Manualsbrain.com
  1. Handbücher
  2. Marken
  3. Cisco
  4. Cisco ScanSafe Web Filtering
  5. Informationshandbuch

Cisco Cisco ScanSafe Web Filtering Informationshandbuch

Download
Seite von 8
 
 
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. 
Página 3 de 8 
Solução 
A Cisco recomenda que o cliente atualize sua solução para o CWS Premium, que inclui o CTA e o AMP, com o 
objetivo de obter maior visibilidade da rede e assim poder ajudar a equipe de segurança a priorizar as respostas 
às ameaças.  
A análise retrospectiva do AMP pode revelar que um arquivo considerado “limpo” por ter passado pelas proteções 
de perímetro é, na realidade, um malware avançado bem disfarçado. O AMP imediatamente alerta o administrador 
de segurança e identifica qual usuário pode ter sido contaminado e quando isso ocorreu. 
Enquanto isso, o CTA detecta ameaças ainda mais disfarçadas que derrubam as defesas e estão ativas na rede 
corporativa. É um sistema inovador de detecção de malware que usa a análise comportamental e a detecção de 
anomalias para localizar dispositivos comprometidos. O CTA conta com modelagem estatística avançada e 
aprendizagem automática para identificar novas ameaças de forma autônoma, aprendendo com o que observa e 
se adaptando no decorrer do tempo, sem necessidade de ajuste ou configuração. 
O CTA identificou e relatou evidências de atividades de malware na rede do cliente. O malware consistia em um 
conjunto de módulos controlados por uma entidade de malware. Nesse caso, o payload foi o ransomware 
Cryptolocker, um tipo de malware que criptografa os arquivos nos computadores das vítimas e "trava" o dispositivo 
até que um resgate seja pago.
 
Conforme ilustrado na Figura 2, o invasor operou uma infraestrutura de comando e controle para realizar o ataque. 
Quatro etapas fundamentais estavam envolvidas nessa campanha: 
Passo 1.    O invasor usou um exploit (CVE-2012-4681) para tirar proveito da vulnerabilidade no componente 
Java Runtime Environment (JRE) no Oracle Java SE 7, Atualização 6. Isso permitiu que ele 
executasse um código remotamente, ignorando o gerenciador de segurança.  
Passo 2.    Em seguida, o bootkit (Rovnix.l) foi instalado para garantir a persistência na máquina. 
Passo 3.    Em seguida, o payload foi fornecido, tornando o malware totalmente operacional. (Nesse caso, o 
payload foi o ransomware Cryptolocker.) 
Passo 4.    O ataque estabeleceu canais de comando e controle para manter a operação ativa. 
 
Figura 2.    Quatro etapas fundamentais no ataque 
 
 
                                                 
5
 A chamada Malvertising, a publicidade online que espalha malware, teve uma participação importante na disseminação do 
Cryptolocker, que foi neutralizado. O malvertising e o ransomware ainda são as principais ameaças e estão sendo usadas pelos 
invasores para lançar campanhas direcionadas por meio da Web. Para obter mais detalhes, consulte o Relatório Semestral de 
Segurança da Cisco de 2014 :
.