Dando continuidade a Instalação e Configuração de um LAB com o Elastic SIEM[1], precisamos ativar os recursos de detecção e controles de acesso no tocante a autenticação e autorização tendo em vista que o recurso não é ativo por padrão ao instalarmos o Elasticsearch e Kibana.
A equipe da Elastic Security identificou um cluster notável de atividades maliciosas após revisar sua telemetria de prevenção de ameaças. Um certificado de assinatura de código válido é usado para assinar o malware para ajudar os invasores a permanecerem sob o radar da comunidade de segurança. Também foi descoberto um novo malware loader usado na campanha, a qual foi denominada BLISTER. A maioria das amostras de malware observadas tem poucas ou nenhuma detecção no VirusTotal. O vetor de infecção e os objetivos dos invasores permanecem desconhecidos até o momento.
SIEM significa Security Information and Event Management. As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas. Os relatórios agregam e exibem incidentes e eventos relacionados à segurança, como atividades maliciosas e tentativas de login malsucedidas. Os alertas serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras, sinalizando, consequentemente, um problema de segurança.
O dia 10 de dezembro começou com a divulgação pública da vulnerabilidade do Apache Log4j - CVE-2021-44228 afetando a popular estrutura de registro de código aberto adotada por vários aplicativos comerciais e personalizados baseados em Java. Esta vulnerabilidade, afetando as versões 2.0-beta9 a 2.14.1 do Log4j2, e já está sendo explorada por atacantes e grupos de ransomware, como APT35 e Hafnium. Uma pesquisa do Google usando Open Source Insights estima que mais de 35.000 pacotes (mais de 8% do repositório Maven Central) foram afetados pelas vulnerabilidades divulgadas recentemente, em 16 de dezembro.
Apache Log4j lançou uma correção para esta vulnerabilidade inicial no Log4j versão 2.15.0. No entanto, a correção estava incompleta e resultou em uma vulnerabilidade potencial de DoS e exfiltração de dados, registrada como CVE-2021-45046. Esta nova vulnerabilidade foi corrigida no Log4j2 versão 2.16.0. No entanto, a própria versão 2.16.0 também foi considerada vulnerável a outra vulnerabilidade DoS, levando a um novo CVE-2021-45105 e o eventual lançamento do Apache Log4j2 versão 2.17.0.
Apresentando Elasticsearch 7.16.2 e Logstash 6.8.22
Hoje, temos o prazer de anunciar a disponibilidade de novas versões do Elasticsearch e Logstash, 7.16.2 e 6.8.22 respectivamente, que atualiza o Apache Log4j2 para a versão 2.17.0. Também retemos as mitigações entregues em 7.16.1 e 6.8.21. A soma das mitigações contra as mitigações Log4j entregues em 7.16.2 e 6.8.22 incluem:
Nem só de logs vive um SIEM. A Elastic começou seu projeto com um motor de buscas e foi avançando em oferecer recursos para análises de métricas em aplicações e algo bem útil para a correlação de eventos de rede por meio do protocolo Netflow.
Quando é utilizado o SNMP, apenas é possível ver o volume de um tráfego de rede gerado por um ativo de rede mas não o conteúdo o qual originou esse tráfego. Imaginemos a situação onde é preciso saber quanto de consumo foi gerado por requisições de DNS. Apenas com SNMP, é impossível detalhar os eventos de redes por protocolos, aplicações, IP de origem/destino, porta de origem/destino entre outras informações. O protocolo trás toda essa riqueza de detalhes e pode ser agregado ao Elastic SIEM por meio do filebeat o qual vai coletar todos esses eventos de rede de um roteador de borda ou outros equipamentos.
No Elastic Security 7.16, várias novas integrações de dados prontas para o uso com o Elastic Agent simplificam a ingestão e normalização de dados, potencializando as operações de segurança. A versão também apresenta suporte total à produção para várias integrações de dados existentes. Nesta versão, foi apresentado um conjunto expandido de proteções contra comportamentos maliciosos, abordando métodos relacionados ao acesso inicial, escalonamento de privilégios e evasão de defesa. Também oferece proteção contra ameaças ao dump de memória para macOS e Linux e aprimora o suporte do ECS para o Osquery Manager. Além disso, foi aprimorada a colaboração entre organizações com novas e aprimoradas integrações de fluxo de trabalho para o ServiceNow.
>>> LEIA O ARTIGO COMPLETO <<<
Apache Software Foundation lançou correções para conter a vulnerabilidade de 0-day (CVE-2021-44228) ativamente explorada que afeta a biblioteca de registro baseada em Java (Java Naming and Directory Interface - JNDI) do Apache Log4j amplamente usada que pode ser utilizada como forma de execução de códigos maliciosos e permitir uma tomada completa de sistemas vulneráveis. O problema diz respeito a um caso de remote code execution (RCE), não autenticado, em qualquer aplicativo que usa o utilitário de código aberto e afeta as versões Log4j 2.0-beta9 até 2.14.1. O bug obteve uma pontuação perfeita de 10 em 10 no sistema de classificação CVSS, indicativo da gravidade do problema.
[ >>> LEIA O ARTIGO COMPELTO <<< ]
Osquery é um projeto Opensource desenvolvido a partir do Facebook. Como o nome sugere, o Osquery ajuda a consultar os recursos do sistema operacional usando SQL. Ele expõe os conceitos subjacentes do sistema operacional, como processos, arquivos, rede como tabelas SQL.
Você pode escrever uma consulta SQL simples para ver os processos em execução ativa em seu sistema.
> SELECT pid, name, path FROM processes;
A mesma consulta SQL pode ser agendada para ser executada periodicamente e observar as mudanças no sistema. Isso torna mais fácil observar as métricas do sistema operacional de baixo nível.
Como funciona?
Osquery é compatível com a maioria das distribuições baseadas em Linux, Windows e Mac. O Osquery pode ser baixado aqui.
Osquery tem dois componentes:
Depois de instalar o Osquery em seu respectivo sistema host, usando as instruções dos documentos oficiais. Você precisa rodar um Elasticsearch, Kibana & Fleet Server para que os logs de resultados do osqueryd sejam enviados.
Existem algumas maneiras de se comunicar com o osqueryd e visualizar os dados no Elastic Stack.
Protected Process Light
O Windows 8.1 introduziu o conceito de Protected Process Light (PPL), que permite que programas especialmente assinados sejam executados de forma a serem imunes a adulteração e encerramento, mesmo por usuários administrativos. O objetivo é impedir que o malware seja executado de forma descontrolada - adulterando processos críticos do sistema e encerrando os aplicativos anti-malware. Há uma hierarquia de “níveis” de PPL, com os de privilégios mais altos imunes à violação por aqueles de privilégios mais baixos, mas não vice-versa.
Para obter mais informações sobre os processos PPL, consulte os seguintes recursos:
As ofertas de nuvem oferecem eficiência de custos e agilidade, no entanto, o processo de migração e a complexidade do gerenciamento podem representar desafios. O Elastic permite que as organizações monitorem, analisem e protejam seus Amazon Web Services (AWS) e on premisse em uma única plataforma unificada - em cada estágio de sua jornada de adoção da nuvem - mesmo enquanto migram cargas de trabalho. Isso pode ajudar a garantir economia de tempo e custos, ao mesmo tempo que reduz o risco.
Neste post, discutiremos como Elastic e AWS trabalham juntos para acelerar a jornada de migração da carga de trabalho e garantir uma transição tranquila para a nuvem.
Benefícios e desafios da adoção da nuvem
Existem muitos motivadores de negócios por trás da transformação digital, desde a entrega de melhores resultados para o cliente e maior produtividade dos funcionários até o suporte à modernização de aplicativos e cargas de trabalho de IA. As organizações também buscam a nuvem para fornecer escalabilidade e atender a rígidas diretrizes de conformidade e segurança, ao mesmo tempo em que simplificam sua arquitetura de dados. Os objetivos finais por trás da adoção da nuvem são um tempo de entrada no mercado mais rápido, revelando melhores insights e reduzindo os custos gerais de TI.
No entanto, as recompensas de mudar para a nuvem não são isentas de riscos. Os desafios comuns enfrentados pelas organizações incluem:
Neste post, que terá atualizações contínuas, vou atualizar com materiais de estudos para ampliar os conhecimentos no uso da stack Elastic Security.
Informações dos Produtos
Grupos e Mídias Sociais
A auditoria em redes é um procedimento fundamental para manter a segurança da informação dentro das empresas. Assim, é possível evitar a atuação de cibercriminosos, garantindo a confiabilidade e a reputação do negócio.
Confira neste artigo como a solução Elastic Security (SIEM), pode te ajudar no primeiro passo no processo de auditoria.
Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso. Os usuários cujas contas são configuradas com poucos privilégios administrativos, no sistema, podem ser menos afetados em relação aos usuários com maiores permissões administrativas.
