64K+ Cobertura em 30 dias Positive Technologies 4,21 Avaliação do empregador 321,19 Classificação 118 798 Assinantes Assinar sakaresh Há 8 minutos Ransomware: O Arsenal Matemático a Serviço do Mal e as Formas de Defesa 13 min 203 Blog da Positive Technologies Segurança da Informação * Proteção Antivírus * Visão geral Saudações a todos! Sou Ilya Borisov, do laboratório de antivírus da Positive Technologies. No artigo anterior analisamos em detalhes os conhecidos (e nem tanto) programas de ransomware (também conhecidos como encriptadores) — como funcionam, do que são feitos, e examinamos os vetores de ataque que os utilizam. É hora de falar sobre como se proteger deles. Conteúdo Sandbox Antivírus Solução EDR Sistema de classe NDR (NTA), NGFW Ferramentas de backup de dados Medidas não técnicas Práticas de desenvolvimento seguro Infraestrutura segura Treinamento de funcionários Soluções proprietárias e nacionais Proteção legal A IA muda as regras do jogo A IA como ferramenta do atacante A outra face da moeda Tendências atuais Algumas coisas mudam, outras permanecem as mesmas Conclusão A proteção contra ameaças cibernéticas, incluindo ataques de encriptadores, começa com a construção de um ecossistema seguro. Sua base técnica é composta por produtos interconectados de diferentes classes: sandboxes, antivírus, sistemas de proteção de endpoints (EDR), NGFW. Cada produto, em diferentes estágios do ataque, tem a capacidade real de reconhecer uma ameaça do tipo ransomware, detê-la ou sinalizar a necessidade de iniciar uma investigação. É importante mencionar: ao tentar um ataque usando ransomware, desativar os meios de proteção é o principal objetivo do invasor. Abaixo, analisaremos cada classe separadamente. Sandbox Os ataques usando encriptadores demonstram mais claramente a necessidade de ferramentas de proteção sandbox. O roubo de informações, a obtenção de acesso oculto ao controle do dispositivo também são criticamente perigosos para muitas empresas, mas essas ações, como regra, são reversíveis e interrompíveis e, em algumas situações, não causam grandes danos aos processos de negócios. E o encriptador pode desativar instantaneamente tanto um dispositivo de usuário individual quanto a infraestrutura de toda uma organização, se a criptografia for combinada com a funcionalidade de um worm de rede. Portanto, é importante evitar que tal malware entre na rede e nas estações de trabalho. Como o ambiente para o pré-lançamento automático de software em um ambiente virtual fornece proteção completa contra encriptadores? Vamos considerar o exemplo de nossa sandbox — PT Sandbox. Se, durante o lançamento do programa na sandbox, arquivos com extensões estranhas aparecerem em muitas pastas, então, muito provavelmente, todos os documentos importantes foram criptografados. Pode-se dizer com certeza que o programa analisado é ransomware e emitir um veredicto apropriado (a mesma lógica pode funcionar ao analisar malware da classe wiper, mas isso não é assustador: o principal é que o arquivo será reconhecido como malicioso). Exemplo de detecção do encriptador da família Lorenz usando PT Sandbox Assim, a principal vantagem das sandboxes na proteção contra encriptadores é a capacidade de detectar amostras maliciosas pelos resultados da verificação em um ambiente virtual, sem a necessidade de interromper o trabalho do arquivo analisado. Isso torna o processo muito simples e eficaz. Além do método descrito acima (básico e mais eficaz), o PT Sandbox inclui a verificação de arquivos por meio de ferramentas antivírus, ferramentas de análise comportamental, bem como a verificação do tráfego de rede recebido na máquina virtual. Isso permite detectar até mesmo aquelas amostras de malware que não são totalmente operacionais. Antivírus O próximo elemento importante de um ecossistema seguro são os antivírus clássicos, como o MaxPatrol EPP. Essa classe de soluções tem detecções de assinatura pontuais: as informações sobre o arquivo malicioso já estão contidas nos bancos de dados — e o antivírus não permitirá que ele seja executado no sistema. Além disso, assim que uma nova amostra (especialmente uma variedade tão perigosa como um encriptador) entra no laboratório de antivírus, os analistas procuram padrões de comportamento inerentes a ela. Com base nesses padrões, são feitas detecções heurísticas ou comportamentais mais amplas — elas permitem identificar modificações do arquivo malicioso original e, assim, dificultar a vida dos invasores. Outra ferramenta de detecção em antivírus são as tecnologias de emulação. No processo de execução do código em um ambiente virtual isolado, o antivírus pode identificar ações que indicam inequivocamente o comportamento do malware ou algumas técnicas suspeitas que ocultam o propósito do arquivo. Mais detalhadamente o trabalho de antivírus de arquivos descrevemos no artigo no site Anti-malware.ru. Solução EDR Para detectar atividades maliciosas em endpoints e responder a elas, soluções da classe endpoint detection and response (EDR) também são usadas. Ao contrário do antivírus, o sistema EDR coleta eventos de processos em execução em tempo real, combina e os analisa e, em seguida, aplica regras para identificar alterações indesejadas e atividades claramente maliciosas sem se referir ao código de baixo nível. A vantagem dos produtos da classe EDR, além da capacidade de rastrear a alteração de muitos arquivos, é que eles são capazes de determinar alterações específicas que indicam clara ou indiretamente um ataque e, devido à resposta automática, interrompê-lo em um estágio inicial. Essas alterações incluem desativar ou excluir backups, iniciar processos suspeitos, desativar os mecanismos de proteção do sistema operacional. É necessário mencionar que as soluções da classe EDR geralmente têm funcionalidade separada para proteção contra malware. Um exemplo de tal funcionalidade podem ser armadilhas — arquivos especialmente criados pelo próprio produto EDR com uma determinada extensão, que o encriptador desejará criptografar. Para o usuário, esses arquivos, como regra, são invisíveis. Se houver uma tentativa de fazer algo com a armadilha, os mecanismos de proteção serão acionados e o processo — o culpado do evento (que “desejará” interagir com o arquivo) será cuidadosamente verificado. Detecção do comportamento do encriptador usando MaxPatrol EDR Sistema de classe NDR (NTA), NGFW A proteção da rede é fornecida por dois tipos de soluções: produtos para análise de tráfego de rede — sistemas da classe NDR (NTA), por exemplo, PT Network Attack Discovery — e firewalls (NGFW). O sistema da classe NDR (NTA) visa analisar interações internas e o comportamento do usuário, enquanto o NGFW “olha” para a borda e a protege proativamente. No comportamento da rede, típico de encriptadores, as seguintes atividades podem ser distinguidas: Envio ou recebimento de chaves criptográficas (uma característica distintiva da atividade de malware). Obtenção de informações de geolocalização (acesso a ip-api.com e outros endereços). Registro do dispositivo infectado. Roubo de arquivos, informações. Download de papel de parede da área de trabalho. O comportamento acima é detectado com sucesso por assinaturas no PT NAD, PT NGFW. Para interagir com os servidores de controle, o encriptador usa principalmente os protocolos TCP e HTTP (HTTPS). Detecção da transmissão de chaves de criptografia do computador infectado da vítima para os servidores dos invasores: malware da família PlutoCrypt Tentativa de exfiltração de um arquivo encontrado no computador infectado da vítima: malware da família Amarok Registro do dispositivo infectado detectado: malware da família Loki Registro do dispositivo infectado detectado: malware da família Albabat. A infecção ocorre como resultado de uma solicitação SQL INSERT direta para o DBMS Ferramentas de backup de dados Inicialmente, as ferramentas de backup de dados foram concebidas como ferramentas para salvar, duplicar e transferir informações com segurança. No entanto, quando usado corretamente, essa ferramenta pode neutralizar completamente as consequências de um ataque de encriptador. É importante entender que nem em todos os casos, mesmo com a implantação adequada de ferramentas de backup, é possível obter a recuperação completa dos dados criptografados. Por exemplo, se seu volume for muito grande e os próprios dados estiverem constantemente mudando, então a delta que ocorrerá ao reverter para uma cópia de backup pode não ser mais valiosa. Além disso, se o invasor conseguiu assumir o controle total do sistema de informações, com alta probabilidade ele tentará excluir as cópias de backup. No entanto, o backup permanece a principal opção em caso de um ataque bem-sucedido usando software de criptografia. Algo como o padrão pode ser considerado o princípio 3-2-1. Isso significa que a organização deve ter pelo menos três cópias de dados, duas das quais são armazenadas em mídias físicas diferentes e uma é isolada da rede ou movida para a nuvem. Para implementar efetivamente o princípio 3-2-1, você também precisa separar os segmentos da rede e configurar uma política de gerenciamento de direitos de acesso. Mas e se houver uma compreensão de que o ataque está ocorrendo aqui e agora e nem todos os arquivos foram criptografados? Para este caso, existem ferramentas de backup dinâmico. Eles permitem rastrear as alterações no sistema de arquivos e, devido ao backup incremental, podem, a qualquer momento, reverter os arquivos criptografados no host para o estado original. Medidas não técnicas Aplicação de práticas de desenvolvimento seguro Construção de infraestrutura segura Treinamento de funcionários Uso de soluções proprietárias e nacionais As medidas não técnicas incluem aquelas que não visam diretamente combater tipos específicos de ataques, mas podem aumentar o nível geral de segurança do sistema de informações. Práticas de desenvolvimento seguro Nos últimos anos tem havido um crescimento do número de vulnerabilidades identificadas em sistemas de informação populares e seus componentes: em sistemas operacionais, software e em quaisquer outros complexos de hardware e software. Os invasores usam ativamente vulnerabilidades tanto para determinar vetores de ataque quanto para aumentar privilégios e desativar meios de proteção. Como medida preventiva para combater o surgimento de vulnerabilidades, as práticas de desenvolvimento seguro foram formadas. Em 2024, as práticas foram atualizadas e fixadas na GOST R 56939 — 2024 “Desenvolvimento de software seguro”. Infraestrutura segura Outra abordagem que permite reduzir os riscos de ataques bem-sucedidos à empresa é a organização de uma infraestrutura segura. Isso inclui a construção de uma arquitetura de rede segura, garantindo a proteção de data centers e servidores por meio de ferramentas sobrepostas. O que se entende por arquitetura de rede segura: Proteção em camadas. Criação de várias barreiras. Uma falha em uma não leva à comprometimento de todo o sistema. Princípio do menor privilégio. Fornecer aos usuários apenas os direitos de acesso minimamente necessários. Confiança zero. Verificação de cada solicitação, independentemente de sua fonte. Disponibilidade de uma zona desmilitarizada. Isolamento de servidores públicos da rede interna. Proteção de endpoints. Usando soluções EDR para monitorar hosts. As ferramentas de proteção de informações sobrepostas incluem os antivírus, sandboxes, sistemas EDR e soluções de rede da classe NTA (NDR) e NGFW descritos anteriormente. Uma arquitetura segura construída corretamente ajudará a ganhar tempo para responder ou, de forma alguma, não dará ao invasor a oportunidade de avançar no ataque. Treinamento de funcionários Boa prevenção é o treinamento periódico dos funcionários nos fundamentos da SI. Essa abordagem permite reduzir o nível de ameaças aos sistemas de informação. Além disso, o departamento de segurança da informação pode conduzir auditorias internas, inclusive enviando e-mails de “phishing” aos funcionários e verificando a conformidade das senhas com os requisitos corporativos. Como regra, o treinamento inclui: Configuração do local de trabalho, inclusive remoto. Combate ao phishing, técnicas psicológicas. Criação de senhas fortes. Organização