Jump to content
    • Ana Martins
      Somente com persistência, Igor Souza conseguiu convencer a Microsoft de uma vulnerabilidade, e até conseguir uma CVE por parte deles. Mas isso exigiu trabalho e insistência, pois, num primeiro momento, a fabricante não reconhecia a vulnerabilidade.
      Tudo começou ao analisar o tráfego dos cards no Microsoft Teams. Igor percebeu que ao capturar uma requisição, era possível alterar os dados do card, e com isso colocar textso maliciosos e até mesmo links ali dentro. “Eu reportei a eles, mas eles falaram que como era um card adaptativo, aquilo não era vulnerabilidade. Eu dei uma pesquisada, e na própria documentação da Microsoft falava que possivelmente alguns bots poderiam vir com conteúdo malicioso, só que todos os bots estavam vulneráveis”, relata. 
      Igor continuou testando a vulnerabilidade, e notou que conseguia alterar todos os cards bots. E com o tempo notou que não precisava só usar o HTTP ou HTTPS. “Eu conseguia usar outras URI, tipo talk:qq, aquele mesmo da Microsoft que dá o blackscreen, e quando eu enviava para uma pessoa, já executava direto, sem pedir permissão”.

      Ao reportar novamente, a Microsoft aceitou como vulnerabilidade dessa vez, por ele conseguir executar códigos em outras máquinas. A partir desse aceite, o próximo passo foi testar em outros sistemas operacionais, como o macOS e Linux, onde testou no ambiente gráfico XFCE.
      “Só no XFCE quando eu clicava com URI com FTP, além de eu conseguir conectar no FTP, parecia que eu estava executando um ícone normal, com interface gráfica, no XFCE. Aí eu coloquei um ponto desktop no meu servidor FTP e cliquei lá, e enviei. Se eu não tivesse conectado no meu FTP, no meu primeiro clique eu ia conectar direto, e já no segundo clique ele ia executar o .desktop sem perguntar”, relatou. 
      Com essa detecção, houve um novo report, em que eles verificaram que estava faltando uma checagem para não executar .desktop via FTP, só localmente, o que rendeu uma CVE.
      A exploração não parou por aí! Nos highligths em @mentebinaria_, Igor conta sobre a experiência com outras vulnerabilidades! l33t!
       

         
       
       

    • No segundo dia da BHack também teve uma palestra bem divertida da Cybelle Oliveira, diretora da Casa Hacker, ativista e pesquisadora de ciber segurança, sobre um compilado dos malwares da América Latina, sob a ótica da Cyber Threat Intelligence (CTI). “Eu não analiso tecnicamente, mas faço uma leitura geral do que acontece, para poder gerar um relatório entendível e acionável para o C-Level das empresas”, brinca, ao explicar seu trabalho.
      Sua análise passou pela evolução histórica do ciber crime por aqui, desde o início dos anos 90, e como eles se caracterizam, sobretudo nos ataques a ambientes bancários.

      “O ciber crime cresceu a partir do ataque a bancos. Se antes os roubos a bancos eram físicos e cheios de risco, o ataque virtual passou a ser uma alternativa”, disse.
      Sobre as características dos malwares produzidos na América Latina, ela enfatiza que não se trata de malwares geniais, no sentido técnico, mas são, no geral, muito criativos e resilientes. “Graças a isso, nós, da área de segurança, temos trabalho pra sempre”, ironiza Cybelle.
      Outras características do malwares focados em ataques bancários, os trojans (nome curto para Trojan horse, ou cavalo de Tróia) bancários, no geral são muito parecidos: são voltados para desktops, escritos em Delphi, geralmente abusam de engenharia social, têm características de backdoor, e detectam continuamente janelas ativas no computador até identificar uma relacionada a sua instituição bancária de interesse. E eles têm múltiplas variantes, com pequenas modificações entre elas, geralmente disseminadas em caráter de teste antes da infecção em massa.
      Cybelle destacou também que muitos malwares latino-americanos compartilham código com strings encriptadas, mecanismos simples de persistência através do Registro do Windows; evasão de defesas com LOLBins e acesso de credenciais, com captura de dados dos usuários, sobretudo dos salvos no navegador. A cadeia de infecção geralmente se dá por meio de phishing, com algumas famílias chegando a "spammar" um milhão de e-mails por dia.
      De acordo com um levantamento feito pela Kaspersky, 60% dos trojans da América Latina são provenientes do Brasil. “Estamos bem colocados!”, brinca. 🫣
      Muito legal assistir tantas informações condensadas pela Cybelle! Por mais palestras com mulheres assim! 💚
         
       

    • Como utilizar o MISP para mapear as ameaças por meio de engenharia de detecção foi o tema da palestra do consultor em SOC e MSS, Bruno Guerreiro. 
      Quando se fala em detecção de ameaças, Bruno não falou daquelas detectadas pelos sistemas preparados para isso, como antivírus. Ele fez uma análise mais profunda daquelas etapas que se utilizam da infraestrutura para provocar ataques maliciosos. “O ataque de ransomware passou por várias etapas, uma exploração, uma movimentação lateral, comando controle, para depois gerar o ataque malicioso, que é a ponta do ataque, mas tudo o que vem antes são oportunidades de detecção”, explica Guerreiro.

      O consultor aponta que há milhões de possibilidades, de detecção de ameaças, mas que seguir a lógica de desenvolvimento de software pode ajudar. O diagrama de caso de uso é um caminho ajuda a definir o cenário, qual o resultado esperado, como se navega no sistema e como testar e validar. 
      “Para efetivamente detectar, o que preciso fazer? O ambiente precisa fornecer log, que é um desafio. Nem sempre o que preciso é logado. Preciso capturar e trazer para minha estrutura, como faço e quais processos de rede preciso para gerar o log, e quando gerar, preciso receber, parsear, identificar os campos, e ver o que vou usar, e aí preciso testar a minha regra, e ver se ela trigga dentro do sistema. Além disso, ela precisa aparecer no painel de operação, e a operação precisa saber o que fazer com isso. Tudo isso que acontece antes do alerta chegar é engenharia de detecção”, detalha o consultor.
      A definição do cenário também é um ponto chave na hora de aplicar essa análise. O cenário de ameaça é o que está compreendido entre a existência de uma ameaça e a possibilidade de ela gerar um evento, incidindo sobre a sua estrutura. “Se existe a ameaça, ela é a ameaça, mas se incide sobre mim, é um evento. Se tenho uma vulnerabilidade, ela pode me explorar essa condição prévia de falha, que posso corrigir por meio de controles de segurança, afim de evitar o impacto”, orienta. 
      Bruno citou o relatório da Red Corner, em que  eles processaram 1 petabyte de dados por dia, que e gerou 14 milhões de alertas de investigações, dos quais 33 mil revelaram-se ameaças confirmadas. “Por isso é importante saber o que se quer encontrar e mapear essas ameaças, senão você se perde, é atropelado por esse volume e não detecta nada”, explica. 
      Compreendido o processo de caso de uso para estruturar a detecção de engenharia de ameaças, Bruno mostrou como a utilização do MISP pode ajudar na organização de uma biblioteca de ameaças, por meio de tags. Com a ferramenta, se regista o contexto, os requisitos, os códigos, e as estruturas ameaçadas, o que traz mais insumos e informações para a equipe de operação. “Isso também pode facilitar o retrohunt e o autohunt, em que cada atualização pode ser analisada a partir das informações organizadas”, finaliza. Grande aula! 🎓

    • Falar sobre a relevância de detectar o que ele chamou de pivôs de ataque (computadores intermediários na comunicação atacante-vítima) foi o tema da palestra de Rafael Salema, malware coder e especialista em inteligência cibernética.
      “Geralmente as pessoas não detectam, usa blue, mas não detecta pivô. Geralmente a primeira a máquina de ataque não é o seu alvo, a relevância disso é aumentar o sarrafo da detecção”, afirma.
      Para entender a relevância da detecção do pivô é importante compreender o crescimento de ataques por parte de grupos de Advanced Persistent Threats (APT), que são uma ameaça persistente. “Geralmente são grupos que têm patrocínio, e eles têm tempo, e aumentam a complexidade do ataque de acordo com a dificuldade de acesso que têm, e o pivô é um dos caminhos de acesso”, explica Salema.
      A decisão pela pesquisa por pivoting veio da falta de pesquisas recentes sobre o tema e sem uma solução eficiente. Para estudar os pivots, foi usado a análise biflow, flow-based, que capta pacotes em diferentes pontos de rede, e detecta cabeçalhos do pacote.
      Ninguém pesquisa sobre pivô. As técnicas mapeadas são muito incipientes e não tem uma solução eficiente.

