Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Solutiile EDR sub asediu: Atacatorii "îngheață" soluțiile de securitate pentru a se infiltra neobservați

Solutiile EDR sub asediu: Atacatorii "îngheață" soluțiile de securitate pentru a se infiltra neobservați

-

Rating: 0.0 (0 voturi)
Noutăți 22.09.2025

Recent, a apărut o nouă tehnică de atac cibernetică menită să neutralizeze temporar soluțiile de securitate esențiale, cum ar fi sistemele EDR și programele antivirus. Aceste soluții sunt cruciale pentru detectarea și oprirea activităților malițioase, iar compromiterea lor lasă rețelele companiilor vulnerabile.

Această metodă, bazată pe un concept de tip "proof-of-concept", exploatează funcții legitime ale sistemului de operare Windows pentru a induce o stare de "comă" a software-ului de securitate. Spre deosebire de atacurile tradiționale care folosesc drivere vulnerabile pentru a obține controlul asupra sistemului, această abordare se bazează pe componente native, făcând-o mult mai greu de detectat de către soluțiile de protecție tradiționale.

Atacatorii, odată ce reușesc să suspende programele de securitate, pot desfășura acțiuni malițioase – de la furtul de date până la instalarea de ransomware – fără a fi detectați. Din acest motiv, companiile și instituțiile trebuie să fie conștiente de aceste riscuri și să implementeze măsuri suplimentare de monitorizare și protecție sistem.


Sfaturi de Protectie


1. Politici de Audit și Monitorizare Avansată

Pasul 1: Activează Politicile de Audit în Windows - O soluție de securitate compromisă nu mai generează alerte, dar sistemul de operare Windows continuă să înregistreze evenimente în Event Log. Prin activarea auditului detaliat, Windows documentează acțiunile atacatorului, chiar și după ce acesta a neutralizat antivirusul sau EDR-ul.

  • Apasa tasta Windows + R, scrie secpol.msc și apasă Enter. Se va deschide Local Security Policy.
  • Navighează la Local Policies -> Audit Policy.
  • Dublu-click pe Audit process tracking. Bifează ambele căsuțe: Success și Failure. Apasă OK.
  • Fă același lucru pentru Audit logon events și Audit object access.

Pasul 2: Configurează un SIEM (Security Information and Event Management).

  • Instalează o soluție SIEM (cum ar fi Splunk, Elastic Stack - ELK sau Wazuh).
  • Instalează agenți pe fiecare calculator din rețea.
  • Configurează agenții pentru a trimite toate jurnalele de evenimente Windows (din Event Viewer) către serverul SIEM.
  • În SIEM, creează o regulă de alertă. De exemplu, o regulă care declanșează o notificare dacă evenimentul cu ID-ul 4688 (crearea unui proces) este urmat rapid de evenimentul 4689 (terminarea unui proces), în special pentru procesele de securitate (ex: MsMpEng.exe).



2. Restricționarea Privilegiilor și Zero Trust

Pasul 1: Creează Conturi Fără Drepturi de Administrator - Atunci când folosești un cont de utilizator standard pentru activitățile zilnice, chiar dacă o aplicație malițioasă reușește să ruleze pe computer, ea nu va putea face modificări la nivel de sistem

  • Mergi la Settings -> Accounts -> Family & other users -> Add someone else to this PC.
  • Creează un cont nou și asigură-te că este de tip Standard user.
  • Folosește acest cont standard pentru activitățile zilnice.

Pasul 2: Activează UAC (User Account Control) - UAC (User Account Control) este un strat de securitate esențial, chiar și pentru conturile de administrator. Atunci când UAC este activat, Windows îți cere permisiunea de fiecare dată când o aplicație încearcă să facă o modificare care necesită drepturi de administrator. Acest lucru înseamnă că, chiar dacă ești logat cu un cont de administrator, sistemul te va notifica și te va întreba dacă ești de acord cu acțiunea.

  • Mergi la Control Panel -> User Accounts -> User Accounts -> Change User Account Control settings.
  • Alege opțiunea Notify me only when apps try to make changes to my computer (default). Apasă OK.