Após a conclusão desta investigação, a Microsoft tomará as medidas adequadas para ajudar a proteger seus clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio do processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora do ciclo.
Mitigação
Por padrão, o Microsoft Office abre documentos da Internet no Modo de Exibição Protegido ou no Application Guard for Office, ambos evitando o ataque atual. Para obter informações sobre o modo de exibição protegido, consulte O que é modo de exibição protegido.
Medida Técnica
Desabilitar a instalação de todos os controles ActiveX no Internet Explorer atenua esse ataque. Os controles ActiveX instalados anteriormente continuarão em execução, mas não expõem essa vulnerabilidade.
1. Crie um arquivo de registro de sistema, salvando-o com a extensão .reg. Em seguida, cole o código abaixo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
2. Clique duas vezes no arquivo para aplicar a modificação
3. Reinicie o sistema
Para reversão desssa medida técnica, basta excluir o registro aplicado.
Nos últimos dias, temos visto uma onda crescente de ataques envolvendo ransomware e outras diversidades de malwares, trazendo prejuízos financeiro a diversos segmentos de negócios. Ter um SIEM, munido de recursos que facilitem uma investigação de atividades suspeitas, pode dar vantagem maior à frente das ações de atacantes buscando brechas de vulnerabilidades ou que já estejam infiltrados em um ambiente corporativo tomando medidas para escalação de privilégios, movimentos laterais ou até pivoteamento entre redes distintas.
Leia o artigo completo em -> Base de Reputação de IPs no Elastic SIEM
Quase 14 milhões de sistemas baseados em Linux estão diretamente expostos à Internet, tornando-os um alvo lucrativo para uma série de ataques do mundo real que podem resultar na implantação de web shell maliciosos, mineradores de bitcoins, ransomware e outros cavalos de Tróia.
De acordo com uma análise aprofundada do cenário de ameaças do Linux, publicado pela empresa de segurança cibernética Trend Micro, detalhando as principais ameaças e vulnerabilidades que afetam o sistema operacional na primeira metade de 2021, com base em dados acumulados de honeypots, sensores e telemetria anônima.
A empresa, que detectou quase 15 milhões de eventos de malware voltados para ambientes de nuvem baseados em Linux, a pesquisa também revelou que os mineradores de bitcoins e ransomware representam 54% de todos os malwares, web shell representam uma participação de 29%.
A U.S. Cybersecurity and Infrastructure Security Agency (CISA), está alertando sobre tentativas de exploração ativa que aproveitam a linha mais recente de vulnerabilidades "ProxyShell" do Microsoft Exchange corrigidas no início de maio, incluindo a implantação de ransomware LockFile em sistemas comprometidos.
Identificadas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207, as vulnerabilidades permitem que os atacantes ignorem os controles ACL e elevem os privilégios no back-end do Exchange PowerShell, permitindo efetivamente que o invasor execute a execução remota de código não autenticado. Enquanto os dois primeiros foram resolvidos pela Microsoft em 13 de abril, um patch para o CVE-2021-31207 foi enviado como parte das atualizações do Patch Tuesday.
Agora, de acordo com pesquisadores do Huntress Labs, pelo menos cinco estilos distintos de web shells foram observados como implantados em servidores Microsoft Exchange vulneráveis, com mais de 100 incidentes relatados relacionados à exploração entre 17 e 18 de agosto. para os servidores comprometidos, mas não está claro exatamente quais são os objetivos ou até que ponto todas as falhas foram utilizadas. Mais de 140 web shells foram detectados em nada menos que 1.900 servidores Exchanger não corrigidos até o momento.
Ataques LockFile foram registrados principalmente nos EUA e na Ásia, suas vítimas incluindo organizações nos seguintes setores: serviços financeiros, manufatura, engenharia, jurídico, serviços comerciais, viagens e turismo.
Pesquisadores de segurança da Symantec, uma divisão da Broadcom, disseram que o acesso inicial do atacante à rede é por meio de servidores Microsoft Exchange, mas o método exato permanece desconhecido no momento. Em seguida, o invasor assume o controlador de domínio da organização, aproveitando o novo método PetitPotam, que força a autenticação para uma retransmissão NTLM remota sob o controle de LockFile.
O método de ataque do LockFile parece contar com um código disponível publicamente para explorar a variante PetitPotam original (identificada como CVE-2021-36942).
