Apakah Microsoft Defender for Endpoint Security cukup baik?

Laporan terbaru
A mengungkapkan bagaimana pelaku ancaman siber mulai menggunakan alat simulasi musuh Brute Ratel C4 (BRc4) untuk menemukan cara menghindari deteksi keamanan titik akhir dan berhasil menembus jaringan yang dianggap aman. Pelaku ancaman tak dikenal ini berhasil mengirimkan muatan BRc4 “luak” untuk akses jarak jauh, yang tidak ditandai sebagai berbahaya oleh sebagian besar alat keamanan yang ada.

Aktor Ancaman Sekarang Gunakan Simulasi Musuh untuk Menghindari Keamanan Titik Akhir

Ini menunjukkan bahwa simulasi musuh tidak hanya menguntungkan pembela keamanan. Keuntungannya juga dapat dimanfaatkan oleh aktor jahat untuk mengatasi pertahanan. Alat tim merah dan ungu yang tersedia untuk para profesional keamanan siber juga tersedia dan dapat berguna bagi musuh yang alat ini dimaksudkan untuk memerangi.

Mengalahkan keamanan titik akhir?

Untuk menjadi jelas, serangan yang memanfaatkan alat Brute Ratel C4 ini tidak berarti titik akhir itu solusi keamanan secara efektif menjadi tidak berguna. Kegagalan sebagian besar alat keamanan untuk mendeteksi muatan berbahaya hanya berlangsung dalam waktu yang relatif singkat. Setelah ditemukan, kontrol keamanan telah diperbarui dengan cepat untuk mendeteksi metode serangan baru ini.

Banyak solusi keamanan titik akhir saat ini telah menggabungkan MITRE ATT&CK dan kerangka kerja keamanan lainnya. Mereka berbagi intelijen ancaman dunia maya secara global, yang membantu memastikan bahwa serangan yang baru ditemukan segera dikomunikasikan kepada semua pihak terkait agar mereka dapat menerapkan pembaruan yang diperlukan dan dapat mendeteksi serangan yang ada dan baru secara efektif.

Juga, laporan tersebut (dikutip dalam paragraf pertama) mengatakan bahwa ada dua dari 66 produk keamanan titik akhir yang diuji berhasil mendeteksi muatan anomali. Beberapa produk keamanan bekerja lebih baik daripada yang lain, dan tidak ada yang aneh tentang itu. Vendor keamanan memiliki kemampuan yang berbeda dalam menangani serangan zero-day atau ancaman yang belum ditambahkan ke pusat intelijen ancaman mereka.

Bagaimana peran `simulasi BRc4 ditemukan

Salah satu file berbahaya yang diamati telah lolos dari deteksi adalah file ISO yang dibuat untuk tampil sebagai pengajuan CV. Jika target mengklik dua kali pada file menipu ini, prompt perintah diluncurkan bersama dengan OneDriverUpdater.exe.

Kemudian, file Version.dll yang dimodifikasi memuat file muatan terenkripsi yang disebut OneDrive.update, yang kemudian didekripsi dan memuat tahap pertama dari shellcode . Kode ini dijalankan sebagai utas Windows di RuntimeBroker.exe dan mulai berhubungan dengan IP 174.129.157[.]251 pada port TCP 443.

Sebuah file berbahaya serupa yang disebut badger_x64.exe ditemukan. Ini berkomunikasi dengan IP 159.65.186[.]50 pada port 443. Peneliti keamanan menemukan koneksi tambahan ke file berbahaya ini (setelah dieksekusi), yang memungkinkan untuk mengidentifikasi calon korban pelanggaran di Amerika Utara dan Selatan.

Para peneliti keamanan yang mempelajari skema baru ini mencatat bahwa file berbahaya dikomunikasikan dengan alamat IP yang menggunakan sertifikat SSL yang ditandatangani sendiri, yang diketahui meniru Microsoft Security. Saat mereka menggali lebih jauh, mereka mengetahui bahwa ada upaya lebih lanjut untuk menghubungi lusinan alamat IP lainnya dan tujuh sampel BRc4.

“Saat ini, 12 vendor mengidentifikasi sampel sebagai berbahaya dengan delapan mengklasifikasikan sampel ini sebagai `Brutel,` lebih lanjut mendukung bahwa dalam -kode memori entah bagaimana terkait dengan Brute Ratel C4,” jelas para peneliti.

Selain itu, penggunaan file ISO yang dijelaskan di atas menyerupai cara kerja APT29 atau Cozy Bear. Karena itu, para peneliti berpikir bahwa pelaku ancaman menggunakan BRc4 untuk menghasilkan muatan anomali mereka. Ini hanya kecurigaan, tetapi sejumlah peneliti dilaporkan mempertimbangkan kemungkinan bahwa aktor ancaman tertarik menggunakan alat Brute Ratel untuk membantu serangan mereka.

Dari Cobalt Strike ke Brute Ratel

Penggunaan simulasi musuh dan solusi tim merah adalah tidak baru. Ini telah dilakukan dengan Cobalt Strike sebelumnya. Operator Ransomware dan penjahat dunia maya lainnya dilaporkan telah membagikan versi crack dari alat simulasi ini untuk menyerang jaringan perusahaan dan menyebarkan file berbahaya secara lateral. Meskipun Brute Ratel tidak secara tepat dijelaskan oleh peneliti keamanan sebagai jauh lebih kuat dan lebih canggih daripada Cobalt Strike, Brute Ratel menonjol karena dorongan keamanan titik akhirnya.

Peneliti keamanan mencirikan Brute Ratel sebagai “unik berbahaya.” Ini adalah solusi yang dibuat khusus untuk mengatasi deteksi titik akhir dan respons (EDR) dan fungsi antivirus untuk membantu tim keamanan dalam memperkuat pertahanan mereka. Namun, sekarang tampaknya juga melayani kepentingan aktor ancaman.

A produk keamanan siber yang bermaksud baik

Mencari komentar atas temuan baru-baru ini, pencipta Brute Ratel Chetan Nayak menyatakan kesediaannya untuk bekerja sama dengan mereka yang bekerja untuk mengatasi ancaman yang muncul yang melibatkan simulasi musuh ini. tool.

Dalam posting Twitter yang sekarang telah dihapus, Nayak menulis, “Saya siap untuk dihubungi dan siap membantu otoritas terkait untuk memberikan informasi yang relevan.” Juga, Nayak menepis komentar dari beberapa peneliti keamanan bahwa geng ransomware adalah yang menggunakan alat Brute Ratel untuk tujuan jahat. “Yah, itu bukan geng ransomware, tetapi karena NDA, tidak dapat mengungkapkan banyak…”

Nayak mengatakan bahwa ada beberapa proses pemeriksaan yang dilakukan sebelum menjual alat Brute Ratel kepada pengguna, untuk memastikan bahwa itu tidak disalahgunakan atau disalahgunakan. “Kami hanya menjual produk ke perusahaan dan individu terdaftar dengan alamat email/domain bisnis resmi setelah memverifikasi bisnis dan riwayat pekerjaan orang tersebut,” situs web Brute Ratel menunjukkan.

Namun, tidak ada jaminan bahwa alat tersebut tidak akan digunakan dari penjahat dunia maya. Situs web Brute Ratel, bagaimanapun, menegaskan bahwa penggunaan Brute Ratel untuk aktivitas jahat tidak diizinkan. “Jika kami menemukan bahwa perangkat lunak digunakan untuk aktivitas jahat, kami berhak untuk membatalkan lisensi dan memberikan bantuan kepada kantor penegak hukum.”

Apa yang perlu dilakukan

Tidak masuk akal untuk berharap bahwa secara praktis mungkin untuk memastikan bahwa hanya perusahaan atau individu yang sah mendapatkan akses ke simulasi musuh Brute Rate dan solusi tim merah. Penjahat dunia maya akan selalu menemukan cara untuk mendapatkan apa yang mereka inginkan.

Yang dapat dilakukan adalah vendor EDR dan penyedia solusi keamanan dunia maya, secara umum, memperbarui layanan mereka untuk memungkinkan deteksi semua aktivitas Brute Ratel dan mengambil tindakan proaktif terhadap ancaman yang dapat ditimbulkannya. Peneliti keamanan yang mengungkap ancaman baru ini telah membagikan IoC dan sampel file yang terkait dengan ancaman baru ini. Perusahaan keamanan siber perlu memperbarui sistem mereka sebagai tanggapan.

Di pihak perusahaan dan pengguna solusi keamanan titik akhir lainnya, disarankan untuk memperbarui sistem keamanan sesegera mungkin. Sebaiknya kirimkan pertanyaan ke penyedia keamanan untuk memastikan bahwa solusi keamanan yang diterapkan sudah mampu mendeteksi aktivitas Brute Rate.

Selain itu, karena MITER ATT&CK telah memetakan ancaman baru ini, organisasi akan membantu untuk mengintegrasikan ini framework atau menggunakan platform validasi keamanan yang menggabungkan MITRE ATT&CK sebagai bagian dari postur keamanan mereka.

Apakah Microsoft Defender untuk Endpoint Security cukup baik?

OS Windows Defender asli bukanlah pertahanan yang buruk terhadap serangan titik akhir. Namun, Microsoft belum merilis pernyataan apa pun mengenai kemampuan Windows Defender untuk menangkap aktivitas Brute Rate. Namun, ada alasan untuk percaya bahwa Microsoft sedang mengerjakannya atau telah mengeluarkan pembaruan.

Juga, Microsoft adalah salah satu pengguna kerangka kerja MITER ATT&CK. Microsoft Defender for Endpoint melakukan Evaluasi MITER Engenuity ATT&CK® dan muncul sebagai salah satu pemimpin industri dalam hal menghentikan serangan endpoint lanjutan di berbagai platform.

Ancaman Brute Ratel yang baru ditemukan membuktikan betapa cerdiknya penjahat cyber. Mereka dapat mengubah alat yang digunakan untuk perlindungan dunia maya menjadi alat yang dapat menghancurkan pertahanan. Untungnya, komunitas keamanan siber tidak memiliki kelangkaan kolaborasi, kerangka kerja, alat, dan pakar dermawan yang berbagi temuan dan solusi terbaru mereka. Terserah organisasi dan target serangan cyber potensial lainnya untuk menggunakan ini untuk keuntungan mereka.