da interação com colegas em redes sociais e de dispositivos pessoais. Proteção de dados e organização do acesso a eles. Soluções proprietárias e nacionais Soluções proprietárias e nacionais têm vantagens sobre soluções de código aberto em termos de aumento do nível de segurança da informação. Muitas organizações e estruturas governamentais têm regras internas que proíbem o uso de software de código aberto. Vantagens dos sistemas proprietários como mecanismos para aumentar a segurança do sistema de informações: Maior confiabilidade e nível de profundidade de teste do que as soluções de código aberto. Disponibilidade de suporte técnico e garantia de segurança. Um aspecto importante é o fechamento operacional das vulnerabilidades identificadas pelo desenvolvimento. Maior resistência à análise de mecanismos de exploração de vulnerabilidades devido ao código fechado. Interfaces contínuas claras para interação com outros componentes da rede. Vantagem dos sistemas nacionais como mecanismos para aumentar a segurança do sistema de informações: Proteção contra vulnerabilidades ocultas, ausência de backdoors e independência de atualizações suportadas por fornecedores estrangeiros. Conformidade com todos os requisitos regulatórios. Maior resistência à análise de mecanismos de exploração de vulnerabilidades devido ao código fechado. Maior confiabilidade e nível de profundidade de teste do que as soluções de código aberto. Controle do lançamento e distribuição de aplicativos: se, para ser executado, o malware deve inicialmente entrar na loja de aplicativos ou obter um certificado de assinatura, a ameaça pode ser identificada já nesse estágio. Todas as soluções acima permitem reduzir indiretamente o risco de infecção dos sistemas de informação por um encriptador. Proteção legal Outra medida de proteção não técnica pode ser o seguro cibernético, que visa fornecer serviços de seguro no campo da segurança da informação. Ele prevê: cobertura de custos em caso de vazamento de dados; proteção contra reclamações de clientes; proteção contra ataques que visam resgate. A medida de proteção ajuda a cumprir os requisitos regulatórios e reduzir os riscos cibernéticos ao trabalhar com contrapartes. Os serviços de seguro em caso de ataques de encriptadores são divididos em: pagamento de resgate, serviços de negociadores, restauração de sistemas de TI, compensação por tempo de inatividade. Mas aqui também nem tudo é tão simples. Esse seguro tem um número suficiente de pontos fracos: Requisitos para ferramentas de proteção técnica. Requisitos para o nível de organização do departamento de segurança da informação e protocolos de resposta a ameaças cibernéticas. Requisitos para a organização de processos de backup. Participação em testes de penetração, disponibilidade de programas de bug bounty. Requisitos para a confiabilidade das contrapartes para evitar comprometimento de sua parte. Definição de casos de limite. O último ponto é especialmente interessante. Na maioria das vezes, está relacionado a requisitos e proibições de órgãos governamentais (por exemplo, uma moratória pode ser imposta ao pagamento de resgate). Além disso, pode haver restrições quanto à lista e características dos grupos cujos ataques são cobertos pelo seguro. A IA muda as regras do jogo O desenvolvimento de tecnologias de inteligência artificial levou ao surgimento de um grande número de ferramentas para conduzir ataques e ferramentas de proteção contra eles. Mas isso não parou por aí, e as tecnologias de IA se tornaram o assunto e a ferramenta de ataques. A IA como ferramenta do atacante Muito antes de a IA começar a ser usada em ataques cibernéticos, surgiu a base de conhecimento MITRE ATT&CK — ela descreve as táticas e técnicas dos invasores. No entanto, com o aumento do uso de tecnologias de IA para preparar e conduzir ataques diretos, bem como o surgimento de um vetor de ataque separado aos serviços de IA e modelos de ML, foi necessário criar uma base de conhecimento separada para táticas e técnicas adequadas. E foi a Matriz ATLAS. Por que o invasor tentaria inventar uma e-mail de phishing convincente se a mesma tarefa de rede neural GPT pudesse ser resolvida em alguns segundos, gerando não apenas texto, mas também criando arquivos falsos com as informações apropriadas? Isso inclui ferramentas associadas a algum elemento de engenharia social, bem como: 🔻 ataques a LLMs para contornar restrições e obter informações protegidas; 🔻 impacto em bancos de dados RAG para expandir ataques adicionais; 🔻 uso malicioso de direitos de acesso em assistentes de IA; 🔻 ataques a APIs de serviços de IA e muito mais. Mas como a IA afeta exatamente os ataques de encriptadores? 🔹 Reconhecimento (AML.TA0002) Ajuda na coleta de informações sobre o alvo (rastreamento de redes sociais, sites corporativos) para identificar vulnerabilidades e pontos de entrada. 🔹 Phishing (AML.T0052) Preparação de materiais para phishing direcionado — de e-mails falsos a deepfakes. 🔹 Evasão de Defesa (AML.TA0007) Alterar o código-fonte do ransomware para contornar ferramentas antivírus baseadas em assinaturas. Isso também inclui a preparação de ferramentas de ataque por meio da geração de código de IA. 🔹 Movimento Lateral (AML.TA0015) Automação e autonomia. Agentes de IA podem se mover pelas redes, encontrar dados críticos e executar criptografia sem a participação humana.\nEm um futuro próximo, devido à redução do tempo entre o surgimento de uma ideia e sua implementação, deve-se esperar o surgimento de novos desenvolvimentos e abordagens para conduzir ataques usando inteligência artificial. A outra face da moeda É um pouco ingênuo supor que existem tecnologias ruins ou boas: a IA pode ser comparada a uma espada de dois gumes. Os pontos fortes da inteligência artificial que ajudam o atacante também podem ser usados com eficácia para proteção. A tecnologia já estabelecida para ferramentas de proteção antivírus — a busca por semelhanças de arquivos executáveis maliciosos com base na clusterização — em muitos casos é capaz de neutralizar os esforços para alterar o código-fonte. Além disso, ele cobre os casos em que o invasor não usa IA, mas usa abordagens mais tradicionais. A situação é semelhante com o phishing. As tecnologias baseadas em inteligência artificial são capazes de detectar e-mails de phishing. Mas a luta contra o phishing não se limita a isso: redes neurais separadas são capazes de determinar se o e-mail foi escrito usando modelos de IA, sem questionar sua natureza maliciosa. Isso também inclui tecnologias para identificar clones de sites usados para roubar credenciais. Outra direção promissora para o uso de IA em SI é a detecção de anomalias no tráfego de rede e no comportamento do usuário. A inteligência artificial é capaz de detectar ameaças à segurança: invasões, atividade de malware e vazamentos de dados. Assim, o rápido ritmo de desenvolvimento das tecnologias de IA, obviamente, pode levar ao fortalecimento dos mecanismos de detecção de ataques antigos e ao surgimento de novos. Tendências atuais Fazer previsões é bastante difícil, mas tentar extrapolar as tendências atuais é bastante apropriado. O que vai mudar: ✅ Os encriptadores serão usados com ainda mais frequência em ataques a ferramentas de virtualização, ferramentas de backup, modelos de ML e bancos de dados RAG. ✅ Os encriptadores, inclusive os distribuídos sob o modelo RaaS, serão desenvolvidos como componentes usados na etapa final do ataque. A probabilidade de obtê-los com e-mails de phishing diminuirá. ✅ A tendência de trabalho autônomo, inclusive com o uso de agentes de IA apropriados, para automatizar a criptografia de dados no sistema de informações permanecerá. ✅ Esquemas em que, devido a um erro no desenvolvimento do encriptador, é possível restaurar arquivos criptografados, serão possíveis apenas com o uso de neuroscópios. ✅ Os operadores de software de encriptação dependerão cada vez menos das APIs do sistema operacional, cada vez mais de bibliotecas de terceiros. ✅ O número de forks para encriptadores disponíveis em fontes abertas aumentará. ✅ A demanda por ferramentas de backup dinâmico de dados aumentará. ✅ A observância das práticas de desenvolvimento seguro, as práticas de construção de infraestrutura segura se tornará um requisito obrigatório dos reguladores. ✅ O seguro cibernético no setor de TI será promovido. ✅ O hacktivismo como um método potencial de ataque permanecerá devido à instabilidade política global. ✅ Os recordes de valores de resgate serão quebrados. ✅ A introdução de tecnologias de IA em produtos de detecção continuará. ✅ O crescimento do número de ataques continuará: com o uso de agentes de IA; contra agentes de IA — a fim de criptografar um ataque de ransomware adicional; em que o ransomware é usado para destruir dados (por grupos APT). O que acontecerá, só o tempo dirá. E nossa tarefa aqui e agora é melhorar os métodos de combate a essa ameaça. Algumas coisas mudam, outras permanecem as mesmas Durante a análise de exemplos de famílias de encriptadores, surgiu a sensação de que, em termos de padrão de ações, eles atingiram um certo platô em seu desenvolvimento. Se você olhar do ponto de vista dos arquivos do usuário, então os ataques que visam criptografar documentos no formato DOC, arquivos PDF, bancos de dados como eram, continuam. Sim, arquivos de ferramentas de virtualização e arquivos relacionados à IA foram adicionados, mas o resto parece ser mais adaptado ao perfil de vítimas específicas atacadas. Os algoritmos de criptografia usados também parecem ter se estabelecido em um pequeno grupo: para simetria — AES, ChaCha, RC4 e Salsa20, para assimetria — RSA e X25519. Há uma compreensão de que, com alta probabilidade, todos os discos de rede serão criptografados e o diretório do sistema operacional permanecerá intocado. O mesmo LockBit, um dos encriptadores mais famosos, não vai parar na quinta versão. Afinal, enquanto o negócio dos autores do encriptador lhes trouxer dinheiro, haverá atualizações subsequentes. Aqui, gostaria de dizer que os ataques usando software de criptografia parecem ter se tornado mais maduros. Involuntariamente, vem à mente uma analogia com uma partida de xadrez: o invasor pensa em como tentará contornar os meios de proteção, e os meios de proteção determinam quais movimentos o invasor fará. E para o invasor, vencer uma partida ainda pode compensar dez perdidas. A única questão é quem vai jogar melhor. Conclusão No artigo, meus colegas e eu tentamos dar uma visão abrangente do problema dos ataques usando software de criptografia. Queríamos mostrar as interseções de pontos de vista de diferentes perspectivas, dar a oportunidade de ver os detalhes técnicos que estão escondidos atrás de estruturas binárias ou estão fora do foco para a maioria. Os ataques usando encriptadores continuam sendo os mais financeiramente lucrativos para os invasores. No entanto, eles também são os mais compreensíveis para proteção e resposta: as ferramentas de proteção já criadas ajudam a construir um ecossistema seguro e resistir com sucesso às ameaças modernas. Especialistas do laboratório de antivírus da Positive Technoligies participaram da preparação do artigo: Evgeny Bechkalo, Shaihk Galiev, Alexander Laukhin, Vitaly Samal, Valery Slezkincev, Kirill Shamko. Tags: ransomware análise de tráfego encriptadores ferramentas de proteção de informações antivírus laboratório de antivírus sandbox edr ngfw Hubs: Blog da Positive Technologies Segurança da Informação Proteção Antivírus +1 0 0 64K+ Cobertura em 30 dias Positive Technologies Telegram VKontakte 8K+ Cobertura em 30 dias 4 Carma @sakaresh Usuário Assinar O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr Habr Cursos para todos PUBLICIDADE Prática, Hexlet, SkyPro, cursos do autor — reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de Segurança da Informação Comentar Os melhores do dia Semelhante
Ransomware: O Arsenal Matemático a Serviço do Mal e as Formas de Defesa
Este artigo da Positive Technologies explora o funcionamento do ransomware, suas táticas e as ferramentas de defesa disponíveis. Aborda desde sandboxes e antivírus até o uso de inteligência artificial, oferecendo uma visão abrangente sobre a proteção contra essa ameaça.
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Testar grátis por 7 dias →Sem cartão para começar · Planos a partir de R$49/mês
64K+ Cobertura em 30 dias Positive Technologies 4,21 Avaliação do empregador 321,19 Classificação 118 798 Assinantes Assinar sakaresh Há 8 minutos Ransomware: O Arsenal Matemático a Serviço do Mal e as Formas de Defesa 13 min 203 Blog da Positive Technologies Segurança da Informação * Proteção Antivírus * Visão geral Saudações a todos! Sou Ilya Borisov, do laboratório de antivírus da Positive Technologies. No artigo anterior analisamos em detalhes os conhecidos (e nem tanto) programas de ransomware (também conhecidos como encriptadores) — como funcionam, do que são feitos, e examinamos os vetores de ataque que os utilizam. É hora de falar sobre como se proteger deles. Conteúdo Sandbox Antivírus Solução EDR Sistema de classe NDR (NTA), NGFW Ferramentas de backup de dados Medidas não técnicas Práticas de desenvolvimento seguro Infraestrutura segura Treinamento de funcionários Soluções proprietárias e nacionais Proteção legal A IA muda as regras do jogo A IA como ferramenta do atacante A outra face da moeda Tendências atuais Algumas coisas mudam, outras permanecem as mesmas Conclusão A proteção contra ameaças cibernéticas, incluindo ataques de encriptadores, começa com a construção de um ecossistema seguro. Sua base técnica é composta por produtos interconectados de diferentes classes: sandboxes, antivírus, sistemas de proteção de endpoints (EDR), NGFW. Cada produto, em diferentes estágios do ataque, tem a capacidade real de reconhecer uma ameaça do tipo ransomware, detê-la ou sinalizar a necessidade de iniciar uma investigação. É importante mencionar: ao tentar um ataque usando ransomware, desativar os meios de proteção é o principal objetivo do invasor. Abaixo, analisaremos cada classe separadamente. Sandbox Os ataques usando encriptadores demonstram mais claramente a necessidade de ferramentas de proteção sandbox. O roubo de informações, a obtenção de acesso oculto ao controle do dispositivo também são criticamente perigosos para muitas empresas, mas essas ações, como regra, são reversíveis e interrompíveis e, em algumas situações, não causam grandes danos aos processos de negócios. E o encriptador pode desativar instantaneamente tanto um dispositivo de usuário individual quanto a infraestrutura de toda uma organização, se a criptografia for combinada com a funcionalidade de um worm de rede. Portanto, é importante evitar que tal malware entre na rede e nas estações de trabalho. Como o ambiente para o pré-lançamento automático de software em um ambiente virtual fornece proteção completa contra encriptadores? Vamos considerar o exemplo de nossa sandbox — PT Sandbox. Se, durante o lançamento do programa na sandbox, arquivos com extensões estranhas aparecerem em muitas pastas, então, muito provavelmente, todos os documentos importantes foram criptografados. Pode-se dizer com certeza que o programa analisado é ransomware e emitir um veredicto apropriado (a mesma lógica pode funcionar ao analisar malware da classe wiper, mas isso não é assustador: o principal é que o arquivo será reconhecido como malicioso). Exemplo de detecção do encriptador da família Lorenz usando PT Sandbox Assim, a principal vantagem das sandboxes na proteção contra encriptadores é a capacidade de detectar amostras maliciosas pelos resultados da verificação em um ambiente virtual, sem a necessidade de interromper o trabalho do arquivo analisado. Isso torna o processo muito simples e eficaz. Além do método descrito acima (básico e mais eficaz), o PT Sandbox inclui a verificação de arquivos por meio de ferramentas antivírus, ferramentas de análise comportamental, bem como a verificação do tráfego de rede recebido na máquina virtual. Isso permite detectar até mesmo aquelas amostras de malware que não são totalmente operacionais. Antivírus O próximo elemento importante de um ecossistema seguro são os antivírus clássicos, como o MaxPatrol EPP. Essa classe de soluções tem detecções de assinatura pontuais: as informações sobre o arquivo malicioso já estão contidas nos bancos de dados — e o antivírus não permitirá que ele seja executado no sistema. Além disso, assim que uma nova amostra (especialmente uma variedade tão perigosa como um encriptador) entra no laboratório de antivírus, os analistas procuram padrões de comportamento inerentes a ela. Com base nesses padrões, são feitas detecções heurísticas ou comportamentais mais amplas — elas permitem identificar modificações do arquivo malicioso original e, assim, dificultar a vida dos invasores. Outra ferramenta de detecção em antivírus são as tecnologias de emulação. No processo de execução do código em um ambiente virtual isolado, o antivírus pode identificar ações que indicam inequivocamente o comportamento do malware ou algumas técnicas suspeitas que ocultam o propósito do arquivo. Mais detalhadamente o trabalho de antivírus de arquivos descrevemos no artigo no site Anti-malware.ru. Solução EDR Para detectar atividades maliciosas em endpoints e responder a elas, soluções da classe endpoint detection and response (EDR) também são usadas. Ao contrário do antivírus, o sistema EDR coleta eventos de processos em execução em tempo real, combina e os analisa e, em seguida, aplica regras para identificar alterações indesejadas e atividades claramente maliciosas sem se referir ao código de baixo nível. A vantagem dos produtos da classe EDR, além da capacidade de rastrear a alteração de muitos arquivos, é que eles são capazes de determinar alterações específicas que indicam clara ou indiretamente um ataque e, devido à resposta automática, interrompê-lo em um estágio inicial. Essas alterações incluem desativar ou excluir backups, iniciar processos suspeitos, desativar os mecanismos de proteção do sistema operacional. É necessário mencionar que as soluções da classe EDR geralmente têm funcionalidade separada para proteção contra malware. Um exemplo de tal funcionalidade podem ser armadilhas — arquivos especialmente criados pelo próprio produto EDR com uma determinada extensão, que o encriptador desejará criptografar. Para o usuário, esses arquivos, como regra, são invisíveis. Se houver uma tentativa de fazer algo com a armadilha, os mecanismos de proteção serão acionados e o processo — o culpado do evento (que “desejará” interagir com o arquivo) será cuidadosamente verificado. Detecção do comportamento do encriptador usando MaxPatrol EDR Sistema de classe NDR (NTA), NGFW A proteção da rede é fornecida por dois tipos de soluções: produtos para análise de tráfego de rede — sistemas da classe NDR (NTA), por exemplo, PT Network Attack Discovery — e firewalls (NGFW). O sistema da classe NDR (NTA) visa analisar interações internas e o comportamento do usuário, enquanto o NGFW “olha” para a borda e a protege proativamente. No comportamento da rede, típico de encriptadores, as seguintes atividades podem ser distinguidas: Envio ou recebimento de chaves criptográficas (uma característica distintiva da atividade de malware). Obtenção de informações de geolocalização (acesso a ip-api.com e outros endereços). Registro do dispositivo infectado. Roubo de arquivos, informações. Download de papel de parede da área de trabalho. O comportamento acima é detectado com sucesso por assinaturas no PT NAD, PT NGFW. Para interagir com os servidores de controle, o encriptador usa principalmente os protocolos TCP e HTTP (HTTPS). Detecção da transmissão de chaves de criptografia do computador infectado da vítima para os servidores dos invasores: malware da família PlutoCrypt Tentativa de exfiltração de um arquivo encontrado no computador infectado da vítima: malware da família Amarok Registro do dispositivo infectado detectado: malware da família Loki Registro do dispositivo infectado detectado: malware da família Albabat. A infecção ocorre como resultado de uma solicitação SQL INSERT direta para o DBMS Ferramentas de backup de dados Inicialmente, as ferramentas de backup de dados foram concebidas como ferramentas para salvar, duplicar e transferir informações com segurança. No entanto, quando usado corretamente, essa ferramenta pode neutralizar completamente as consequências de um ataque de encriptador. É importante entender que nem em todos os casos, mesmo com a implantação adequada de ferramentas de backup, é possível obter a recuperação completa dos dados criptografados. Por exemplo, se seu volume for muito grande e os próprios dados estiverem constantemente mudando, então a delta que ocorrerá ao reverter para uma cópia de backup pode não ser mais valiosa. Além disso, se o invasor conseguiu assumir o controle total do sistema de informações, com alta probabilidade ele tentará excluir as cópias de backup. No entanto, o backup permanece a principal opção em caso de um ataque bem-sucedido usando software de criptografia. Algo como o padrão pode ser considerado o princípio 3-2-1. Isso significa que a organização deve ter pelo menos três cópias de dados, duas das quais são armazenadas em mídias físicas diferentes e uma é isolada da rede ou movida para a nuvem. Para implementar efetivamente o princípio 3-2-1, você também precisa separar os segmentos da rede e configurar uma política de gerenciamento de direitos de acesso. Mas e se houver uma compreensão de que o ataque está ocorrendo aqui e agora e nem todos os arquivos foram criptografados? Para este caso, existem ferramentas de backup dinâmico. Eles permitem rastrear as alterações no sistema de arquivos e, devido ao backup incremental, podem, a qualquer momento, reverter os arquivos criptografados no host para o estado original. Medidas não técnicas Aplicação de práticas de desenvolvimento seguro Construção de infraestrutura segura Treinamento de funcionários Uso de soluções proprietárias e nacionais As medidas não técnicas incluem aquelas que não visam diretamente combater tipos específicos de ataques, mas podem aumentar o nível geral de segurança do sistema de informações. Práticas de desenvolvimento seguro Nos últimos anos tem havido um crescimento do número de vulnerabilidades identificadas em sistemas de informação populares e seus componentes: em sistemas operacionais, software e em quaisquer outros complexos de hardware e software. Os invasores usam ativamente vulnerabilidades tanto para determinar vetores de ataque quanto para aumentar privilégios e desativar meios de proteção. Como medida preventiva para combater o surgimento de vulnerabilidades, as práticas de desenvolvimento seguro foram formadas. Em 2024, as práticas foram atualizadas e fixadas na GOST R 56939 — 2024 “Desenvolvimento de software seguro”. Infraestrutura segura Outra abordagem que permite reduzir os riscos de ataques bem-sucedidos à empresa é a organização de uma infraestrutura segura. Isso inclui a construção de uma arquitetura de rede segura, garantindo a proteção de data centers e servidores por meio de ferramentas sobrepostas. O que se entende por arquitetura de rede segura: Proteção em camadas. Criação de várias barreiras. Uma falha em uma não leva à comprometimento de todo o sistema. Princípio do menor privilégio. Fornecer aos usuários apenas os direitos de acesso minimamente necessários. Confiança zero. Verificação de cada solicitação, independentemente de sua fonte. Disponibilidade de uma zona desmilitarizada. Isolamento de servidores públicos da rede interna. Proteção de endpoints. Usando soluções EDR para monitorar hosts. As ferramentas de proteção de informações sobrepostas incluem os antivírus, sandboxes, sistemas EDR e soluções de rede da classe NTA (NDR) e NGFW descritos anteriormente. Uma arquitetura segura construída corretamente ajudará a ganhar tempo para responder ou, de forma alguma, não dará ao invasor a oportunidade de avançar no ataque. Treinamento de funcionários Boa prevenção é o treinamento periódico dos funcionários nos fundamentos da SI. Essa abordagem permite reduzir o nível de ameaças aos sistemas de informação. Além disso, o departamento de segurança da informação pode conduzir auditorias internas, inclusive enviando e-mails de “phishing” aos funcionários e verificando a conformidade das senhas com os requisitos corporativos. Como regra, o treinamento inclui: Configuração do local de trabalho, inclusive remoto. Combate ao phishing, técnicas psicológicas. Criação de senhas fortes. Organização da interação com colegas em redes sociais e de dispositivos pessoais. Proteção de dados e organização do acesso a eles. Soluções proprietárias e