/
Contenção de ransomware

NOME: WRECK Takeaways — Como a microssegmentação pode ajudar na visibilidade e contenção

A coleção de vulnerabilidades NAME:WRECK permite que os invasores comprometam remotamente servidores críticos e dispositivos de IoT, mesmo aqueles atrás de firewalls de perímetro, explorando falhas no tratamento das respostas do Sistema de Nomes de Domínio (DNS). Centenas de milhões de dispositivos em todo o mundo — incluindo tecnologia de saúde, dispositivos inteligentes e equipamentos industriais — poderiam ser potencialmente comprometidos usando NAME:WRECK.

Uma pesquisa publicada recentemente pela Forescout e pela JSOF detalha essa coleção de vulnerabilidades que aproveitam a análise de respostas do DNS. Esses defeitos são encontrados nas pilhas TCP/IP em vários sistemas operacionais e podem levar à execução remota de código ou à negação de serviço no sistema de destino. Para explorar essas vulnerabilidades, um invasor precisa ser capaz de responder a uma consulta de DNS válida — inserindo-se como um homem no meio entre o cliente vulnerável e o servidor DNS — com uma resposta cuja carga útil seja formatada para acionar a fraqueza. As plataformas que se mostraram vulneráveis incluem o FreeBSD, que prevalece em data centers, e o Nucleus e o NetX, que são amplamente usados como sistemas operacionais em IoT e Dispositivos OT. O artigo completo em NAME:WRECK pode ser encontrado aqui.

BLOG

Como o comprometimento inicial depende do invasor ter acesso à rede do dispositivo alvo e que o movimento lateral após o comprometimento exige a presença de acesso contínuo à rede, a visibilidade e a microssegmentação fornecem recursos que podem apoiar a detecção e a mitigação de um possível ataque.

O ponto de partida para ambos é um inventário preciso dos ativos dos dispositivos no ambiente que está executando as plataformas afetadas. Isso pode ser simples para servidores em um data center, mas mais desafiador para dispositivos de IoT ou OT espalhados por campi: se essas informações não forem perfeitas, saber onde elas estão implantadas na rede (mesmo no nível da sub-rede, se não for um IP específico) é um bom ponto de partida.

Visibilidade

Como um invasor precisaria realizar um MITM (man in the middle) para injetar a resposta maliciosa de DNS, identificar a conexão não autorizada pode ser um desafio. No entanto, o seguinte pode fornecer algumas dicas:

  • Tentativas de conexão DNS com servidores DNS não reconhecidos ou inesperados.
  • Volumes excepcionalmente altos de atividade em um servidor DNS específico.
  • Respostas de DNS com grandes cargas úteis.

O potencial movimento lateral após o comprometimento pode ser detectado por meio do seguinte:

  • Conectividade do estado alvo (FreeBSD, NetX, Nucleus) com dispositivos internos aos quais eles normalmente não se conectam.
  • Novas tentativas de conexão com a Internet a partir da propriedade alvo.
  • Novas transferências de grandes dados de/para a propriedade de destino.

Contenção

As organizações podem aproveitar a microssegmentação para reduzir a superfície potencial de ataque e inibir o movimento lateral:

  • Limite os dispositivos para que só possam acessar servidores DNS autorizados (internos e externos).
  • Restrinja o acesso de/para dispositivos para que as regras permitam apenas os fluxos necessários para as operações comerciais, impedindo assim o acesso irrestrito à rede.
  • Impeça o acesso do dispositivo à Internet ou restrinja o acesso somente a domínios específicos.

Os clientes da Illumio podem aproveitar a visibilidade incomparável do Illumio Core para permitir esse monitoramento e criar políticas de segmentação apropriadas. Entre em contato com sua equipe de contas da Illumio para saber como.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Por que os firewalls não são suficientes para a contenção de ransomware
Contenção de ransomware

Por que os firewalls não são suficientes para a contenção de ransomware

Descubra os motivos pelos quais os firewalls são muito lentos para acompanhar as ameaças e por que a microssegmentação é fundamental para a contenção do ransomware.

Como interromper os ataques do Clop Ransomware com o Illumio
Contenção de ransomware

Como interromper os ataques do Clop Ransomware com o Illumio

Descubra como a variante de ransomware Clop opera e como a Illumio pode ajudar sua organização a conter o ataque com microssegmentação.

Contenha o ransomware em sua origem com a segmentação Zero Trust
Contenção de ransomware

Contenha o ransomware em sua origem com a segmentação Zero Trust

Saiba por que a ameaça do ransomware é tão crítica e como conseguir a contenção do ransomware com a segmentação Zero Trust.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?