Cisco Cisco ScanSafe Web Filtering Informationshandbuch
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco.
Página 3 de 8
Solução
A Cisco recomenda que o cliente atualize sua solução para o CWS Premium, que inclui o CTA e o AMP, com o
objetivo de obter maior visibilidade da rede e assim poder ajudar a equipe de segurança a priorizar as respostas
às ameaças.
A análise retrospectiva do AMP pode revelar que um arquivo considerado “limpo” por ter passado pelas proteções
de perímetro é, na realidade, um malware avançado bem disfarçado. O AMP imediatamente alerta o administrador
de segurança e identifica qual usuário pode ter sido contaminado e quando isso ocorreu.
Enquanto isso, o CTA detecta ameaças ainda mais disfarçadas que derrubam as defesas e estão ativas na rede
corporativa. É um sistema inovador de detecção de malware que usa a análise comportamental e a detecção de
anomalias para localizar dispositivos comprometidos. O CTA conta com modelagem estatística avançada e
aprendizagem automática para identificar novas ameaças de forma autônoma, aprendendo com o que observa e
se adaptando no decorrer do tempo, sem necessidade de ajuste ou configuração.
O CTA identificou e relatou evidências de atividades de malware na rede do cliente. O malware consistia em um
conjunto de módulos controlados por uma entidade de malware. Nesse caso, o payload foi o ransomware
Cryptolocker, um tipo de malware que criptografa os arquivos nos computadores das vítimas e "trava" o dispositivo
até que um resgate seja pago.
Conforme ilustrado na Figura 2, o invasor operou uma infraestrutura de comando e controle para realizar o ataque.
Quatro etapas fundamentais estavam envolvidas nessa campanha:
Passo 1. O invasor usou um exploit (CVE-2012-4681) para tirar proveito da vulnerabilidade no componente
Java Runtime Environment (JRE) no Oracle Java SE 7, Atualização 6. Isso permitiu que ele
executasse um código remotamente, ignorando o gerenciador de segurança.
executasse um código remotamente, ignorando o gerenciador de segurança.
Passo 2. Em seguida, o bootkit (Rovnix.l) foi instalado para garantir a persistência na máquina.
Passo 3. Em seguida, o payload foi fornecido, tornando o malware totalmente operacional. (Nesse caso, o
payload foi o ransomware Cryptolocker.)
Passo 4. O ataque estabeleceu canais de comando e controle para manter a operação ativa.
Figura 2. Quatro etapas fundamentais no ataque
5
A chamada Malvertising, a publicidade online que espalha malware, teve uma participação importante na disseminação do
Cryptolocker, que foi neutralizado. O malvertising e o ransomware ainda são as principais ameaças e estão sendo usadas pelos
invasores para lançar campanhas direcionadas por meio da Web. Para obter mais detalhes, consulte o Relatório Semestral de
Segurança da Cisco de 2014 :
invasores para lançar campanhas direcionadas por meio da Web. Para obter mais detalhes, consulte o Relatório Semestral de
Segurança da Cisco de 2014 :