nacionais Soluções proprietárias e nacionais têm vantagens sobre soluções de código aberto em termos de aumento do nível de segurança da informação. Muitas organizações e estruturas governamentais têm regras internas que proíbem o uso de software de código aberto. Vantagens dos sistemas proprietários como mecanismos para aumentar a segurança do sistema de informações: Maior confiabilidade e nível de profundidade de teste do que as soluções de código aberto. Disponibilidade de suporte técnico e garantia de segurança. Um aspecto importante é o fechamento operacional das vulnerabilidades identificadas pelo desenvolvimento. Maior resistência à análise de mecanismos de exploração de vulnerabilidades devido ao código fechado. Interfaces contínuas claras para interação com outros componentes da rede. Vantagem dos sistemas nacionais como mecanismos para aumentar a segurança do sistema de informações: Proteção contra vulnerabilidades ocultas, ausência de backdoors e independência de atualizações suportadas por fornecedores estrangeiros. Conformidade com todos os requisitos regulatórios. Maior resistência à análise de mecanismos de exploração de vulnerabilidades devido ao código fechado. Maior confiabilidade e nível de profundidade de teste do que as soluções de código aberto. Controle do lançamento e distribuição de aplicativos: se, para ser executado, o malware deve inicialmente entrar na loja de aplicativos ou obter um certificado de assinatura, a ameaça pode ser identificada já nesse estágio. Todas as soluções acima permitem reduzir indiretamente o risco de infecção dos sistemas de informação por um encriptador. Proteção legal Outra medida de proteção não técnica pode ser o seguro cibernético, que visa fornecer serviços de seguro no campo da segurança da informação. Ele prevê: cobertura de custos em caso de vazamento de dados; proteção contra reclamações de clientes; proteção contra ataques que visam resgate. A medida de proteção ajuda a cumprir os requisitos regulatórios e reduzir os riscos cibernéticos ao trabalhar com contrapartes. Os serviços de seguro em caso de ataques de encriptadores são divididos em: pagamento de resgate, serviços de negociadores, restauração de sistemas de TI, compensação por tempo de inatividade. Mas aqui também nem tudo é tão simples. Esse seguro tem um número suficiente de pontos fracos: Requisitos para ferramentas de proteção técnica. Requisitos para o nível de organização do departamento de segurança da informação e protocolos de resposta a ameaças cibernéticas. Requisitos para a organização de processos de backup. Participação em testes de penetração, disponibilidade de programas de bug bounty. Requisitos para a confiabilidade das contrapartes para evitar comprometimento de sua parte. Definição de casos de limite. O último ponto é especialmente interessante. Na maioria das vezes, está relacionado a requisitos e proibições de órgãos governamentais (por exemplo, uma moratória pode ser imposta ao pagamento de resgate). Além disso, pode haver restrições quanto à lista e características dos grupos cujos ataques são cobertos pelo seguro. A IA muda as regras do jogo O desenvolvimento de tecnologias de inteligência artificial levou ao surgimento de um grande número de ferramentas para conduzir ataques e ferramentas de proteção contra eles. Mas isso não parou por aí, e as tecnologias de IA se tornaram o assunto e a ferramenta de ataques. A IA como ferramenta do atacante Muito antes de a IA começar a ser usada em ataques cibernéticos, surgiu a base de conhecimento MITRE ATT&CK — ela descreve as táticas e técnicas dos invasores. No entanto, com o aumento do uso de tecnologias de IA para preparar e conduzir ataques diretos, bem como o surgimento de um vetor de ataque separado aos serviços de IA e modelos de ML, foi necessário criar uma base de conhecimento separada para táticas e técnicas adequadas. E foi a Matriz ATLAS. Por que o invasor tentaria inventar uma e-mail de phishing convincente se a mesma tarefa de rede neural GPT pudesse ser resolvida em alguns segundos, gerando não apenas texto, mas também criando arquivos falsos com as informações apropriadas? Isso inclui ferramentas associadas a algum elemento de engenharia social, bem como: 🔻 ataques a LLMs para contornar restrições e obter informações protegidas; 🔻 impacto em bancos de dados RAG para expandir ataques adicionais; 🔻 uso malicioso de direitos de acesso em assistentes de IA; 🔻 ataques a APIs de serviços de IA e muito mais. Mas como a IA afeta exatamente os ataques de encriptadores? 🔹 Reconhecimento (AML.TA0002) Ajuda na coleta de informações sobre o alvo (rastreamento de redes sociais, sites corporativos) para identificar vulnerabilidades e pontos de entrada. 🔹 Phishing (AML.T0052) Preparação de materiais para phishing direcionado — de e-mails falsos a deepfakes. 🔹 Evasão de Defesa (AML.TA0007) Alterar o código-fonte do ransomware para contornar ferramentas antivírus baseadas em assinaturas. Isso também inclui a preparação de ferramentas de ataque por meio da geração de código de IA. 🔹 Movimento Lateral (AML.TA0015) Automação e autonomia. Agentes de IA podem se mover pelas redes, encontrar dados críticos e executar criptografia sem a participação humana.\nEm um futuro próximo, devido à redução do tempo entre o surgimento de uma ideia e sua implementação, deve-se esperar o surgimento de novos desenvolvimentos e abordagens para conduzir ataques usando inteligência artificial. A outra face da moeda É um pouco ingênuo supor que existem tecnologias ruins ou boas: a IA pode ser comparada a uma espada de dois gumes. Os pontos fortes da inteligência artificial que ajudam o atacante também podem ser usados com eficácia para proteção. A tecnologia já estabelecida para ferramentas de proteção antivírus — a busca por semelhanças de arquivos executáveis maliciosos com base na clusterização — em muitos casos é capaz de neutralizar os esforços para alterar o código-fonte. Além disso, ele cobre os casos em que o invasor não usa IA, mas usa abordagens mais tradicionais. A situação é semelhante com o phishing. As tecnologias baseadas em inteligência artificial são capazes de detectar e-mails de phishing. Mas a luta contra o phishing não se limita a isso: redes neurais separadas são capazes de determinar se o e-mail foi escrito usando modelos de IA, sem questionar sua natureza maliciosa. Isso também inclui tecnologias para identificar clones de sites usados para roubar credenciais. Outra direção promissora para o uso de IA em SI é a detecção de anomalias no tráfego de rede e no comportamento do usuário. A inteligência artificial é capaz de detectar ameaças à segurança: invasões, atividade de malware e vazamentos de dados. Assim, o rápido ritmo de desenvolvimento das tecnologias de IA, obviamente, pode levar ao fortalecimento dos mecanismos de detecção de ataques antigos e ao surgimento de novos. Tendências atuais Fazer previsões é bastante difícil, mas tentar extrapolar as tendências atuais é bastante apropriado. O que vai mudar: ✅ Os encriptadores serão usados com ainda mais frequência em ataques a ferramentas de virtualização, ferramentas de backup, modelos de ML e bancos de dados RAG. ✅ Os encriptadores, inclusive os distribuídos sob o modelo RaaS, serão desenvolvidos como componentes usados na etapa final do ataque. A probabilidade de obtê-los com e-mails de phishing diminuirá. ✅ A tendência de trabalho autônomo, inclusive com o uso de agentes de IA apropriados, para automatizar a criptografia de dados no sistema de informações permanecerá. ✅ Esquemas em que, devido a um erro no desenvolvimento do encriptador, é possível restaurar arquivos criptografados, serão possíveis apenas com o uso de neuroscópios. ✅ Os operadores de software de encriptação dependerão cada vez menos das APIs do sistema operacional, cada vez mais de bibliotecas de terceiros. ✅ O número de forks para encriptadores disponíveis em fontes abertas aumentará. ✅ A demanda por ferramentas de backup dinâmico de dados aumentará. ✅ A observância das práticas de desenvolvimento seguro, as práticas de construção de infraestrutura segura se tornará um requisito obrigatório dos reguladores. ✅ O seguro cibernético no setor de TI será promovido. ✅ O hacktivismo como um método potencial de ataque permanecerá devido à instabilidade política global. ✅ Os recordes de valores de resgate serão quebrados. ✅ A introdução de tecnologias de IA em produtos de detecção continuará. ✅ O crescimento do número de ataques continuará: com o uso de agentes de IA; contra agentes de IA — a fim de criptografar um ataque de ransomware adicional; em que o ransomware é usado para destruir dados (por grupos APT). O que acontecerá, só o tempo dirá. E nossa tarefa aqui e agora é melhorar os métodos de combate a essa ameaça. Algumas coisas mudam, outras permanecem as mesmas Durante a análise de exemplos de famílias de encriptadores, surgiu a sensação de que, em termos de padrão de ações, eles atingiram um certo platô em seu desenvolvimento. Se você olhar do ponto de vista dos arquivos do usuário, então os ataques que visam criptografar documentos no formato DOC, arquivos PDF, bancos de dados como eram, continuam. Sim, arquivos de ferramentas de virtualização e arquivos relacionados à IA foram adicionados, mas o resto parece ser mais adaptado ao perfil de vítimas específicas atacadas. Os algoritmos de criptografia usados também parecem ter se estabelecido em um pequeno grupo: para simetria — AES, ChaCha, RC4 e Salsa20, para assimetria — RSA e X25519. Há uma compreensão de que, com alta probabilidade, todos os discos de rede serão criptografados e o diretório do sistema operacional permanecerá intocado. O mesmo LockBit, um dos encriptadores mais famosos, não vai parar na quinta versão. Afinal, enquanto o negócio dos autores do encriptador lhes trouxer dinheiro, haverá atualizações subsequentes. Aqui, gostaria de dizer que os ataques usando software de criptografia parecem ter se tornado mais maduros. Involuntariamente, vem à mente uma analogia com uma partida de xadrez: o invasor pensa em como tentará contornar os meios de proteção, e os meios de proteção determinam quais movimentos o invasor fará. E para o invasor, vencer uma partida ainda pode compensar dez perdidas. A única questão é quem vai jogar melhor. Conclusão No artigo, meus colegas e eu tentamos dar uma visão abrangente do problema dos ataques usando software de criptografia. Queríamos mostrar as interseções de pontos de vista de diferentes perspectivas, dar a oportunidade de ver os detalhes técnicos que estão escondidos atrás de estruturas binárias ou estão fora do foco para a maioria. Os ataques usando encriptadores continuam sendo os mais financeiramente lucrativos para os invasores. No entanto, eles também são os mais compreensíveis para proteção e resposta: as ferramentas de proteção já criadas ajudam a construir um ecossistema seguro e resistir com sucesso às ameaças modernas. Especialistas do laboratório de antivírus da Positive Technoligies participaram da preparação do artigo: Evgeny Bechkalo, Shaihk Galiev, Alexander Laukhin, Vitaly Samal, Valery Slezkincev, Kirill Shamko. Tags: ransomware análise de tráfego encriptadores ferramentas de proteção de informações antivírus laboratório de antivírus sandbox edr ngfw Hubs: Blog da Positive Technologies Segurança da Informação Proteção Antivírus +1 0 0 64K+ Cobertura em 30 dias Positive Technologies Telegram VKontakte 8K+ Cobertura em 30 dias 4 Carma @sakaresh Usuário Assinar O fluxo de Segurança da Informação está disponível 24 horas por dia, 7 dias por semana, graças ao apoio dos amigos do Habr Habr Cursos para todos PUBLICIDADE Prática, Hexlet, SkyPro, cursos do autor — reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de Segurança da Informação Comentar Os melhores do dia Semelhante
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético
Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google
Ver na Amazon →
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza
Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.
Ver na Amazon →
Hacking APIs: Breaking Web Application Programming Interfaces
Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability
Ver oferta →
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition
Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides
Ver na Amazon →
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,
Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente
Ver na Amazon →📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