Depois que os invasores assumem, com êxito, o controlador de domínio, eles têm efetivamente o controle de todo o domínio do Windows e podem executar qualquer comando que desejarem.
A Symantec analisou a cadeia de ataques do LockFile e observou que os atacantes normalmente passam vários dias na rede antes de acionarem o malware de criptografia dos arquivos. Ao comprometer o servidor Exchange da vítima, o invasor executa um comando do PowerShell para baixar um exploit para a máquina local.
Os pesquisadores afirmam que, quando acionada, a DLL tenta carregar e descriptografar um arquivo chamado “desktop.ini” que contém o código malicioso. A Symantec não recuperou o arquivo para análise, mas afirma que uma operação bem-sucedida termina com a execução do shellcode.
"Essas atualizações corrigem uma vulnerabilidade crítica de segurança e precisam ser consideradas imediatamente", disse Bob Plankers, arquiteto de marketing técnico da VMware.
"Esta vulnerabilidade pode ser usada por qualquer pessoa que possa acessar o vCenter Server pela rede para obter acesso, independentemente de você usar ou não o vSAN."
Nesta era de ransomware, é mais seguro presumir que um invasor já está dentro da rede em algum lugar, em um desktop, e talvez até mesmo no controle de uma conta de usuário, razão pela qual recomendamos fortemente declarar uma mudança de emergência e aplicar patches assim que possível. - VMware
A vulnerabilidade relatada em particular com uma pontuação básica CVSSv3 de 9,8 em 10 está sendo notificada como CVE-2021-21985 e afeta o vCenter Server 6.5, 6.7 e 7.0, de acordo com o comunicado de segurança da VMware.
Essa falha de segurança foi relatada por Ricter Z da 360 Noah Lab e pode ser explorada remotamente por atacantes não autenticados em ataques de baixa complexidade que não requerem interação do usuário.
"Um agente malicioso com acesso de rede à porta 443 pode explorar esse problema para executar comandos com privilégios irrestritos no sistema operacional subjacente que hospeda o vCenter Server."
De acordo com a VMware, o vulnerável "plug-in Virtual SAN Health Check é habilitado por padrão em todas as implantações do vCenter Server, esteja ou não o vSAN sendo usado"
A empresa também corrigiu hoje um problema de mecanismo de autenticação de gravidade média notificada como CVE-2021-21986 e afetando o Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e plug-ins de disponibilidade do VMware Cloud Director.
A VMware fornece medidas alternativas projetadas para remover o vetor de ataque e a possibilidade de exploração, definindo os plug-ins afetados como "incompatíveis".
"Desativar um plugin de dentro da interface do usuário não impede a exploração", diz VMware. "As ações a seguir devem ser executadas nos nós ativos e passivos em ambientes que executam o vCenter High Availability (VCHA)."
A empresa também oferece aos clientes as melhores práticas de segurança básicas para o vSphere no vSphere Security Configuration Guide.
Mitigações
As seguintes recomendações devem ser levadas em consideração para mitigação dos ataques:
O NIC.br disponibilizou uma cartilha com melhores práticas de segurança na internet e que podem servir como base para campanhas de conscientização dos funcionários, em sua empresa, no tocante a importância da segurança da informação para o negócio.
--------------
Nossos canais:
Facebook | Telegram | Twitter | YouTube
Foram identificadas 2 vulnerabilidades e registradas nos CVEs:
Para quem não está familiarizado com o termo: bug bounty é um programa de premiação mantido por empresas como Facebook e Google, por exemplo, para premiar pesquisadores e desenvolvedores que descobrem vulnerabilidades nas suas aplicações.
Compilamos as 5 plataformas de recompensa de bugs mais promissoras para aqueles que desejam aprimorar seu arsenal de teste de software existente com o conhecimento e a experiência de pesquisadores de segurança internacional:
1 - HackerOne
O HackerOne é provavelmente a marca Bug Bounty mais conhecida e reconhecida do mundo. De acordo com seu relatório anual, mais de 1.700 empresas confiam na plataforma HackerOne para aumentar suas capacidades de teste de segurança de aplicativos internos. O relatório também afirma que seus pesquisadores de segurança ganharam aproximadamente US $ 40 milhões em recompensas somente em 2019 e US $ 82 milhões cumulativamente.
