Malware | O que é malware e como se proteger de ataques desse tipo

O que é malware?

Como software projetado para interferir no funcionamento normal de um computador, malware é um termo genérico para vírus, cavalos de Troia e outros programas de computador destrutivos que os agentes de ameaças usam para infectar sistemas e redes com o objetivo de conseguir acesso a informações confidenciais.

Definição de malware

Malware (abreviação de “malicious software” – software malicioso) é um arquivo ou código, geralmente distribuído por uma rede, que infecta, explora, rouba ou se comporta exatamente da maneira que um invasor deseja. E como há diversas variantes de malware, existem inúmeros métodos para infectar sistemas de computador. Embora os malwares se apresentem em tipos e capacidades variados, geralmente eles têm um dos seguintes objetivos:

• Proporcionar controle remoto para que o invasor possa usar a máquina infectada.
• Enviar spam da máquina infectada para alvos inocentes.
• Investigar a rede local do usuário infectado.
• Roubar dados sigilosos.

Tipos de malware:

Malware é um termo inclusivo para todos os tipos de software malicioso. Exemplos de malware, definições de ataque de malware e métodos para espalhar malware incluem:

Adware – Embora algumas formas de adware possam ser consideradas legítimas, outras obtêm acesso não autorizado a sistemas de computador e afetam os usuários de maneiras graves.

Botnets – Abreviação de “robot network” (rede de robôs), são redes de computadores infectados sob o controle de invasores únicos usando servidores de comando e controle. As botnets são altamente versáteis e adaptáveis, capazes de manter a resiliência por meio de servidores redundantes e do uso de computadores infectados para retransmitir o tráfego. Frequentemente, as botnets são os exércitos por trás dos atuais ataques distributed denial-of-service (rejeição distribuída de serviço - DDoS).

Cryptojacking – É a criptomineração maliciosa (o processo de usar o poder da computação para verificar transações em uma rede de blockchain e ganhar criptomoedas para fornecer esse serviço) que ocorre quando criminosos virtuais invadem computadores, laptops e dispositivos móveis empresariais e pessoais para instalar softwares.

Malvertising – Malvertising é uma combinação das palavras “malware” e “advertising” (malware + publicidade) e descreve a prática de publicidade on-line para espalhar malwares. Geralmente envolve a injeção de código malicioso ou anúncios carregados de malware em redes e páginas da Web legítimas de publicidade on-line.

Malware polimórfico – Qualquer um dos tipos de malware acima com a capacidade de “se transformar” regularmente, alterando a aparência do código enquanto retém o algoritmo dentro dele. A alteração da aparência superficial do software subverte a detecção por assinaturas de vírus tradicionais.

Ransomware – É um modelo de negócios criminoso que usa softwares maliciosos para armazenar arquivos, dados ou informações valiosas para resgate. As vítimas de um ataque de ransomware podem ter suas operações degradadas de maneira grave ou totalmente encerradas.

Ferramentas de administração remota (Remote administration tools – RATs) – Softwares que permitem que um operador remoto controle um sistema. Essas ferramentas foram originalmente criadas para uso legítimo, mas agora são usadas por agentes de ameaças. As RATs permitem o controle administrativo, possibilitando que um invasor faça quase tudo em um computador infectado. Elas são difíceis de detectar, pois geralmente não aparecem em listas de programas ou tarefas em execução, e suas ações são frequentemente confundidas com ações de programas legítimos.

Rootkits – Programas que fornecem acesso privilegiado (nível root) a um computador. Os rootkits variam e se escondem no sistema operacional.

Spyware – Malware que coleta informações sobre o uso do computador infectado e as comunica ao invasor. O termo inclui botnets, adwares, comportamento backdoor, keyloggers, roubo de dados e worms de rede.

Malware por cavalos de Troia – Malware disfarçado como um software legítimo. Ao serem ativados, os cavalos de Troia com malware realizarão qualquer ação para a qual foram programados. Ao contrário dos vírus e worms, os cavalos de Troia não se replicam nem se reproduzem por meio de infecção. “Cavalo de Troia” alude à história mitológica de soldados gregos escondidos dentro de um cavalo de madeira que foi dado à cidade inimiga de Troia.

Malware por vírus – Programas que se copiam em um computador ou rede. Os vírus com malware aproveitam os programas existentes e só podem ser ativados quando um usuário abre o programa. Na pior das hipóteses, os vírus podem corromper ou excluir dados, usar o e-mail do usuário para se espalhar ou apagar tudo no disco rígido.

Malware por worms – Vírus autorreplicantes que exploram vulnerabilidades de segurança para se espalharem automaticamente por computadores e redes. Ao contrário de muitos vírus, os worms com malware não se anexam a programas existentes nem alteram arquivos. Eles costumam passam despercebidos até que a replicação atinja uma escala que consuma recursos significativos do sistema ou a largura de banda da rede.

Tipos de ataques de malware

O malware também usa vários métodos para se espalhar para outros sistemas de computador além de um vetor de ataque inicial. As definições de ataque de malware podem incluir:

• Anexos de e-mail que contêm código malicioso podem ser abertos e, portanto, executados por usuários desavisados. Se esses e-mails forem encaminhados, o malware poderá se espalhar ainda mais profundamente na organização, comprometendo mais ainda a rede.
• Servidores de arquivos, como os baseados no sistema de arquivos comum da Internet (SMB/CIFS) e no sistema de arquivos de rede (NFS), podem permitir que o malware se espalhe rapidamente à medida que os usuários acessam e baixam arquivos infectados.
• Softwares de compartilhamento de arquivos podem permitir que o malware se replique em mídias removíveis e depois em sistemas e redes de computadores.
• O compartilhamento de arquivos ponto a ponto (P2P) pode introduzir malware ao compartilhar arquivos aparentemente inofensivos, como músicas ou imagens.
• Vulnerabilidades exploráveis remotamente podem permitir que um hacker acesse sistemas seja qual for a localização geográfica, com pouca ou nenhuma necessidade de envolvimento do usuário do computador.

Aprenda a usar os recursos de prevenção de ameaças de última geração da Palo Alto Networks e o serviço de análise de ameaças baseado em nuvem WildFire® para proteger sua rede contra todos os tipos de malware conhecidos e desconhecidos.

Como prevenir malwares:

Várias soluções de segurança são usadas para detectar e prevenir malwares. Elas incluem firewalls, firewalls de última geração, sistemas Intrusion Prevention (IPS) da rede, recursos de inspeção profunda de pacotes (DPI), sistemas unificados de gerenciamento de ameaças, gateways antivírus e antispam, redes privadas virtuais, filtragem de conteúdo e sistemas de prevenção de vazamento de dados. Para prevenir malwares, todas as soluções de segurança devem ser testadas usando uma ampla variedade de ataques baseados em malware para garantir que estejam funcionando corretamente. Uma biblioteca robusta e atualizada de assinaturas de malware deve ser usada para garantir que os testes sejam concluídos contra os ataques mais recentes

O agente Cortex XDR combina vários métodos de prevenção em fases críticas do ciclo de vida do ataque para interromper a execução de programas maliciosos e impedir a exploração de aplicativos legítimos, seja qual for o sistema operacional, o status on-line ou off-line do endpoint e se ele está conectado a uma rede ou roaming da organização. Como o agente Cortex XDR não depende de assinaturas, ele pode prevenir malware dia zero e exploits desconhecidos com uma combinação de métodos de prevenção.

Detecção de malwares:

Existem ferramentas avançadas de análise e detecção de malware, como firewalls, sistemas Intrusion Prevention (IPS) e soluções de área limitada. Alguns tipos de malware são mais fáceis de detectar, como o ransomware, que se torna conhecido imediatamente após criptografar seus arquivos. Outros malwares, como o spyware, podem permanecer silenciosamente em um sistema alvo para permitir que um adversário mantenha o acesso ao sistema. Seja qual for o tipo de malware, seu significado, sua detectabilidade ou a pessoa que o implanta, a intenção do uso é sempre maliciosa.

Quando você habilita a proteção contra ameaças comportamentais em sua política de segurança de endpoint, o agente Cortex XDR também pode monitorar continuamente a atividade do endpoint em busca de cadeias de eventos maliciosos identificadas pela Palo Alto Networks.

Remoção de malwares:

Os softwares antivírus podem remover a maioria dos tipos de infecção padrão, e existem muitas opções de soluções prontas para uso. O Cortex XDR permite a correção no endpoint após um alerta ou uma investigação, dando aos administradores a opção de iniciar várias etapas de mitigação. Elas começam com o isolamento dos endpoints por meio da desativação de todo o acesso à rede nos endpoints comprometidos, exceto o tráfego para o console do Cortex XDR, encerramento de processos para impedir que qualquer malware em execução continue fazendo atividades maliciosas no endpoint e bloqueio de execuções adicionais, antes de colocar arquivos maliciosos em quarentena e removê-los dos diretórios de trabalho caso o agente Cortex XDR ainda não tenha feito isso.

Proteção contra malware:

Para proteger sua organização contra malwares, você precisa de uma estratégia holística de proteção contra malwares em toda a empresa. As ameaças de commodities são exploits menos sofisticados e mais facilmente detectados e evitados usando uma combinação de antivírus, antispyware e recursos de proteção contra vulnerabilidades, juntamente com filtragem de URL e recursos de identificação de aplicativos no firewall.

Para saber mais sobre malwares, as variantes deles e como você pode proteger sua organização contra eles, baixe um de nossos recursos:

• O que é proteção contra malware?
• O que são ataques de malware sem arquivo e “living off the land”
• Relatório sobre ameaças de ransomware
• O que é ransomware?
• Ransomware: Métodos comuns de ataque
• Malware vs. exploits
• O que é assinatura baseada em payload?
• Cortex XDR para detecção e resposta
• Prevenção de ameaças
• Mecanismo de análise de malware do WildFire