3. Configurarea Windows Defender

Pasul 1: Activează Protecția Împotriva Falsificării (Tamper Protection).

  • Mergi la Start -> Settings -> Update & Security -> Windows Security -> Virus & threat protection.
  • Click pe Virus & threat protection settings.
  • Cereți unui administrator să activeze Tamper Protection.

Pasul 2: Configurează Accesul Controlat la Dosar (Controlled folder access).

  • În secțiunea Virus & threat protection, selectează Manage ransomware protection.
  • Activează Controlled folder access și adaugă manual directoarele critice (ex: directoarele cu documente importante, directoarele de sistem) la lista de dosare protejate.



4. Firewall și Segmentarea Rețelei

Pasul 1: Configurează Windows Firewall.

  • Apasa tasta Windows + R, scrie wf.msc și apasă Enter. Se va deschide Windows Defender Firewall with Advanced Security.
  • Selectează Inbound Rules și Outbound Rules.
  • Creează reguli noi pentru a bloca accesul neautorizat la procesele de securitate.

Pasul 2: Implementează Segmentarea Rețelei (VLAN).

  • Cereți unui specialist IT să creeze VLAN-uri pentru a izola rețelele critice (ex: servere, departament financiar) de rețeaua generală de utilizatori.



5. Actualizări și Gestionarea Vulnerabilităților

Pasul 1: Configurează Windows Update.

  • Mergi la Settings -> Update & Security -> Windows Update.
  • Click pe Advanced options.
  • Activează Receive updates for other Microsoft products when you update Windows.

Pasul 2: Folosește un Instrument de Scanare a Vulnerabilităților.

  • Rulează o soluție de scanare a vulnerabilităților (ex: Nessus, OpenVAS) pentru a identifica și corecta orice puncte slabe.



6. Monitorizarea Proceselor cu Sysmon

Pasul 1: Descarcă și Instalează Sysmon.

  • Descarcă Sysmon de pe site-ul oficial Microsoft Sysinternals.
  • Folosește un fișier de configurare (ex: de pe GitHub) care să înregistreze activități suspecte.

Pasul 2: Configurează Reguli.

  • Scrie o regulă care să detecteze procesele noi care pornesc dintr-un director temporar (C:\Temp).
  • Alertează-te dacă un proces de securitate (ex: defender.exe) este oprit sau terminat.



7. Soluție EDR cu Rollback

Pasul 1: Alege o Soluție EDR Modernă.

  • Alege un furnizor de EDR recunoscut (ex: CrowdStrike, SentinelOne, Carbon Black) care oferă funcționalitate de rollback și remediere automată.

Pasul 2: Configurează Izolarea Endpoint-urilor.

  • În consola EDR, configurează o politică care să izoleze automat un computer de rețea dacă detectează un comportament malițios.



8. Educația Angajaților

Pasul 1: Pregătește Materiale de Training.

  • Creează prezentări scurte și clare despre riscurile cibernetice.
  • Include exemple concrete: cum arată un e-mail de phishing, cum să verifici un link suspect.

Pasul 2: Organizează Sesiuni de Formare Lunare.

  • Fii constant în training.
  • Trimite emailuri de alertă cu cele mai noi amenințări.



9. Strategia de Backup

Pasul 1: Implementează Backup Automate.

  • Folosește un serviciu de backup cloud (ex: Veeam, Acronis) sau o soluție locală.
  • Configurează programul de backup pentru a se rula în fiecare zi.

Pasul 2: Testează Recuperarea Datelor.

  • O dată pe trimestru, alege un fișier aleatoriu și încearcă să-l recuperezi din backup.



10. Monitorizarea Integrității Fișierelor (FIM)

Pasul 1: Instalează o Soluție FIM.

  • Folosește o soluție FIM (ex: Tripwire, SolarWinds Security Event Manager) sau un modul FIM din cadrul unei soluții SIEM (ex: Wazuh).

Pasul 2: Configurează Monitorizarea.

  • Adaugă la monitorizare directoarele critice: C:\Windows\System32, fișierele executabile ale soluțiilor de securitate, C:\Program Files.
  • Configurează alerte care se declanșează dacă un fișier din aceste directoare este modificat sau șters.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa