Como o malware se esconde nas aplicações de uso comum

A Palo Alto Networks divulgou as conclusões de um estudo sobre a forma como os piratas informáticos exploram as aplicações empresariais de uso comum, iludindo os diferentes sistemas de segurança. O documento oferece ainda uma visão sobre a forma como os responsáveis de segurança devem reavaliar e fortalecer a sua postura.

As descobertas baseiam-se na análise dos dados de tráfego recolhidos de 5500 avaliações de rede e de milhares de milhões de registos de ameaças durante um período de 12 meses, conforme revelado na edição de 2014 do relatório ‘Application Usage and Threat’. A análise disponibiliza uma avaliação detalhada da relação entre as ameaças informáticas avançadas e as aplicações que são executadas em redes empresariais de todo o mundo.

Entre as principais conclusões, o relatório da Palo Alto Networks coloca em evidência que as aplicações mais usadas para partilhar informação, como o correio eletrónico, as redes sociais ou o vídeo, continuam a ser os veículos preferidos para o desenvolvimento de ataques. No entanto, marcam também o início de ataques de várias fases em vez de serem somente o centro de atividade das ameaças.

A Palo Alto detetou que 99% de todos os registos de malware foram gerados por uma só ameaça usando o protocolo UDP, sendo que os atacantes também usam aplicações como FTP, EDP, SSL e NetBIOS para mascarar as suas atividades. Cerca de 34% das aplicações estudadas usam encriptação SSL e muitos administradores de rede não estão conscientes de que as aplicações usadas na rede usam versões sem atualizações OpenSSL, o que pode deixar as redes expostas a vulnerabilidades como o Heartbleed.

O relatório inclui ainda informação processável para que as equipas de segurança sejam capazes de proteger as suas redes de forma mais eficaz. Assim, para implementar uma política de segurança equilibrada para aplicações comuns, com as quais se partilha informação, a chave é a documentação de políticas, a formação dos utilizadores e a atualização periódica dessas políticas.

Além disso, o controlo sobre UDP/TCP desconhecidos eliminará um volume significativo de malware, e determinar e decifrar seletivamente as aplicações que usam SSL pode ajudar as empresas a descobrir e eliminar possíveis locais onde as ameaças estão escondidas.

“A nossa investigação revela um vínculo óbvio entre as aplicações empresariais de uso comum e as ameaças cibernéticas. A maioria das infrações significativas da rede começa com uma aplicação como o correio eletrónico, que descarrega uma mensagem com um exploit. Uma vez na rede, os atacantes usam outras aplicações ou serviços para continuar a sua atividade maliciosa sem que dela os gestores de rede se apercebam. Saber como os ciberdelinquentes exploram as aplicações vai ajudar as empresas a tomar decisões mais informadas quando se trata de proteger as suas organizações dos ataques”, explica Matt Keil, Analista Sénior de Investigação da Palo Alto Networks.