Palo Alto Networks Detecta um Aumento Desconhecido de Malware nas Redes Empresariais
Os hackers continuam a modificar o Malware e a desenvolver estratégias para esconder das ferramentas de segurança.
A Exclusive Networks, distribuidor de valor acrescentado especializado em soluções de segurança e de comunicações, representante em Portugal dos produtos da Palo Alto Networks, anunciou que uma nova pesquisa da Palo Alto Networks, conduzida a partir do Wildfire TM, o motor de analise de malware da empresa, mostra que os malwares direcionados e desconhecidos são uma realidade nas redes empresariais atuais, tendo encontrado centenas de amostras únicas de malware previamente desconhecido em redes ativas. Cada rede que testou a tecnologia virtual sandbox do WildFire descobriu casos de ataques reais de malware que eram, até então, desconhecidos para a indústria de segurança. Os investigadores foram também capazes de observar como as campanhas de phishing se estão a ramificar para novas aplicações de transporte de malware, tais como o hosting de arquivos baseado em web e aplicações de webmail.
Mais de metade do malware encontrado pelo WildFire era desconhecido da indústria de segurança
O novo mecanismo WildFire de analise baseado em cloud detectou que sete por cento de todos os arquivos desconhecidos analisados continham malware. Durante um período de três meses a analisar arquivos desconhecidos a partir da Internet, entrando dentro de redes empresariais, foram descobertas mais de setecentas amostras únicas de malware, cinquenta e sete por cento das quais não eram cobertas por qualquer serviço de antivírus, ou eram desconhecidos pelo Virus Total no momento da descoberta. De todos os malwares identificados, quinze por cento também gerou um comando de saída e controlo de trafego desconhecido ou malicioso.
“Acho que ficamos todos um pouco surpreendidos com o volume e a frequência com que fomos encontrando malwares desconhecidos nas redes ativas”, disse Wade Williamson, Senior Security Analyst da Palo Alto Networks. “O malware desconhecido representa muitas vezes o ponto principal de um ataque organizado, pelo que estes dados ressaltam bastante a importância da passagem das novas tecnologias anti-malware para fora do laboratório e da entrega das mesmas a equipas de TI que estão na linha da frente. A capacidade de detectar, remediar e investigar o malware desconhecido precisa de se tornar num componente pratico de uma estratigia de prevenção contra ameaças, da mesma forma que o IPS e a filtragem de URL são usados hoje.”
Os criminosos utilizam novos tipos de aplicações Web para a distribuição de Malware
O WildFire descobriu que o malware zero-day foi distribuído por uma grande variedade de aplicações web, além da navegação HTTP e do trafego de e-mail tradicionalmente associados à distribuigco de malware. Através das capacidades das firewalls da próxima geração em analisar todas as aplicações, o WildFire foi capaz de identificar as campanhas de phishing específicas com base na sua afinidade para aplicações particulares. Um hacker usou o AOL Mail quase exclusivamente, enquanto outro utilizava o serviço de hosting de arquivos Hotfile como vector de entrega.
Para fornecer o contexto para a generalidade das aplicações da empresa, a Palo Alto Networks publicou anteriormente uma pesquisa relativa a Maio de 2011 intitulada Application Usage and Risk Report , na qual mostra que o trafego das aplicações de partilha de ficheiros baseada em navegadores foi observado em noventa e um por cento das 1253 redes de empresas analisadas entre Outubro de 2010 e Abril de 2011.
“É importante ressalvar isto, porque muitas empresas só inspecionam o trafego de e-mail ou FTP para o malware, mas não têm a capacidade de examinar outras aplicações. As aplicações que se baseiam em HTTP ou noutros protocolos podem transportar malware que são invisíveis para uma solução tradicional de detecção de malware”, disse Williamson. “Estes são exemplos das grandes razões pelas quais não são detectados uma grande quantidade de malwares. A maioria das empresas concentra-se apenas na verificação da sua aplicação de e-mail empresarial. Para controlar este problema, precisamos de ampliar a nossa visão para outras aplicações, separar o trafego e inspecionar com maior profundidade para descobrir se existe alguma transferência de arquivos em execução.”
Descobertas Baseadas Pela Nova Funcionalidade da Firewall
Estas descobertas de malware foram feitas através do WildFire, um novo serviço anunciado recentemente pela Palo Alto Networks, que integra firewall com uma analise automatizada de malware baseada em cloud. Com a introdução do WildFire, os clientes podem alargar as capacidades de todas as suas firewalls de próxima geração da Palo Alto Networks para enfrentar o desafio do malware moderno, que é frequentemente objectivo, desconhecido, altamente evasivo e preparado para funcionar em rede.
Esta última adição à próxima geração de firewalls da Palo Alto Networks identifica arquivos desconhecidos e potencialmente maliciosos, ao executa-los de uma forma directa e automatica num ambiente virtual baseado em cloud para expor o comportamento malicioso, mesmo se o malware seja até então desconhecido. Para arquivos maliciosos, a Palo Alto Networks gera novas assinaturas automaticamente, tanto para o próprio arquivo como para todo o trafego gerado pelo arquivo malicioso. Estas assinaturas são distribuídas com atualizações regulares, além de fornecer ao utilizador uma analise de recurso sobre a forma exata como o malware se comporta, qual foi o alvo e qual a aplicação que provocou a ameaça.
“O WildFire esta a retirar a tecnologia sandbox do laboratório e a aplica-la num produto real que as pessoas podem realmente implementar por um prazo razoavel e com uma boa relação custo-benefício. Ao integrar este tipo de analise avançada com a firewall de próxima geração, os clientes podem detectar e proteger-se contra malware, usando o hardware actual que ja têm implementado”, disse Sónia Casaca, country manager da Exclusive Networks Portugal. “Nós damos às TI uma assinatura para o malware e o trafego malicioso que este gera. Isto permite aos clientes bloquear o trafego malicioso para minimizar a perda de dados e do malware da quarentena. Assim que a ameaça esta retida, poderão limpar ou recriar a maquina. O passo final é analisar a forma como a infecção penetrou na rede, para prevenir infecções futuras”, disse a mesma responsavel.
