FALHA GRAVE NO JAVA PERMITE VÍRUS INVADIR WINDOWS

A Kaspersky Lab descobriu um novo vírus que ataca os sistemas Windows, MAC OS e Linux, esse vírus se aproveita de uma falha grave no Java (CVE-2013-2465) e assim que instalado pode ser encontrado pelo nome de “jsuid.dat“.

Esse vírus utiliza o protocolo IRC para se comunicar com o invasor e a framework PircBot para implementar a comunicação. O vírus foi projetado para fazer ataques DDoS, por tanto a maquina infectada fará parte de uma rede de computadores zumbis, que em um determinado momento recebera o comando do invasor para atacar um determinado servidor, dessa forma o servidor não conseguira processar e muito menos responder os milhares ou milhões de pacotes e acabará ficando lento ou caindo.

Como sempre a Oracle que é a desenvolvedora do Java, recomenda que todos os usuários sempre utilizem a versão mais recente do Java, que provavelmente já tem a correção para falha, porém nem sempre a Oracle consegue corrigir a falha no mesmo dia ou semana que a mesma é descoberta, por isso sempre que uma falha dessa é encontrada, o recomendável a desativarmos o Java, pelo menos até que uma nova atualização seja lançada.

Usando técnicas de Deception para Conter Ataques de RDP

Os atacantes usam ataques de Remote Desktop Control (RDP) não apenas para acessar hosts comprometidos, mas também realizam scans para comprometer outros sistemas abertos e alcançar o objetivo do ataque. Técnicas e tecnologias de Deception interrompem esses ataques de diferentes formas. Primeiro, ao implementar os sistemas isca com serviços possíveis para o RDP, o atacante irá enxergar uma mistura de sistemas semelhantes e ganhar uma falsa percepção do tamanho do ambiente do alvo. Se eles engajarem com um dos sistemas isca, independente do atacante usar criptografia no tráfego para chegar lá, a isca vai identificar, acionar um alerta e gravar tudo que o atacante fizer. A informação forense vai fornecer à equipe de resposta a incidentes insights sobre o atacante, levando inteligência para melhora das defesas existentes e mitigando futuros ataques.

Além de iscas de rede, o Deception pode ser feito por meio de trilhas e credenciais falsas, incluindo credenciais específicas de RDP, levando os atacantes diretamente para as iscas e longe dos ativos reais. Não importa quão sofisticado foi o método empregado pelo atacante para realizar o comprometimento inicial, o Deception leva o atacante a se revelar, de forma que o time de respostas pode interromper o ataque e rapidamente remediar caso exista algum dano. Uma vez que a equipe descubra um host comprometido, eles podem buscar ativamente por outros sistemas acessados pelo atacante, incluindo conexões RDP para melhor compreender o escopo do comprometimento e remediá-lo.

Os 5 tipos mais comuns de ataques DDoS

A incidência de ataques DDoS vêm aumentando a cada ano. Além da quantidade, a “qualidade” desses ataques também melhora. Hoje, um DDoS bem feito pode derrubar dezenas de servidores ao mesmo tempo, causando perdas de horas-serviço e outros prejuízos para o negócio. Um estratégia de segurança eficiente para combater esse tipo de ataque inclui a habilidade de distinguir entre os diferentes tipos e saber contra o que você está se protegendo. Com isso em mente, vamos aos 5 tipos de DDoS mais frequentes:

Syn Flood: Esse ataque ocorre quando pacotes SYN mascarados completam parcialmente a conexão com os servidores, bombardeando-os até caírem. A boa notícia é que os SYN Floods de baixo volume podem ser parados por firewalls de software. Já ataques de muito volume requerem equipamento especializado com capacidades de proxy SYN.

Zombie Flood: Esse é quando conexões sem máscara transbordam os serviços, causando paralisia da rede. Diferente dos SYN Floods, o Zombie Flood é mais difícil de parar, a não ser que a empresa possua alguma tecnologia de análise de comportamento.

ICMP Flood: Esse ataque ocorre como resultado de pacotes ICMP que transbordam os servidores e o pipe até o ponto de falha do sistema. Ataques de baixo volume podem ser facilmente detidos pelo Controle de Acesso de roteadores e switches. Contudo, os de alto volume necessitam equipamento especializado.

Non-Service Port Flood: Neste ataque, pacotes de TCP/UDP bombardeiam os servidores, aumentando o tráfego em portas pouco utilizadas. As empresas podem combater esses ataques com ACL’s, mas ataques mais poderosos requerem soluções de segurança mais robustas.

Service Port Flood: Neste tipo de ataque, pacotes bombardeiam os servidores em portas que usualmente já suportam muito tráfego, como por exemplo, a porta TCP 80. O ataque é feio de dentro e de fora da rede ao mesmo tempo. Esse tipo é um dos mais traiçoeiros para serem mitigados pelas soluções tradicionais de segurança, incluindo firewalls e IPS. Para conter essa ameaça, as empresas precisam investir em soluções mais sofisticadas.

Como mitigar de forma efetiva os ataques DDoS

Para mitigar os ataques de DDoS, principalmente quando eles ocorrem em alto volume, é preciso contar com uma inteligência e infraestrutura de segurança robusta. O Monitoramento Contínuo é essencial para que a Equipe de Resposta a Incidentes possa reagir rapidamente frente a qualquer ataque de DDoS. Quando se conta com uma infraestrutura de monitoramento, ganha-se muito em inteligência de segurança e resposta a incidentes. Ao Monitoramento Contínuo, deve-se aliar firewalls bem gerenciados, soluções endpoint e IPS. É o conjunto da infraestrutura de segurança que permitirá a mitigação real dessas ameaças.