O HackerOne também é famoso por hospedar programas Bug Bounty do governo dos EUA, incluindo o Departamento de Defesa dos EUA e os programas de divulgação de vulnerabilidades do Exército dos EUA. Como alguns outros fornecedores comerciais de Bug Bounties e Vulnerability Disclosure Programs (VDP), o HackerOne agora também oferece serviços de pentest recheados de pesquisadores de segurança avaliados de todo o mundo. HackerOne tem um sólido portfólio de certificações de segurança, incluindo ISO 27001 e autorização FedRAMP.
2 - BugCrowd
Fundado pelo especialista em segurança Casey Ellis, o BugCrowd é provavelmente a plataforma Bug Bounty mais criativa e inventiva. BugCrowd promove ativamente não apenas os serviços tradicionais de teste de segurança, mas também gerenciamento de superfície de ataque e um amplo espectro de serviços de pentest para IoT, API e até mesmo rede, ficando à frente de seus concorrentes no mercado de trabalho com um rápido crescimento.
BugCrowd é famoso por hospedar programas Bug Bounty para gigantes da indústria como Amazon, VISA e eBay, bem como a venerada associação de educação em segurança cibernética (ISC) ².
3 - OpenBugBounty
O projeto OpenBugBounty está em ascensão e é a única plataforma Bug Bounty em nossa lista sem fins lucrativos. Com mais de 1.200 programas Bug Bounty ativos, o OpenBugBounty também permite a divulgação coordenada de problemas de segurança em qualquer site se as mesmas foram detectadas por meios não intrusivos. A criação do programa Bug Bounty é totalmente gratuita e os proprietários do site não são obrigados a fazer pagamentos em dinheiro aos pesquisadores - mas são encorajados a pelo menos agradecer aos pesquisadores e fornecer uma recomendação pública por seus esforços.
OpenBugBounty hospeda programas Bug Bounty para empresas como A1 Telekom Austria e Drupal, com mais de 20.000 pesquisadores de segurança e quase 800.000 vulnerabilidades de segurança enviadas até agora. A plataforma afirma que suas políticas e processos de divulgação são baseados no padrão ISO 29147.
4 - SynAck
Apoiado por muitos fundos de capital de risco renomados, incluindo Intel Capital e Kleiner Perkins, SynAck foi nomeada empresa "CNBC Disruptor" quatro vezes consecutivas, de 2015 a 2019. SynAck está no topo das plataformas comerciais Bug Bounty, também mencionadas no Top 25 Enterprise Software Startups da Gartner .
Fundada por Jay Kaplan e Mark Kuhr, visionários de segurança e veteranos de renome das agências de segurança nacional dos EUA, a SynAck oferece uma equipe de elite de pesquisadores de segurança cibernética exaustivamente avaliados, conhecida como "Red Team" (SRT). De acordo com a SynAck, o grupo SRT é composto por especialistas em segurança com experiências.
5 - YesWeHack
A única empresa europeia de divulgação de vulnerabilidades e Bug Bounty, YesWeHack atrai com eficiência empresas baseadas na UE cuja principal preocupação é a privacidade e proteção de dados. Recentemente, a YesWeHack anunciou um crescimento recorde de 250% durante 2020 na Ásia, demonstrando que as startups europeias são capazes de crescer globalmente.
Semelhante ao BugCrowd, o YesWeHack está bem preparado para investir em seu capital humano. No ano passado, lançou um programa de treinamento para ajudar os caçadores de Bug Bounty a aprimorar suas habilidades de hacking com a plataforma YesWeHack DOJO. Ele apresenta cursos introdutórios e desafios de treinamento com foco em vulnerabilidades de segurança específicas e playgrounds.
Com o DOJO, pesquisadores de segurança de todo o mundo podem aprimorar suas habilidades em testes de segurança de software. Por fim, YesWeHack demonstra de forma persuasiva a sua capacidade de atrair clientes europeus de renome, como o conglomerado francês OVH.
6 - BugHunt
Uma empresa 100% tupiniquim e que possui o mesmo estilo de trabalho das demais já apresentadas. A BugHunt está em conformidade com os mais rigorosos padrões e regulamentos nacionais e internacionais para proteger os interesses de seus clientes e especialistas.
Na plataforma a empresa pode definir o escopo que necessita para testar seus produtos. Para pequenas e médias empresas, abrir um bug bounty na BugHunt custará bem menos do que contratar um pentest. A empresas poderão abrir programas em duas modalidades: pública e privada. Na primeira, o programa estará exposto para qualquer participante da plataforma – a participação é gratuita. Na segunda, há um custo de participação porque a empresa pode escolher profissionais na lista dos dez melhores hackers da BugHunt.
