¿Qué medidas de seguridad pueden detener a un atacante para obtener una shell inversa incluso si una víctima hace clic y descarga un archivo exe malicioso?

Hay varias formas en que las personas intentan mitigar estos ataques.

External

• Evite que el filtro de correo no deseado permita que los tipos MIME asociados frecuentemente con malware (es muy poco probable que exista una razón relevante para el negocio para enviar archivos .exe o .bat, por ejemplo)
• El uso de Anti-Virus como .exe puede detectarse incluso después de varias rondas de codificación. Preferiblemente, querría un antivirus "basado en el comportamiento" que bloquee las aplicaciones en función de las acciones que intentan tomar.
• Eduque a su personal sobre cómo detectar amenazas y qué hacer en caso de que las encuentren.
• Si tu departamento de TI es lo suficientemente grande y quieres ponerte al tanto de las cosas, las políticas de restricción de software pueden implementarse para permitir que solo se ejecuten .exe conocidos
• Deshabilite la capacidad para que los ejecutables se ejecuten desde el directorio / directorios temp
• Implementar el filtrado de egreso del cortafuegos. Configure un proxy con inspección profunda de paquetes que intercepte las conexiones SSL / TLS y bloquee el tráfico saliente que parezca sospechoso.

Internal

• No le dé a los usuarios finales acceso de administrador local. Simplemente no Si necesitan aumentar los privilegios, asigne una cuenta especial para que usen la funcionalidad "Ejecutar como ...", pero los usuarios finales no deben tener privilegios administrativos en sus estaciones de trabajo.
• Las restricciones de software / filtrado de egreso / AV / Educación / deshabilitación de archivos ejecutables del directorio temporal todavía se aplican para uso interno
• Separe su red para evitar el movimiento lateral en la instancia en la que haya compromiso

Se sorprendería de lo exitoso que puede ser esto, especialmente para un usuario típico que puede no tener ningún control de seguridad en su lugar. Además, diría que si puede convencer a un usuario para que ejecute el código que proporcionó, probablemente no sea necesario un exploit malicioso (es decir, "llamadas de soporte técnico de Microsoft" que obtienen acceso remoto a sistemas que utilizan herramientas legítimas). / p>

En un entorno corporativo, habría una variedad de medidas de seguridad que deberían ayudar a prevenir (evitar que suceda) y controlar (limitar el éxito) de tal ataque. La mayoría de las empresas adoptan un enfoque de seguridad en capas con múltiples medidas implementadas.

A través de cómo se llevaría a cabo un ataque de este tipo, aquí están algunos de los controles que podrían implementarse para un ataque como este:

1. Proporcione un archivo malicioso al usuario por correo electrónico u otros medios

   • Filtrado de correo electrónico (Antispam, AV, listas blancas), políticas de correo electrónico (restricciones de archivos adjuntos, como tamaño o tipo de archivo)
2. El usuario guarda el archivo y lo inicia
   • Capacitación sobre el conocimiento del usuario, restricciones de políticas de grupo (desde los que se pueden iniciar archivos), listas blancas de aplicaciones (evita que se ejecuten archivos desconocidos), Endpoint AV (escanea / elimina / bloquea archivos maliciosos conocidos).
3. El archivo se inicia y establece la conexión con el atacante (tal vez a través de un exploit o mediante un software legítimo
   • Filtrado de punto final y / o red (egreso) o proxy (bloquee conexiones desconocidas / no confiables), parches del sistema (bloquee explotaciones conocidas)
4. El atacante obtiene el control del sistema, elimina datos, mantiene el acceso y se propaga lateralmente
   • Permisos de usuario restringidos (es decir, no administradores), herramientas de monitoreo (para registrar la actividad forense para una revisión posterior)

Estoy seguro de que hay más, pero esto fue sacado brevemente de la parte superior de mi cabeza, pero siempre puedes atacar, seguir los pasos apropiados, luego pensar en posibles mitigaciones para esos pasos, y por supuesto puedes luego enjuague, repita con más ataques contra esas mitigaciones.

Lo primero y más importante es que puede adoptar una política de firewall de "permitir lo que se necesita, bloquear el resto". Eso irá tan lejos porque su enlace saliente malintencionado puede aprovechar un agujero que ha hurgado en el firewall.

Los productos de grado empresarial "engancharán" ciertas funciones como connect (). Al enganchar la función, un motor de análisis determina si la conexión es legítima o mala. Esta decisión tiene en cuenta muchos puntos de datos, como a dónde se dirige la conexión, qué provocó la conexión, etc. ...

Si OSX y quiere ver esto en acción, obtenga una copia de una herramienta llamada Little Snitch. Este programa conectará las conexiones salientes y le permitirá decidir si se debe permitir o no.