A equipe do Trend Micro Managed XDR (MDR) abordou recentemente um incidente encontrado por um de seus clientes. Ele mostrou como um agente malicioso lançou um ataque furtivo em várias camadas, que primeiro explorou uma vulnerabilidade de endpoint como um caminho para o movimento lateral. Da instalação de um web shell no servidor de Nuvem comprometido por meio de uma exploração do ProxyShell, o ataque persistente progrediu para o uso de ferramentas legítimas de acesso remoto, incluindo o Remote Desktop Protocol (RDP) como seu meio final de invasão.
Primeiro foi encontrado um malware em um endpoint que o produto colocou em quarentena. Embora as plataformas tradicionais de proteção de endpoint (EPPs) parassem nesse estágio, o MDR levou em consideração o contexto da detecção. A detecção foi um malware web shell identificado como Possible_SMWEBSHELLYXBH5A, que foi encontrado em um servidor Microsoft Exchange. Isso significava uma alta probabilidade de o servidor ter sido comprometido por uma vulnerabilidade. Nesse caso, a exploração provavelmente envolveu três vulnerabilidades do ProxyShell: CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523. Isso levou a equipe a ativar o modo de resposta a incidentes e alertar o cliente envolvido.
O incidente demonstrou como é crucial que as equipes de segurança adotem uma abordagem integrada para detecção, monitoramento e resposta de ameaças para lidar com ataques rapidamente, especialmente agora que os acordos de trabalho remoto se tornaram comuns para as empresas devido à pandemia de Covid-19.
“As organizações podem aprender muitas lições com esse incidente. Uma é que as empresas não podem depender apenas do EPP para impedir ameaças persistentes porque ele é incapaz de fornecer uma visão holística necessária para detecção, investigação e resposta precoces. Como vimos, a série de ataques nesse caso usou meios furtivos para invadir o sistema, incluindo ferramentas aparentemente inofensivas em várias camadas de segurança. A complexidade dos ataques tornou ainda mais desafiador para a equipe de segurança e os pesquisadores de ameaças analisar a cadeia de eventos e chegar a uma compreensão contextual clara do cenário de ameaças em questão”, explica Cesar Candido, diretor de Vendas da Trend Micro no Brasil.
Incidentes como esse oferecem às equipes de segurança oportunidades de ver os ataques de diferentes ângulos e de uma maneira geral. Discutindo os principais insights, as empresas podem considerar ao adotar uma abordagem proativa de segurança cibernética para garantir a máxima proteção de seus sistemas.
Serviço
www.trendmicro.com
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo