{"id":1241,"date":"2020-08-11T12:38:44","date_gmt":"2020-08-11T15:38:44","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=1241"},"modified":"2020-08-17T17:03:34","modified_gmt":"2020-08-17T20:03:34","slug":"ataques-baseados-em-script-como-se-prevenir","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/","title":{"rendered":"Ataques baseados em script &#8211; Como se prevenir?"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Os atacantes sempre buscam formas de evitar a detec\u00e7\u00e3o. Visto que a maioria dos produtos de seguran\u00e7a de endpoint lida bem com ataques baseados em arquivos, os scripts s\u00e3o uma \u00f3tima maneira para os atacantes evitarem mudan\u00e7as no disco, logo evitando as capacidades de detec\u00e7\u00e3o de amea\u00e7a da maioria dos produtos. No panorama de amea\u00e7as atual, os scripts oferecem acesso inicial, possibilidade de evas\u00e3o e facilitam os movimentos laterais p\u00f3s-infec\u00e7\u00e3o. Os atacantes usar\u00e3o scripts diretamente na m\u00e1quina ou embutido em um <strong>documento do Office ou em um PDF<\/strong> enviado para as v\u00edtimas como anexos de e-mail. O artigo a seguir oferece uma vis\u00e3o de como \u00e9 o panorama das amea\u00e7as de script e analisa os m\u00e9todos de ataque mais comuns.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/#Como_os_atacantes_usam_os_Scripts\" >Como os atacantes usam os Scripts<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/#PowerShell_Uma_ferramenta_poderosa_para_o_Sysadmin_e_para_o_atacante\" >PowerShell: Uma ferramenta poderosa para o Sysadmin e para o atacante<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/#JavaScript_Um_convidado_indesejado_no_seu_leitor_de_PDF\" >JavaScript: Um convidado indesejado no seu leitor de PDF<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/#Scripts_adicionais_com_base_nas_ameacas\" >Scripts adicionais com base nas amea\u00e7as<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/ataques-baseados-em-script-como-se-prevenir\/#Entao_eu_devo_permitir_a_execucao_de_Scripts_na_rede_da_minha_organizacao\" >Ent\u00e3o, eu devo permitir a execu\u00e7\u00e3o de Scripts na rede da minha organiza\u00e7\u00e3o?<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Ataques cibern\u00e9ticos baseados em script ganharam popularidade em 2017 e esses ataques cresceram rapidamente em mais de 400%. Diversos grupos de criminosos cibern\u00e9ticos adotaram o uso de scripts e malwares independentes de arquivos no mesmo per\u00edodo de tempo. Hoje, os ataques baseados em script representam cerca de 40% de todos os ataques cibern\u00e9ticos, de acordo com o relat\u00f3rio de seguran\u00e7a de endpoint 2020 do Instituto Ponemon. Em 2019 e 2018, a Deep Instinct identificou o aumento na utiliza\u00e7\u00e3o de ataques que n\u00e3o utilizam arquivos. Dentre elas, uma particularmente suspeita foi um aumento no abuso de aplica\u00e7\u00f5es legitimas e ferramentas nativas como o <a href=\"https:\/\/aiqon.com.br\/blog\/powershell-para-iniciantes-variaveis-e-vetores\/\">PowerShell<\/a> para movimenta\u00e7\u00e3o lateral e infec\u00e7\u00e3o.<\/p>\n<p>Um script pode ser qualquer coisa desde uma simples sequ\u00eancia de comandos, at\u00e9 linguagens de scripting avan\u00e7adas que s\u00e3o usadas para configura\u00e7\u00e3o de sistemas, automa\u00e7\u00f5es de tarefa complexas entre outros prop\u00f3sitos. Dentre as linguagens comuns de script est\u00e3o o <strong>VBScrpit, JavaScript e o PowerShell<\/strong>. Ao contr\u00e1rio de outras aplica\u00e7\u00f5es que s\u00e3o executadas ap\u00f3s serem compiladas na linguagem de m\u00e1quina, os computadores interpretam os scripts. Nas palavras de <a href=\"https:\/\/www.perl.com\/pub\/2007\/12\/06\/soto-11.html\/\">Larry Wall<\/a>, criador da linguagem de script Perl, \u201cum script \u00e9 o que voc\u00ea d\u00e1 aos atores, mas o programa \u00e9 o que voc\u00ea d\u00e1 a audi\u00eancia.\u201d<a href=\"https:\/\/aiqon.com.br\/blog\/por-que-o-antivirus-nao-e-suficiente-deep-learning-cybersecurity\/\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1244 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/o-antivirus-que-voc\u00ea-conhece-n\u00e3o-\u00e9-suficiente-para-voc\u00ea-clique-aqui-e-saiba-por-que.png\" alt=\"ataques script\" width=\"600\" height=\"300\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/o-antivirus-que-voc\u00ea-conhece-n\u00e3o-\u00e9-suficiente-para-voc\u00ea-clique-aqui-e-saiba-por-que.png 600w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/o-antivirus-que-voc\u00ea-conhece-n\u00e3o-\u00e9-suficiente-para-voc\u00ea-clique-aqui-e-saiba-por-que-300x150.png 300w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_os_atacantes_usam_os_Scripts\"><\/span>Como os atacantes usam os Scripts<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Como qualquer outro tipo de malware, payload e movimento lateral seguem um script que teve \u00eaxito em iniciar uma infec\u00e7\u00e3o. O payload performa a\u00e7\u00f5es designadas pelo atacante como coletar informa\u00e7\u00f5es, criptografar arquivos ou fazer um backdoor na comunica\u00e7\u00e3o. Ao mesmo tempo, o movimento lateral infecta outros computadores na rede.<\/p>\n<p>O uso de scripts da diversas vantagens aos atacantes; os scripts s\u00e3o f\u00e1ceis de se escrever e executar, triviais de se ofuscar e extremamente polif\u00f3rmico. Al\u00e9m do mais, os atacantes usam diversos tipos de arquivos script para carregar um ataque, os mais populares sendo o PowerShell, JavaScript, HTA, VBA, VBS e scripts batch. Finalmente, j\u00e1 que os ataques sem arquivo ocorrem na mem\u00f3ria, a detec\u00e7\u00e3o tradicional de arquivos est\u00e1ticos se tornam in\u00fateis. Al\u00e9m disso, os scripts complicam a analise p\u00f3s-eventos j\u00e1 que muitos artefatos relacionados ao ataque existem apenas na mem\u00f3ria do computador e podem ser sobrescritas ou removidas atrav\u00e9s de uma reinicializa\u00e7\u00e3o por exemplo. Detec\u00e7\u00e3o na mem\u00f3ria e coleta de artefato \u00e9 poss\u00edvel atrav\u00e9s do uso de heur\u00edstico e comportamento anal\u00edtico, que pode detectar atividade maliciosa na mem\u00f3ria.<\/p>\n<p>Ataques baseados em script normalmente s\u00e3o executados virtualmente em todos os sistemas Windows, aumentando o potencial de infec\u00e7\u00e3o. Uma das desvantagens do ataque de script no entanto \u00e9 que a n\u00e3o ser que ele seja implementando via uma vulnerabilidade, para o script ser executado, uma intera\u00e7\u00e3o do usu\u00e1rio ser\u00e1 necess\u00e1ria. Por exemplo, na maioria dos casos, o script vem em um arquivo de script em um e-mail que requer uma a\u00e7\u00e3o do usu\u00e1rio ou um VBA macro em documento que requer que o usu\u00e1rio habilite macros.<\/p>\n<p>Muitos tipos de Malware, incluindo ransomware, backdoors e os com intuito de roubar dados financeiros fazem uso do script. Por exemplo, um script que faz o download de um arquivo PE pode salv\u00e1-lo no disco ou execut\u00e1-lo atrav\u00e9s da mem\u00f3ria, dependendo do n\u00edvel de sofistica\u00e7\u00e3o. O script pode tamb\u00e9m executar m\u00faltiplas a\u00e7\u00f5es maliciosas, como coletar informa\u00e7\u00e3o da v\u00edtima, do computador e at\u00e9 a coletar senhas salvas.<\/p>\n<p>Estudando uma amostra completa de ataque, a intelig\u00eancia de amea\u00e7as do Deep Instinct concluiu que 75% dos ataques sem arquivos utilizam scripts (a maioria utiliza um ou mais scripts no PowerShell, HTA, JavaScript) em pelo menos um dos est\u00e1gios.<\/p>\n<p>Por exemplo, o <a href=\"https:\/\/blog.morphisec.com\/iranian-fileless-cyberattack-on-israel-word-vulnerability\">Helminth Trohan<\/a>, usado por um grupo iraniano chamado Oilrig, usou os scripts para l\u00f3gica maliciosa. No ataque, o documento Microsoft Word explorava o CVE-2017-0199 entregando um script HTA executado por um processo do Windows, que executa o HTML execut\u00e1vel mshta.exe. Uma vez executado, o script inicia o ataque entregando o Helminth Trojan como arquivos Powershell e VBS.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PowerShell_Uma_ferramenta_poderosa_para_o_Sysadmin_e_para_o_atacante\"><\/span>PowerShell: Uma ferramenta poderosa para o Sysadmin e para o atacante<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O <a href=\"https:\/\/aiqon.com.br\/blog\/powershell-para-iniciantes\/\">PowerShell<\/a> \u00e9 um framework usado para gerenciamento da configura\u00e7\u00e3o e da automa\u00e7\u00e3o de tarefas, com linhas de comando shell e linguagem de script. O PowerShell oferece acesso ao Microsoft Windows Management Instrumentation (WMI) e ao Component Object Model (COM), que o tornam uma ferramenta \u00fatil e vers\u00e1til n\u00e3o s\u00f3 para os administradores de sistema automatizarem os gerenciamentos de processo da TI, mas tamb\u00e9m para os atacantes procurarem uma brecha no sistema.<\/p>\n<figure id=\"attachment_1242\" aria-describedby=\"caption-attachment-1242\" style=\"width: 1000px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1242 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/malicious-file-loader.png\" alt=\"ataques script\" width=\"1000\" height=\"321\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/malicious-file-loader.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/malicious-file-loader-300x96.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/malicious-file-loader-768x247.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-1242\" class=\"wp-caption-text\">Um carregador de arquivo malicioso no PowerShell<\/figcaption><\/figure>\n<p>Os atacantes usam o PowerShell para carregarem malwares direto na mem\u00f3ria sem precisar escrev\u00ea-los no disco, passando fora do radar de diversos produtos de seguran\u00e7a de endpoint. Os atacantes tamb\u00e9m usam o PowerShell para automatizar a exfiltra\u00e7\u00e3o de dados e o processo de infec\u00e7\u00e3o usando frameworks como o Metasploit ou o PowerSploit.<\/p>\n<p>J\u00e1 com outros tipos de ataque, em um ataque baseado em script, a preens\u00e3o inicial da v\u00edtima geralmente ocorre atrav\u00e9s de um ataque de phishing bem sucedido que cont\u00e9m um dropper, como um PDF, RTF, arquivo Office ou um armazenamento. Na maioria dos casos, o dropper executar\u00e1 um script, ou VBA macro ou algum outro tipo de script como o PowerShell, JavaScript ou o HTA. Em alguns casos, os scripts fazem o download, seja baixando um arquivo PE em algum outro processo, ou fazendo o download de arquivo PE no disco antes de remov\u00ea-lo, injetando o arquivo PE em outro processo, ou fazendo o download de outro script para iniciar o pr\u00f3ximo est\u00e1gio do ataque. Outras situa\u00e7\u00f5es mais raras, o script cont\u00e9m um l\u00f3gica inteiramente maliciosa. Em outros casos, o atacante explora as vulnerabilidades no leitor de documento, como por exemplo o Adobe Acrobat, para instalar a nova fase do ataque. O uso de droppers \u00e9 generalizado n\u00e3o apenas em ataques de malware baseados em arquivos, incluindo ransomwares conhecidos e campanhas de malware com intuito de obter retorno financeiro.<\/p>\n<p>Um ataque bem conhecido usando esse m\u00e9todo \u00e9 o <a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/cobalt-malware-strikes-using-cve-2017-11882-rtf-vulnerability\">Cobalt Malware<\/a>, que usou um dropper de documento explorando o CVE-2017-11882. Quando usu\u00e1rio abre o documento, a vulnerabilidade contida no documento baixar\u00e1 um JavaScript, que ent\u00e3o executava diversos scripts PowerShell, o ultimo que inclu\u00eda DLLs do Cobalt no c\u00f3digo do script. Eles ent\u00e3o ficavam na mem\u00f3ria sem serem levados ao disco. Atrav\u00e9s do uso dessa vulnerabilidade, os atacantes executavam um ataque sem arquivo, na qual a \u00fanica a\u00e7\u00e3o foi de um usu\u00e1rio abrindo um arquivo com dropper.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1243 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/cobalt-malware-diagram.png\" alt=\"ataques script\" width=\"1000\" height=\"274\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/cobalt-malware-diagram.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/cobalt-malware-diagram-300x82.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/cobalt-malware-diagram-768x210.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<p>Em diversos casos, o PowerShell permite que o atacante ganhe uma vantagem sobre a v\u00edtima, j\u00e1 que usar o <a href=\"https:\/\/aiqon.com.br\/blog\/powershell-para-iniciantes-variaveis-e-vetores\/\">PowerShell<\/a> permite que o atacante obtenha permiss\u00f5es e privil\u00e9gios, realize movimentos laterais no sistema al\u00e9m de interagir com outras aplica\u00e7\u00f5es do Windows como <a href=\"https:\/\/aiqon.com.br\/blog\/gerenciando-o-exchange-online\/\">Microsoft Exchange<\/a>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"JavaScript_Um_convidado_indesejado_no_seu_leitor_de_PDF\"><\/span>JavaScript: Um convidado indesejado no seu leitor de PDF<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>JaacScript \u00e9 o padr\u00e3o da linguagem de Script usada em p\u00e1ginas da Web, aplica\u00e7\u00f5es web e navegadores. O JavaScript pode manipular e modificar arquivos PDF com objetos implementados, links de p\u00e1gina web e muito mais. Apesar de n\u00e3o ser desenhado para ter acesso direto aos arquivos do sistema, a maioria dos ataques em PDF usam o software leitor de PDF para executar c\u00f3digo de JavaScript nas m\u00e1quinas das v\u00edtimas. Tanto explorando vulnerabilidade que n\u00e3o foram corrigidas ou usando um recurso dos leitores, as companhias de leitores de PDF e o desenvolvedores de Malware est\u00e3o em uma ca\u00e7ada intermin\u00e1vel.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Scripts_adicionais_com_base_nas_ameacas\"><\/span>Scripts adicionais com base nas amea\u00e7as<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A aplica\u00e7\u00e3o HTML (HTA) \u00e9 um arquivo do Microsoft Windows feito para ser executado no Internet Explorer, que combina o c\u00f3digo HTML com scripts suportados pelo Internet Explorer como o VBScript ou o JScript. Os arquivos HTA executam atrav\u00e9s do motor Microsoft HTA (mshta.exe) que tem os privil\u00e9gios do usu\u00e1rio local ao inv\u00e9s dos privil\u00e9gios restritos do Internet Explorer, com acesso ao sistema de arquivos e ao registro.<\/p>\n<p>Arquivos HTA maliciosos permitem os scripts serem executados na m\u00e1quina com privil\u00e9gios de usu\u00e1rio local para fazerem o download e abrir execut\u00e1veis ou outros scripts. Apesar de ser considerado um vetor de ataque antigo, diversos ataques baseados em script continuam a usar arquivos HTA. Esses arquivos podem ser enviados como anexos, ou serem baixados de outro script ou serem redirecionados de sites maliciosos.<\/p>\n<p>O VBScript (Microsoft Visual Basic Scripting Edition) \u00e9 uma linguagem de Microsoft Scripting baseada no VBA (Visual Basic para aplica\u00e7\u00f5es). Ao inv\u00e9s de um desenvolvedor de aplica\u00e7\u00e3o completo que o VBA oferece, o VBS oferece um uso mais direto, almejando a automatiza\u00e7\u00e3o de sistemas para administradores. Parecido com o PowerShell, que normalmente \u00e9 utilizado para usos similares, o VBScript \u00e9 normalmente visto em ataques baseados em script. O suporte da Microsoft a codifica\u00e7\u00e3o de script na forma de arquivo VBE \u00e9 outra raz\u00e3o dos atacantes acharem o VBScript uteis.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Entao_eu_devo_permitir_a_execucao_de_Scripts_na_rede_da_minha_organizacao\"><\/span>Ent\u00e3o, eu devo permitir a execu\u00e7\u00e3o de Scripts na rede da minha organiza\u00e7\u00e3o?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Em ataques baseados em script e em ataques sem arquivos, a l\u00f3gica maliciosa dos ataques ocorre na mem\u00f3ria, tornando a detec\u00e7\u00e3o de amea\u00e7a com a an\u00e1lise de arquivos est\u00e1ticos tradicionais insuficiente. Com ataques baseados em scripts na crescente, do PowerShell em particular, torna necess\u00e1rio que as organiza\u00e7\u00f5es estejam preparada para combater um ataque em que toda a sua sequ\u00eancia ocorra na mem\u00f3ria.<\/p>\n<p>Um dos primeiros passos que a organiza\u00e7\u00e3o deve considerar \u00e9 a segmenta\u00e7\u00e3o dos empregados em alguns grupos.<\/p>\n<ol>\n<li>Os que executam scripts como parte do seu trabalho di\u00e1rio<\/li>\n<li>Quem executa scripts raramente<\/li>\n<li>N\u00e3o executam scripts de forma alguma<\/li>\n<\/ol>\n<p>Uma vez segmentado, as equipes de seguran\u00e7a devem garantir que os scripts s\u00f3 possam ser executados de locais onde apenas a leitura \u00e9 permitida e acessadas em m\u00e1quinas especificas. Adicionalmente, as equipes de seguran\u00e7a devem restringir e monitorar o uso interativo do PowerShell atrav\u00e9s da organiza\u00e7\u00e3o. Adicionalmente, praticar boas maneiras de TI pode limitar a superf\u00edcie de ataque de uma organiza\u00e7\u00e3o e reduzir o risco associado a ataques baseados em script.<\/p>\n<p>Com todas essas regras implementadas, as organiza\u00e7\u00f5es devem procurar solu\u00e7\u00f5es de seguran\u00e7a especificas que detectem ataques baseados em script enquanto deixa seus usu\u00e1rios que precisam utilizar os scripts nas suas fun\u00e7\u00f5es no trabalho para que eles o fa\u00e7am sem interrup\u00e7\u00e3o. O <a href=\"https:\/\/aiqon.com.br\/blog\/por-que-o-antivirus-nao-e-suficiente-deep-learning-cybersecurity\/\">DeepInstinct<\/a> possui an\u00e1lise comportamental de script contextual que oferece a capacidade de preven\u00e7\u00e3o de amea\u00e7a de script que batem com os requerimentos. Ao contr\u00e1rio de outros m\u00e9todos de preven\u00e7\u00e3o que limitam o acesso do script apenas pela pol\u00edtica, a <a href=\"https:\/\/www.deepinstinct.com\/endpoint-protection\/\">analise comportamental de script contextual<\/a> do Deep Instinct analisa o conte\u00fado do script para identificar amea\u00e7as. Com capacidade embutida de identificar comandos e conte\u00fado de PowerShell maliciosos assim como identificar quando um script executa um processo filho em uma lista de processos pais fechados (como o MS Word, Outlook, etc.) o m\u00e9todo hibrido do DeepInstinct de prevenir amea\u00e7as baseadas em script entrega o que voc\u00ea precisa para manter uma postura de seguran\u00e7a resiliente.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os atacantes sempre buscam formas de evitar a detec\u00e7\u00e3o. Visto que a maioria dos produtos de seguran\u00e7a de endpoint lida bem com ataques baseados em arquivos, os scripts s\u00e3o uma \u00f3tima maneira para os atacantes evitarem mudan\u00e7as no disco, logo evitando as capacidades de detec\u00e7\u00e3o de amea\u00e7a da maioria dos produtos. No panorama de amea\u00e7as [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1248,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[118,32],"tags":[122,121],"class_list":["post-1241","post","type-post","status-publish","format-standard","has-post-thumbnail","category-deep-learning-cybersecurity","category-powershell","tag-endpoint-protection","tag-scripts","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/08\/ataques-script.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1241","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1241"}],"version-history":[{"count":4,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1241\/revisions"}],"predecessor-version":[{"id":1263,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1241\/revisions\/1263"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/1248"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1241"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1241"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1241"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}