Recent, amenintarea cibernetica Backdoor.WIN32.Buterat a început să compromită sistemele informatice ale companiilor și instituțiilor guvernamentale, reprezentând un risc major de securitate. Malware-ul folosește tehnici avansate pentru a rămâne activ și nedetectat pentru perioade lungi de timp, permițând atacatorilor să aibă acces permanent la sistemele compromise.
Malware-ul se răspândește prin e-mailuri de tip phishing, atașamente malițioase și software piratat. Odată instalat, el creează canale de comunicare criptate către serverele atacatorilor. Acest lucru le permite atacatorilor să lanseze comenzi de la distanță, să fure date și să se deplaseze în interiorul rețelei companiei, totul fără a fi detectat de soluțiile de securitate tradiționale.
Buterat se deosebește prin tehnicile sale de evaziune. Acesta nu creează procese noi, ci se injectează în procese legitime ale sistemului de operare, cum ar fi amhost.exe sau dmhost.exe. Această metodă este extrem de eficientă, deoarece păcălește sistemele de detecție.
Sfaturi de Protectie
1. Validarea atentă a e-mailurilor și a atașamentelor
Pasul 1: Analiza adresei expeditorului și a antetului. Un atacator poate falsifica numele afișat, dar antetul real al e-mailului va dezvălui sursa. Verifică adresa de e-mail afișată (ex. nume.prenume@companie.com) și apoi analizează antetul complet. Caută opțiunea "Afișare original"/"Vedeti detaliile mesajului" (în Gmail, dă click pe cele trei puncte verticale) sau Proprietăți (în Outlook, dă click dreapta pe e-mail). Verifică liniile Return-Path și From. Dacă adresele din aceste campuri sunt diferite de adresa expeditorului oficiala, e-mailul este aproape sigur o tentativă de phishing.
Pasul 2: Verificarea linkurilor. Fără a da click, plasează cursorul mouse-ului deasupra oricărui link. Adresa URL reală va apărea în colțul din stânga jos al ecranului. Asigură-te că domeniul corespunde cu cel pe care îl cunoști.
Pasul 3: Verificarea atașamentelor. Nu descarca sau deschide niciodată atașamente cu extensii de arhivă (.zip, .rar, .7z) sau cu extensii neobișnuite (.js, .vbs, .lnk) pe care nu le-ai cerut. Pentru a vedea extensia reală a fișierelor (ex. .pdf.exe), deschide File Explorer (apasă Win + E), mergi la meniul Vizualizare și bifează Extensii nume fișier.
2. Activarea Autentificării în Doi Factori (2FA)
Pasul 1: Intră în setările de securitate. Accesează contul de e-mail, de social media sau bancar și caută secțiunea Setări > Securitate.
Pasul 2: Activează 2FA. Alege opțiunea Autentificare în doi pași sau Verificare în doi pași.
Pasul 3: Configurează 2FA. Instalează o aplicație de autentificare (ex. Google Authenticator, Microsoft Authenticator) sau o cheie de securitate hardware. Scanează codul QR afișat pe ecran cu aplicația și introdu codul generat.
3. Dezactivarea macro-urilor în Microsoft Office: Un macro este un mic program automat care ajută la simplificarea sarcinilor în Office (Word, Excel). Atacatorii ascund cod malițios în interiorul macro-urilor și îl activează atunci când deschizi un document infectat, permițând astfel malware-ului să-ți compromită sistemul.
Pasul 1: Accesează setările Office. Deschide o aplicație Office (de ex., Word), mergi la Fișier > Opțiuni.
Pasul 2: Intră în Centrul de Incredere și securitate. În meniul din stânga, selectează Centru de Incredere și securitate și dă click pe butonul Setări.
Pasul 3: Configurează setările macro. În meniul din stânga, alege Setări macro și bifează Dezactivează toate macro-urile cu notificare.
4. Utilizarea software-ului original și actualizat
Pasul 1: Verifică Windows Update. Intră în Setări > Actualizare și securitate și apasă Verifică dacă există actualizări.
Pasul 2: Actualizează aplicațiile. Deschide Microsoft Store și accesează Bibliotecă > Obțineți actualizări pentru a actualiza aplicațiile. Pentru alte programe, caută funcția de actualizare în meniul Ajutor sau Despre.
Pasul 3: Evită site-urile de torrent și piraterie. Folosește doar surse oficiale și magazine de aplicații de încredere pentru a descărca și instala programe.
5. Implementarea unui EDR (Endpoint Detection and Response)
Pasul 1: Consultă echipa IT. Discută cu departamentul IT sau cu un consultant extern pentru a alege o soluție EDR potrivită.
Pasul 2: Instalarea agentului. Instalează agentul EDR pe toate dispozitivele din rețea.
Pasul 3: Configurarea politicilor. Creează reguli de detecție pentru a monitoriza comportamente anormale, cum ar fi injecțiile în procese legitime.
6. Monitorizarea proceselor de sistem
Pasul 1: Instalează un instrument de monitorizare. Poți folosi Sysmon (System Monitor) de la Microsoft Sysinternals. Descarcă-l de pe site-ul oficial.
Pasul 2: Configurează regulile. Creează un fișier de configurare (XML) pentru Sysmon, specificând ce evenimente vrei să monitorizezi (ex. crearea de procese, injecția de proces).
Pasul 3: Lansează Sysmon. Rulează Sysmon cu fișierul de configurare și analizează jurnalele de evenimente din Event Viewer pentru a detecta activități anormale.
7. Segmentarea rețelei
Pasul 1: Planifică segmentele. Identifică departamentele cu nevoi diferite de acces și creează rețele virtuale (VLAN-uri) separate.
Pasul 2: Configurează regulile de firewall. Setează reguli pe firewall-ul central pentru a permite doar comunicarea necesară între segmente.
Pasul 3: Testează fluxurile de date. Verifică periodic dacă un computer dintr-un segment poate comunica cu un altul, fără a avea permisiunea explicită.
8. Utilizarea unui firewall cu inspecție profundă a pachetelor
Pasul 1: Activează funcția pe firewall. Accesează interfața de administrare a firewall-ului tău de rețea și caută opțiunea Deep Packet Inspection (DPI) sau SSL Inspection.
Pasul 2: Instalează certificatul root. Descarcă și instalează certificatul de securitate al firewall-ului pe toate sistemele din rețea.
Pasul 3: Configurează regulile de inspecție. Setează reguli pentru a inspecta traficul web (HTTP/S) și a detecta conexiunile malițioase, chiar și pe cele criptate.
9. Drepturi de acces minim (Principle of Least Privilege)
Pasul 1: Creează conturi separate. În Panoul de control > Conturi de utilizator, creează un cont de utilizator standard pentru activitățile zilnice.
Pasul 2: Limitează drepturile de administrator. Folosește contul de administrator doar pentru sarcinile care o cer explicit.
Pasul 3: Utilizează un manager de parole. Folosește o aplicație precum LastPass sau Bitwarden pentru a stoca parolele în siguranță.
10. Implementarea unei politici de backup și recuperare
Pasul 1: Configurează un software de backup. Instalează un program de backup și configurează-l pentru a rula automat.
Pasul 2: Urmează regula 3-2-1. Păstrează 3 copii ale datelor, pe 2 tipuri diferite de medii de stocare, cu 1 copie stocată în afara rețelei.
Pasul 3: Testează recuperarea. Periodic, încearcă să restaurezi un fișier din backup, pentru a te asigura că procesul funcționează corect.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro