Nova técnica identifica ataques de malware usando padrões de jitter

São Paulo — InkDesign News — Especialistas em segurança cibernética do Varonis Threat Labs descobriram uma nova técnica, chamada Jitter-Trap, projetada para identificar ataques cibernéticos ocultos, mesmo aqueles perpetrados por grupos patrocinados por estados e organizações criminosas.

Incidente e vulnerabilidade

A metodologia Jitter-Trap se concentra em padrões de aleatoriedade que hackers utilizam para evitar a detecção, especialmente durante a comunicação pós-exploração e de comando e controle (C2). Os atacantes frequentemente empregam softwares, conhecidos como beacons, que enviam sinais de volta aos centros de controle. Esses beacons manipulam horários de envio com aleatoriedade, criando um trunfo que dificulta a identificação de suas atividades. No entanto, o Jitter-Trap inverte essa lógica ao identificar que essa própria aleatoriedade gera uma impressão digital única, passível de detecção.

Esses beacons fazem parte de ferramentas de hacking mais abrangentes, como Cobalt Strike e Sliver. Apesar de poderem servir a propósitos positivos, como testes de segurança, são frequentemente utilizados por criminosos para infiltrar redes, roubar dados ou assumir o controle de sistemas.

Impacto e resposta

O impacto desses métodos de ocultação pode ser profundo, já que os beacons tentam disfarçar seu tráfego de rede como atividades normais da internet, como atualizações da Microsoft ou visitas a sites comuns. A abordagem tradicional de segurança foca em arquivos prejudiciais conhecidos, ações de usuários atípicas ou padrões de rede específicos. Entretanto, os hackers atualizam constantemente suas táticas, tornando antigas regras de detecção obsoletas. O Jitter-Trap examina como os beacons se comunicam, analisando tempos de espera e configurações de jitter, permitindo a identificação de padrões raros que geralmente não aparecem em tráfego de rede legítimo. Como ressaltou um especialista,

“Esses padrões aleatórios permitem que equipes de segurança detectem atividades ocultas com mais eficácia, utilizando a própria técnica de evasão dos atacantes contra eles.”
(“These random patterns allow security teams to detect hidden activities more effectively, using the attackers’ own evasion techniques against them.”)

— Especialista em Segurança, Varonis

Mitigações recomendadas

Para fortalecer a defesa contra tais ataques, recomenda-se que as organizações adotem boas práticas de segurança, incluindo a realização de rotinas de monitoramento de tráfego que identifiquem as variações de aleatoriedade. A identificação e o bloqueio de beacons também podem ser aprimorados por meio do uso da técnica Jitter-Trap. Além disso, é vital manter sistemas atualizados com patches de segurança e investir em treinamentos para equipes de TI sobre as últimas ameaças e técnicas de defesa.

Conforme mencionado em uma análise,

“A aleatoriedade, se bem compreendida, pode se tornar uma ferramenta poderosa na luta contra atividades cibernéticas maliciosas.”
(“Randomness, if well understood, can become a powerful tool in the fight against malicious cyber activities.”)

— Especialista em Segurança, Varonis

Em suma, a contínua evolução das técnicas de ataque requer que as organizações estejam sempre atentas. Detectar e mitigar essas ameaças precisa ser uma prioridade constante, superando riscos residuais e adaptando-se às novas realidades da segurança digital.

Fonte: (Hack Read – Segurança Cibernética)