos em endpoints.
Os quatro parâmetros acima o ajudarão a descobrir quaisquer atividades confidenciais ou suspeitas e mitigar quaisquer ameaças antes que se transformem em incidentes de segurança em grande escala.
Visite nossa página do Log360 para saber mais sobre as várias maneiras pelas quais seus terminais podem ser explorados como potenciais pontos de intrusão em sua rede. Procurando uma maneira mais simples de auditar não apenas endpoints, mas todos os servidores em sua rede? Comente abaixo!
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.