Jump to content
    • Tempest Security Intelligence
      Dentre os movimentos de adoção acelerada de tecnologia observados nos últimos anos se destaca a migração para a nuvem. 
      Empresas buscaram a migração de estruturas de dados e aplicativos de ambientes on premises para ambientes cloud com diferentes objetivos, dentre os quais estão desde a necessidade de tornar processos mais eficientes até a própria manutenção do negócio. 
      No cenário atual, é possível afirmar que a nuvem está entre as principais tecnologias que possibilitam a inovação corporativa, o que justifica o aumento nos investimentos na contratação de serviços e fornecedores ligados a essa tecnologia.
      Ao mesmo tempo, no entanto, esse movimento colaborou para ampliar drasticamente o ambiente corporativo para além das fronteiras da empresa, aumentando a possibilidade de existirem brechas de segurança.
      Segundo o documento Top Security and Risk Management Trends for 2022, do Gartner, migrar para a nuvem faz parte de uma série de movimentos que desafiaram os CISOs a “proteger empresas progressivamente distribuídas”, ao mesmo tempo em que passaram a lidar com a falta de mão de obra qualificada para lidar com os desafios de segurança trazidos por esse movimento. 
      Ou seja, ambientes em nuvem representam - ao mesmo tempo - uma ferramenta de suma importância para os negócios, e um dos principais desafios dos CISOs e dos times de segurança nos últimos anos. 
      Esta realidade inspirou a publicação do novo ebook da Tempest “Segurança na nuvem: desafios, práticas recomendadas e soluções para proteção de ambientes cloud”, que já está disponível:
      Clique aqui e faça o download
      Neste ebook abordamos:
      O processo de migração para a nuvem e a evolução da maturidade nestes ambientes durante e após a pandemia: dois anos após o início da pandemia foi possível observar um movimento gradual de investimentos em práticas de segurança que indicam maturidade nos ambientes cloud corporativos.
      As principais ameaças aos dados e à computação em nuvem: quase a metade dos vazamentos de 2022 tiveram suas origem em ambientes cloud. 
      Algumas das melhores práticas: No material, apresentamos as melhores práticas recomendadas para operações seguras na nuvem. 
      Serviços que podem ajudar na proteção do seu ambiente cloud: proteger sua nuvem pode se tornar mais fácil ao contar com produtos e serviços de segurança voltados especialmente para este ambiente.
       

    • A BHack Conference 2022 vai deixar saudade. Voltando ao presencial depois da pandemia, a décima primeira edição da conferência foi a maior realizada até então, com mais de 500 inscritos.
      O que começou com um propósito de trazer para a capital mineira um pouco mais de conhecimento e troca de experiências sobre segurança da informação, se consolidou como um espaço relevante no circuito de segurança. “Para gente é sucesso. E o que a gente quer é crescer cada vez mais e proporcionar uma experiência bacana para o público”, assinala Everson Guimarães, fundador do evento.
      Além do conteúdo relevante, do clima de curtição e muita conversa interessante nesses dois dias, o evento também contou com um CTF promovido pela equipe do FireShell Security Team.  A competição contou com 25 desafios e uma premiação de R$ 3 mil para a equipe vencedora, R$ 2 mil para a segunda colocada, e R$ 1 mil para o terceiro lugar. 42 competidores, divididos em 16 times, competiram por esses prêmios. 
      Os vencedores foram a equipe Cinquenta Tons de Vermelho, formada por uma galera muito massa. Segue o bate-papo que a gente teve com eles:

      De onde veio o nome? 
      Ninguém sabe e essa é a magia da coisa 😄
       
      Qual o perfil dos participantes?
      - Luca (regne), 21 anos, de BH, trabalha na área de cibersegurança há 3 anos, atualmente AppSec;
      - Daniel (celesian), 19 anos, de Campinas-SP, trabalha na área de ciber segurança há 3 anos, atualmente offsec/Red Team;
      - José (ricard0x), 18 anos, de Palmeira-PR, trabalha na área de ciber segurança há 1 ano, atualmente offsec;
      - Rafael (waid), 25 anos, de Ribeirão Preto-SP, trabalha na área de cibers egurança há 3 anos, atualmente offsec;
       
      Vocês participam sempre desse tipo de campeonato? Se sim, quais? E já ganharam?
      regne: Embora tenha começado na área com o CTF, não venho jogando muito ultimamente, pretendo jogar mais principalmente com a volta dos eventos presenciais. Já peguei posições relevantes, mas esse foi o primeiro em que participei de um time vitorioso.
      celesian: Tento participar sempre, já joguei muitos CTFs virtuais, porém o CTF da BHack 2022 foi o primeiro presencial que participei.
      ricard0x: Sim, já participei de alguns campeonatos de CTF, porém, esse foi o primeiro presencial. Nunca ganhei um campeonato "grande".
      waid: Participo sempre que possível. O aprendizado, a emoção e a experiência valem muito a pena. Assim como o pessoal do time, já participei virtualmente de diversos CTFs nacionais e internacionais nos últimos anos, principalmente no estilo jeopardy.
       
      O que curtem nesse tipo de competição?
      regne: Acho que o melhor é se sentir desafiado e ter que pensar fora da caixa e aprender coisas novas para resolver o challenge. Além da adrenalina de pegar a flag, é uma sensação muito boa quando dá certo.
      celesian: A energia durante os campeonatos de CTF é incrível, são vários momentos de felicidade que acontecem depois de horas de sofrimento. É uma atividade muito recompensadora com certeza.
      ricard0x: O desafio e a emoção de competir no geral já me atrai muito, se desafiar e ter a pressão de resolver mais rápido do que os outros competidores é muito legal. Além disso, em campeonatos presenciais, existe uma interação muito maior entre seu time e outros competidores, essa experiência agrega muito.
      waid: A própria natureza da competição, de exigir foco total para a solução dos desafios reconstruindo a forma de pensar dos criadores. A emoção ao conseguir uma flag é nitidamente maior presencialmente, compartilhada com o time. Além disso, a ansiedade pelo resultado e as comuns viradas no placar nos últimos minutos eleva muito as comemorações como hoje
       
      O que foi mais desafiador nesse CTF?
      regne: Acho que lidar com pouco tempo para tantos challenges diferentes. Além do fato do nosso time ser inteiro focado em web e o campeonato ter diversos outros tipos como crypto, forense, reversing, entres outros desafios que nenhum de nós estava 100% confortável.
      celesian: Algumas challenges levaram bastante tempo para ser feitas, outras não conseguimos nem fazer hehe.
      ricard0x: Creio que a diversidade de desafios de diferentes categorias foi o mais desafiante, pois isso força o competidor a pesquisar e aprender várias coisas novas que podem estar fora da "zona de conforto".
      waid: A diversidade de desafios força muito a saída da zona de conforto. Mesmo os desafios “simples” desse CTF foram bem pensados e exigiram a concentração e reestruturação do pensamento diversas vezes
       
      E sobre o BHack? Vocês gostam do evento? Acompanham sempre?
      regne: Eu sou suspeito para falar, foi meu primeiro evento de segurança. Vou desde 2019 sendo que esse foi meu segundo presencial. Sou um grande fã da conferência.
      celesian: Já tive a oportunidade de conhecer a BHack em suas edições virtuais que aconteceram em 2020 e 2021. É um evento divertido e com certeza vou frequentar as outras vezes.
      ricard0x: Esse foi meu primeiro ano na BHack e curti bastante. Confesso que não acompanhava muito, pois quando teve o último evento presencial eu ainda não estava na área de segurança, mas valeu a experiência, além de ter a oportunidade de conhecer pessoalmente outros colegas da área.
      waid: Acompanho há pouco tempo, mas já fui bem influenciado pelo time e pela experiência do evento a voltar mais vezes; os conteúdos apresentados são ótimos e o clima amistoso e sempre acolhedor de MG dá um toque especial.
       
      Se houver algo mais que queiram compartilhar, e não perguntei, fiquem à vontade!
      regne: Gosto demais da Mente Binária e acompanho o projeto em diversos lugares: site, YouTube, GitHub, Twitter. Já aprendi muito com o conteúdo que a comunidade posta, além dos vídeos e palestras que o Mercês faz. É uma honra estar aqui tendo esse papo .🙂
      ricard0x: Queria primeiramente agradecer aos meus colegas do time, são todos MUITO bons e que aprendi muito com eles! E obviamente, agradecer à organização da BHack e também do pessoal FireShell Security, pela organização de um CTF sensacional!
      waid: Gostaria de agradecer muito à produção do evento e especialmente à FireShell pelo CTF, foi uma experiência muito boa e a troca de conhecimento. Valeu muito a viagem!
       
      Pelo visto a coisa bombou mesmo! Parabéns, BHack, FireShell, todos que competiram e aos ganhadores. Grande dia! 😎

    • Somente com persistência, Igor Souza conseguiu convencer a Microsoft de uma vulnerabilidade, e até conseguir uma CVE por parte deles. Mas isso exigiu trabalho e insistência, pois, num primeiro momento, a fabricante não reconhecia a vulnerabilidade.
      Tudo começou ao analisar o tráfego dos cards no Microsoft Teams. Igor percebeu que ao capturar uma requisição, era possível alterar os dados do card, e com isso colocar textso maliciosos e até mesmo links ali dentro. “Eu reportei a eles, mas eles falaram que como era um card adaptativo, aquilo não era vulnerabilidade. Eu dei uma pesquisada, e na própria documentação da Microsoft falava que possivelmente alguns bots poderiam vir com conteúdo malicioso, só que todos os bots estavam vulneráveis”, relata. 
      Igor continuou testando a vulnerabilidade, e notou que conseguia alterar todos os cards bots. E com o tempo notou que não precisava só usar o HTTP ou HTTPS. “Eu conseguia usar outras URI, tipo talk:qq, aquele mesmo da Microsoft que dá o blackscreen, e quando eu enviava para uma pessoa, já executava direto, sem pedir permissão”.

      Ao reportar novamente, a Microsoft aceitou como vulnerabilidade dessa vez, por ele conseguir executar códigos em outras máquinas. A partir desse aceite, o próximo passo foi testar em outros sistemas operacionais, como o macOS e Linux, onde testou no ambiente gráfico XFCE.
      “Só no XFCE quando eu clicava com URI com FTP, além de eu conseguir conectar no FTP, parecia que eu estava executando um ícone normal, com interface gráfica, no XFCE. Aí eu coloquei um ponto desktop no meu servidor FTP e cliquei lá, e enviei. Se eu não tivesse conectado no meu FTP, no meu primeiro clique eu ia conectar direto, e já no segundo clique ele ia executar o .desktop sem perguntar”, relatou. 
      Com essa detecção, houve um novo report, em que eles verificaram que estava faltando uma checagem para não executar .desktop via FTP, só localmente, o que rendeu uma CVE.
      A exploração não parou por aí! Nos highligths em @mentebinaria_, Igor conta sobre a experiência com outras vulnerabilidades! l33t!
       

         
       
       

    • No segundo dia da BHack também teve uma palestra bem divertida da Cybelle Oliveira, diretora da Casa Hacker, ativista e pesquisadora de ciber segurança, sobre um compilado dos malwares da América Latina, sob a ótica da Cyber Threat Intelligence (CTI). “Eu não analiso tecnicamente, mas faço uma leitura geral do que acontece, para poder gerar um relatório entendível e acionável para o C-Level das empresas”, brinca, ao explicar seu trabalho.
      Sua análise passou pela evolução histórica do ciber crime por aqui, desde o início dos anos 90, e como eles se caracterizam, sobretudo nos ataques a ambientes bancários.

      “O ciber crime cresceu a partir do ataque a bancos. Se antes os roubos a bancos eram físicos e cheios de risco, o ataque virtual passou a ser uma alternativa”, disse.
      Sobre as características dos malwares produzidos na América Latina, ela enfatiza que não se trata de malwares geniais, no sentido técnico, mas são, no geral, muito criativos e resilientes. “Graças a isso, nós, da área de segurança, temos trabalho pra sempre”, ironiza Cybelle.
      Outras características do malwares focados em ataques bancários, os trojans (nome curto para Trojan horse, ou cavalo de Tróia) bancários, no geral são muito parecidos: são voltados para desktops, escritos em Delphi, geralmente abusam de engenharia social, têm características de backdoor, e detectam continuamente janelas ativas no computador até identificar uma relacionada a sua instituição bancária de interesse. E eles têm múltiplas variantes, com pequenas modificações entre elas, geralmente disseminadas em caráter de teste antes da infecção em massa.
      Cybelle destacou também que muitos malwares latino-americanos compartilham código com strings encriptadas, mecanismos simples de persistência através do Registro do Windows; evasão de defesas com LOLBins e acesso de credenciais, com captura de dados dos usuários, sobretudo dos salvos no navegador. A cadeia de infecção geralmente se dá por meio de phishing, com algumas famílias chegando a "spammar" um milhão de e-mails por dia.
      De acordo com um levantamento feito pela Kaspersky, 60% dos trojans da América Latina são provenientes do Brasil. “Estamos bem colocados!”, brinca. 🫣
      Muito legal assistir tantas informações condensadas pela Cybelle! Por mais palestras com mulheres assim! 💚
         
       

    • Como utilizar o MISP para mapear as ameaças por meio de engenharia de detecção foi o tema da palestra do consultor em SOC e MSS, Bruno Guerreiro. 
      Quando se fala em detecção de ameaças, Bruno não falou daquelas detectadas pelos sistemas preparados para isso, como antivírus. Ele fez uma análise mais profunda daquelas etapas que se utilizam da infraestrutura para provocar ataques maliciosos. “O ataque de ransomware passou por várias etapas, uma exploração, uma movimentação lateral, comando controle, para depois gerar o ataque malicioso, que é a ponta do ataque, mas tudo o que vem antes são oportunidades de detecção”, explica Guerreiro.

      O consultor aponta que há milhões de possibilidades, de detecção de ameaças, mas que seguir a lógica de desenvolvimento de software pode ajudar. O diagrama de caso de uso é um caminho ajuda a definir o cenário, qual o resultado esperado, como se navega no sistema e como testar e validar. 
      “Para efetivamente detectar, o que preciso fazer? O ambiente precisa fornecer log, que é um desafio. Nem sempre o que preciso é logado. Preciso capturar e trazer para minha estrutura, como faço e quais processos de rede preciso para gerar o log, e quando gerar, preciso receber, parsear, identificar os campos, e ver o que vou usar, e aí preciso testar a minha regra, e ver se ela trigga dentro do sistema. Além disso, ela precisa aparecer no painel de operação, e a operação precisa saber o que fazer com isso. Tudo isso que acontece antes do alerta chegar é engenharia de detecção”, detalha o consultor.
      A definição do cenário também é um ponto chave na hora de aplicar essa análise. O cenário de ameaça é o que está compreendido entre a existência de uma ameaça e a possibilidade de ela gerar um evento, incidindo sobre a sua estrutura. “Se existe a ameaça, ela é a ameaça, mas se incide sobre mim, é um evento. Se tenho uma vulnerabilidade, ela pode me explorar essa condição prévia de falha, que posso corrigir por meio de controles de segurança, afim de evitar o impacto”, orienta. 
      Bruno citou o relatório da Red Corner, em que  eles processaram 1 petabyte de dados por dia, que e gerou 14 milhões de alertas de investigações, dos quais 33 mil revelaram-se ameaças confirmadas. “Por isso é importante saber o que se quer encontrar e mapear essas ameaças, senão você se perde, é atropelado por esse volume e não detecta nada”, explica. 
      Compreendido o processo de caso de uso para estruturar a detecção de engenharia de ameaças, Bruno mostrou como a utilização do MISP pode ajudar na organização de uma biblioteca de ameaças, por meio de tags. Com a ferramenta, se regista o contexto, os requisitos, os códigos, e as estruturas ameaçadas, o que traz mais insumos e informações para a equipe de operação. “Isso também pode facilitar o retrohunt e o autohunt, em que cada atualização pode ser analisada a partir das informações organizadas”, finaliza. Grande aula! 🎓

    • Falar sobre a relevância de detectar o que ele chamou de pivôs de ataque (computadores intermediários na comunicação atacante-vítima) foi o tema da palestra de Rafael Salema, malware coder e especialista em inteligência cibernética.
      “Geralmente as pessoas não detectam, usa blue, mas não detecta pivô. Geralmente a primeira a máquina de ataque não é o seu alvo, a relevância disso é aumentar o sarrafo da detecção”, afirma.
      Para entender a relevância da detecção do pivô é importante compreender o crescimento de ataques por parte de grupos de Advanced Persistent Threats (APT), que são uma ameaça persistente. “Geralmente são grupos que têm patrocínio, e eles têm tempo, e aumentam a complexidade do ataque de acordo com a dificuldade de acesso que têm, e o pivô é um dos caminhos de acesso”, explica Salema.
      A decisão pela pesquisa por pivoting veio da falta de pesquisas recentes sobre o tema e sem uma solução eficiente. Para estudar os pivots, foi usado a análise biflow, flow-based, que capta pacotes em diferentes pontos de rede, e detecta cabeçalhos do pacote.
      Ninguém pesquisa sobre pivô. As técnicas mapeadas são muito incipientes e não tem uma solução eficiente.

      Existem técnicas análise de tráfego e inspeção de pacotes que buscam por payloads maliciosos, mas estas são diferentes de técnicas flow-based, que captam pacotes em diferentes pontos da rede, e detectam os cabeçalhos do pacote. ”Qual o gol dessa abordagem? Não preciso fazer a inspeção do pacote para detectar uma ameaça. O Deep Packet Inspection (DPI) precisa interferir na privacidade. E tem gente que anonimiza o pacote e analisa fora, e isso precisa de regra, mas você depende de conhecimento prévio. Na nossa análise não precisa, a gente faz uma análise sem olhar o pacote”, explica Salema.
      Ele explica que o pivô age da seguinte forma: por exemplo, o atacante envia um phishing para secretária, e ela clica num link. O atacante entra via internet, mas não tem acesso ao servidor de arquivos, mas a secretária tem, e aí ele cria um pivô para acessar isso. A secretaria tem acesso ao servidor de arquivos, mas o atacante não, e aí se cria um pivô para intermediar esse acesso.
      Quando se encaminha um pacote de uma máquina pra outra, existe um padrão no pivô clássico, que geralmente são classificados por proxy ou VPN, mas nessa pesquisa, eles resolveram criar um novo padrão. “Quando fala de red team, precisa ter métrica. Um read team de APT vai ser sistemático, e ele vai fazer o que precisa”, assinala. Dessa forma, eles pensaram em fazer uma detecção escalada e mais leve para ter detecção em tempo real. 
      “A gente faz a detecção local, descentralizada, e aí centralizou a análise, e aí a gente identificou pivôs de 2 a 3 saltos. Tinha que ser agnóstico quanto à criptografia ou protocolos e ter classificação automática”, pontuou o especialista. 
      Outro critério utilizado foi o uso de estatística, por não requerer uma base de dados prévia para treinar algoritmos e assim ter um algoritmo genérico. A limitação da abordagem é que o tráfego de chegada e saída não deve precisar de algoritmos. “Se o atacante consegue subverter o agente, acabou a guerra”.
      Salema ainda compartilhou a arquitetura, os filtros utilizados e as análises feitas. As taxas de identificação chegaram a 95% de ameaças confirmadas.
      Para saber mais, vale conversar com ele. Nas redes é possível encontrá-lo pelos handles de @SWanK no Telegram, @pegaBizu no Twitter ou SWaNk#2096 no Discord. Baita pesquisa, Salema! 👏
       

    • Computação Forense foi o tema da palestra do professor e pesquisador da área, Rodrigo Albernaz durante a décima primeira edição do BHack, que aconteceu neste final de semana em Belo Horizonte (MG). 
      Forense Digital é uma área que envolve a ciência da computação como um todo. “Não se tem descanso nenhum dia, a cada atualização, novos artefatos gerados e precisa entender tudo de novo para ter algum insight do que está sendo analisado”, sinaliza.
      Ela é voltada para aplicação de métodos e técnicas científicas com o fim de se obter, preservar e documentar evidências digitais, extraídas a partir de dispositivos eletrônicos digitais.  
      A nuance do trabalho de um perito é tentar entender o que está por trás, os bastidores do mundo digital. A rotina costumeira de um perito, consiste, em por exemplo, receber um disco de informação e fazer um trabalho de duplicação pericial, visando preservar a informação, para extrair a informação integralmente. “Ela é bem diferente das duplicações feitas por programas voltados pra isso, que geralmente ignoram a parte não usada do disco, mas ali para a perícia é importante, pois é onde pode ter informações apagadas”, explica Albernaz. 
      Depois da duplicação vem etapas mais delicadas, que demanda muita expertise, que é a extração e a análise de dados. “Aqui é importante o fato de estar atualizado, sempre. Por exemplo, o Windows agora traz uma timeline, o que ajuda a vida do perito”. Por fim, a etapa final é entregar o relatório sobre o achado, e mesmo que seja uma análise digital, ainda a maior parte dos processos judiciais exige que seja impresso.

      Dentre os segmentos, existe a tradicional, a computacional, que tem bastante foco em discos. A forense live analisa artefatos em memória, como ransomware e outros malwares; forense em rede, focada em tráfego de dados; forense em banco de dados, e a mobile, uma das áreas que junto com a live está em pleno vapor.
      Dentro da computação forense, há equipamentos e ferramentas específicas para ajudar na compactação de arquivos, e análises. As principais ferramentas com que se lida na computação forense trabalham no nível lógico.
      Albernaz ainda citou alguns exemplos de casos para dar insights no tratamento. No caso de um pai que pediu para recuperar as fotos de um celular do filho adolescente que tinha morrido. O celular era um Android e tinha uma senha complexa. Para acessar o celular bloqueado, Rodrigo aproveitou que o celular se apresentava como um modem ao conectá-lo num computador e enviou um comando via modem para o Broadband Processor (BP) que ele descobriu ao listar as strings presentes no firmware do aparelho (baixado da internet). Sucesso!
      Outro caso foi busca por similaridade em arquivos. Hoje, a maioria das buscas são feitas por hash, mas isso não é muito eficiente. Pequenas mudanças são imperceptíveis neste tipo de busca. Uma das formas de lidar com essa dificuldade, é fazer hashes parciais, conceito de janelamento de hash. Para arquivos não compactados, ainda melhor que o janelamento é o fuzzy hash. No entanto, para arquivos comprimidos, nada disso funciona.
      “Hoje essas dificuldades estão sendo atacadas e resolvidas com machine learning, mas ainda é muito incipiente”, destaca Albernaz. "No caso de arquivos comprimidos, há outras técnicas, como a Normalized Compression Distance (NCD)", completa.
      Sua paixão por sistema de arquivos o levou a resolver um terceiro caso, onde ferramentas de carving não se mostraram muito eficientes.
      Rodrigo explicou que carving normalmente depende dos números mágicos, e de algum jeito pra encontrar o fim do arquivo, mas se o cabeçalho estiver corrompido ou tiver sido substituído por outros bytes, carving não ajuda muito. Aí que entra filesystem recovery.
      Ele fez ainda uma demo ao vivo de uma forense a partir de uma imagem de disco, mostrando como listar os blocos (ext4) que um arquivo excluído ocupa.
      Para acompanhar mais sobre o tema, ou quiser conhecer melhor essas técnicas, vale acompanhar o trabalho do Rodrigo nas redes. ☺️

×
×
  • Create New...