as palavras mais usadas em ataques de spear phishing 3 as palavras mais usadas em ataques de spear...

Download As Palavras Mais Usadas em Ataques de Spear Phishing 3 As palavras mais usadas em ataques de spear phishing

Post on 31-Aug-2019

2 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • SECURITY REIMAGINED

    RELATRIO

    AS PALAVRAS MAIS USADAS EM ATAQUES DE SPEAR PHISHINGpara comprometer redes corporativas e roubar dados com sucesso

  • 2 www.fireeye.com

    As palavras mais usadas em ataques de spear phishing: para comprometer redes corporativas e roubar dados com sucesso

    SUMRIO

    Resumo executivo ...................................................................................................................................................................................................................................................................................................................... 3

    Introduo ...................................................................................................................................................................................................................................................................................................................................................... 3

    Nomes dos arquivos .............................................................................................................................................................................................................................................................................................................. 4

    As cinco extenses de arquivo mais usadas ..........................................................................................................................................................................................................6

    Concluso ......................................................................................................................................................................................................................................................................................................................................................... 7

    Sobre a FireEye .................................................................................................................................................................................................................................................................................................................................. 7

    http://www.fireeye.com
  • 3 www.fireeye.com

    As palavras mais usadas em ataques de spear phishing: para comprometer redes corporativas e roubar dados com sucesso

    Resumo executivoAuxiliados pelas defesas permeveis de seus alvos e por usurios finais leigos, os criminosos cibernticos de hoje em dia conseguem entregar malware avanado que explora sistemas e permite uma srie de atividades maliciosas. Grande parte desse malware avanado est sendo entregue em e-mails com anexos de arquivo maliciosos. Este relatrio examina a natureza dos arquivos distribudos pelos criminosos cibernticos, em especial aqueles que efetivamente contornam as defesas de segurana tradicionais, como firewalls, firewalls da prxima gerao, sistemas de preveno de intruses (IPS), antivrus (AV) e gateways seguros. Este relatrio descreve as palavras comuns usadas em nomes de arquivo e os tipos de arquivo que caracterizam esse malware avanado, fornecendo informaes importantes para usurios e equipes de segurana que querem se proteger contra ameaas avanadas.

    IntroduoApesar de todas as defesas de segurana destina-das a proteger as comunicaes por e-mail, esse canal continua a representar um terreno frtil para os criminosos cibernticos e uma rea crtica de vulnerabilidade para a maioria das empresas. As comunicaes por e-mail repre-sentam um dos caminhos mais usados para ataques. Os riscos decorrentes desses ataques so significativos. O e-mail no s o caminho para spam e malware distribudos em massa; tambm a maneira como so iniciados muitos ataques de ameaa persistente avanada (APT). GhostNet, Night Dragon, Operao Aurora, a violao RSA e muitas das outras APTs publicamente documen-tadas foram iniciadas, pelo menos em parte, por meio de e-mails de spear phishing direcionados.

    A realidade que os criminosos cibernticos continuam a usar esse modo de ataque porque ele funciona. No mais recente Relatrio sobre ameaas avanadas para o 1 semestre de 2012, a FireEye relatou um aumento de 56% na quanti-dade de e-mails maliciosos entre o primeiro e o segundo trimestres de 2012. importante perceber que esse aumento no no nmero total de e-mails maliciosos distribudos; um aumento no nmero de e-mails que conseguem ultrapassar as defesas de segurana existentes tradicionais das empresas.

    A FireEye est em uma posio privilegiada para esclarecer essa atividade avanada de ataque direcionado. Centenas de clientes em todo o mundo j distriburam o FireEye Malware Protection System (MPS). As solues da FireEye so distribudas por trs de firewalls, firewalls da prxima gerao, IPS, AV e outros gateways de segurana e representam a ltima linha de defesa para as empresas. Essas solues contam com appliances que recolhem automaticamente informaes de ameaa que podem ser agrega-das, analisadas e compartilhadas. por meio dessas solues que a FireEye consegue elaborar relatrios a respeito da natureza das ameaas avanadas.

    Este relatrio concentra-se nas caractersticas do malware avanado que distribudo por anexos de e-mail e que passa pelas defesas tradicionais. Por meio dos dados apresentados, este relatrio oferece uma viso essencial sobre os atributos do malware avanado e as tticas dos criminosos cibernticos, para que os usurios e as equipes de segurana possam compreender melhor a natureza das ameaas atuais. importante ressaltar que as concluses abaixo detalham as ameaas avanadas que efetivamente contornam os mecanismos existentes. Dito de outra forma, h uma boa chance de, em breve, esses tipos de malware aparecerem em sua caixa de entrada se que j no esto.

    http://www.fireeye.com
  • 4 www.fireeye.com

    As palavras mais usadas em ataques de spear phishing: para comprometer redes corporativas e roubar dados com sucesso

    Nomes dos arquivosQuando os criminosos cibernticos distribuem arquivos maliciosos, a inteno enganar um destinatrio incauto para que faa download desses arquivos ou instale-os localmente. Para isso, eles usam uma srie de tticas. As palavras usadas nesses nomes de arquivo oferecem ideias

    claras sobre as tticas que os criminosos cibernti-cos usam e que so comprovadamente eficazes. A tabela abaixo mostra as palavras mais comuns que aparecem nos arquivos maliciosos detectados pelas solues da FireEye. Para ser claro, estas so as palavras usadas por invasores para evitar todas as defesas de segurana de TI tradicionais.

    Colocao PalavraPorcentagem

    de anexos

    1 label (etiqueta) 15,17

    2 invoice (fatura) 13,81

    3 post (correio) 11,27

    4 document (documento) 10,92

    5 postal (postal) 9,80

    6 calculations (clculos) 8,98

    7 copy (cpia) 8,93

    8 fedex (fedex) 6,94

    9 statement (declarao) 6,12

    10 financial (financeiro) 6,12

    11 dhl (dhl) 5,20

    12 usps (usps) 4,63

    13 8 4,32

    14 notification (notificao) 4,27

    15 n 4,22

    16 irs (imposto de renda) 3,60

    17 ups (ups) 3,46

    18 no (n) 2,84

    19 delivery (entrega) 2.61

    20 ticket (bilhete) 2,60

    2 semestre de 2011

    Colocao PalavraPorcentagem

    de anexos

    1 dhl 23,42

    2 notification (notificao) 23,37

    3 delivery (entrega) 12,35

    4 express (expresso) 11,71

    5 2012 11,30

    6 label (etiqueta) 11,16

    7 shipment (remessa) 9,88

    8 ups (ups) 9,47

    9 international (internacional) 8,94

    10 parcel (remessa) 8,16

    11 post (correio) 6,95

    12 confirmation (confirmao) 5,81

    13 alert (alerta) 5,80

    14 usps (usps) 5,80

    15 report (relatrio) 5,79

    16 jan2012 (janeiro de 2012) 5,52

    17 april (abril) 4,71

    18 idnotification (notificao de id) 3,60

    19 ticket (bilhete) 3,58

    20 shipping (envio) 2,92

    1 semestre de 2012

    Observao: As tabelas acima listam as porcentagens dos termos includos nos anexos maliciosos detectados por appliances MPS da FireEye. Observao: dado que um nico anexo malicioso pode incluir vrios termos, as porcentagens no so iguais a 100%.

    http://www.fireeye.com
  • 5 www.fireeye.com

    As palavras mais usadas em ataques de spear phishing: para comprometer redes corporativas e roubar dados com sucesso

    Uma maneira na qual os criminosos cibernticos enganam os usurios com o envio de arquivos que se apresentam como notificaes sobre remessas expressas. Dada a onipresena desses servios e sua inerente importncia e urgncia, usurios so compelidos a abrir arquivos maliciosos rotulados com termos relacionados a remessas. Este truque um dos mais comuns. Termos relacionados a remessas e postagens estavam em mais de 26% das palavras apresentadas em nomes de arquivos maliciosos e incluram sete das dez palavras mais comuns identificadas no primeiro semestre de 2012. Nomes de arquivo como DHL document.zip, Fedex_Invoice.zip e Label_Parcel_IS741-1345US.zip representam exemplos dos tipos de nomes de arquivo utilizados pelos criminosos.

    Entre o 2 semestre de 2011 e o 1 semestre de 2012, vrias tendncias foram identificadas. Por exemplo, a porcentagem de nomes de arquivo com palavras relacionadas a remessas cresceu de 19,20% para 26,33%. Alm disso, o nmero de arquivos que fazem referncia a palavras associa-das a urgncias cresceu de 1,72% para 10,68%.

    A seguir esto algumas outras categorias comuns:

    Urgncia. Palavras relacionadas a urgncias, como confirmao, alerta e notificao, representam a segunda categoria mais comum dentre as palavras encontradas. Essas palavras podem ser usadas sozinhas, mas muitas vezes foram vistas sendo usadas em conjunto com outras categorias, como remessas (como em UPS-Delivery-Confirma-tion-Alert_April-2012_