      Existem técnicas análise de tráfego e inspeção de pacotes que buscam por payloads maliciosos, mas estas são diferentes de técnicas flow-based, que captam pacotes em diferentes pontos da rede, e detectam os cabeçalhos do pacote. ”Qual o gol dessa abordagem? Não preciso fazer a inspeção do pacote para detectar uma ameaça. O Deep Packet Inspection (DPI) precisa interferir na privacidade. E tem gente que anonimiza o pacote e analisa fora, e isso precisa de regra, mas você depende de conhecimento prévio. Na nossa análise não precisa, a gente faz uma análise sem olhar o pacote”, explica Salema.
      Ele explica que o pivô age da seguinte forma: por exemplo, o atacante envia um phishing para secretária, e ela clica num link. O atacante entra via internet, mas não tem acesso ao servidor de arquivos, mas a secretária tem, e aí ele cria um pivô para acessar isso. A secretaria tem acesso ao servidor de arquivos, mas o atacante não, e aí se cria um pivô para intermediar esse acesso.
      Quando se encaminha um pacote de uma máquina pra outra, existe um padrão no pivô clássico, que geralmente são classificados por proxy ou VPN, mas nessa pesquisa, eles resolveram criar um novo padrão. “Quando fala de red team, precisa ter métrica. Um read team de APT vai ser sistemático, e ele vai fazer o que precisa”, assinala. Dessa forma, eles pensaram em fazer uma detecção escalada e mais leve para ter detecção em tempo real. 
      “A gente faz a detecção local, descentralizada, e aí centralizou a análise, e aí a gente identificou pivôs de 2 a 3 saltos. Tinha que ser agnóstico quanto à criptografia ou protocolos e ter classificação automática”, pontuou o especialista. 
      Outro critério utilizado foi o uso de estatística, por não requerer uma base de dados prévia para treinar algoritmos e assim ter um algoritmo genérico. A limitação da abordagem é que o tráfego de chegada e saída não deve precisar de algoritmos. “Se o atacante consegue subverter o agente, acabou a guerra”.
      Salema ainda compartilhou a arquitetura, os filtros utilizados e as análises feitas. As taxas de identificação chegaram a 95% de ameaças confirmadas.
      Para saber mais, vale conversar com ele. Nas redes é possível encontrá-lo pelos handles de @SWanK no Telegram, @pegaBizu no Twitter ou SWaNk#2096 no Discord. Baita pesquisa, Salema! 👏
       

    • Computação Forense foi o tema da palestra do professor e pesquisador da área, Rodrigo Albernaz durante a décima primeira edição do BHack, que aconteceu neste final de semana em Belo Horizonte (MG). 
      Forense Digital é uma área que envolve a ciência da computação como um todo. “Não se tem descanso nenhum dia, a cada atualização, novos artefatos gerados e precisa entender tudo de novo para ter algum insight do que está sendo analisado”, sinaliza.
      Ela é voltada para aplicação de métodos e técnicas científicas com o fim de se obter, preservar e documentar evidências digitais, extraídas a partir de dispositivos eletrônicos digitais.  
      A nuance do trabalho de um perito é tentar entender o que está por trás, os bastidores do mundo digital. A rotina costumeira de um perito, consiste, em por exemplo, receber um disco de informação e fazer um trabalho de duplicação pericial, visando preservar a informação, para extrair a informação integralmente. “Ela é bem diferente das duplicações feitas por programas voltados pra isso, que geralmente ignoram a parte não usada do disco, mas ali para a perícia é importante, pois é onde pode ter informações apagadas”, explica Albernaz. 
      Depois da duplicação vem etapas mais delicadas, que demanda muita expertise, que é a extração e a análise de dados. “Aqui é importante o fato de estar atualizado, sempre. Por exemplo, o Windows agora traz uma timeline, o que ajuda a vida do perito”. Por fim, a etapa final é entregar o relatório sobre o achado, e mesmo que seja uma análise digital, ainda a maior parte dos processos judiciais exige que seja impresso.

      Dentre os segmentos, existe a tradicional, a computacional, que tem bastante foco em discos. A forense live analisa artefatos em memória, como ransomware e outros malwares; forense em rede, focada em tráfego de dados; forense em banco de dados, e a mobile, uma das áreas que junto com a live está em pleno vapor.
      Dentro da computação forense, há equipamentos e ferramentas específicas para ajudar na compactação de arquivos, e análises. As principais ferramentas com que se lida na computação forense trabalham no nível lógico.
      Albernaz ainda citou alguns exemplos de casos para dar insights no tratamento. No caso de um pai que pediu para recuperar as fotos de um celular do filho adolescente que tinha morrido. O celular era um Android e tinha uma senha complexa. Para acessar o celular bloqueado, Rodrigo aproveitou que o celular se apresentava como um modem ao conectá-lo num computador e enviou um comando via modem para o Broadband Processor (BP) que ele descobriu ao listar as strings presentes no firmware do aparelho (baixado da internet). Sucesso!
      Outro caso foi busca por similaridade em arquivos. Hoje, a maioria das buscas são feitas por hash, mas isso não é muito eficiente. Pequenas mudanças são imperceptíveis neste tipo de busca. Uma das formas de lidar com essa dificuldade, é fazer hashes parciais, conceito de janelamento de hash. Para arquivos não compactados, ainda melhor que o janelamento é o fuzzy hash. No entanto, para arquivos comprimidos, nada disso funciona.
      “Hoje essas dificuldades estão sendo atacadas e resolvidas com machine learning, mas ainda é muito incipiente”, destaca Albernaz. "No caso de arquivos comprimidos, há outras técnicas, como a Normalized Compression Distance (NCD)", completa.
      Sua paixão por sistema de arquivos o levou a resolver um terceiro caso, onde ferramentas de carving não se mostraram muito eficientes.
      Rodrigo explicou que carving normalmente depende dos números mágicos, e de algum jeito pra encontrar o fim do arquivo, mas se o cabeçalho estiver corrompido ou tiver sido substituído por outros bytes, carving não ajuda muito. Aí que entra filesystem recovery.
      Ele fez ainda uma demo ao vivo de uma forense a partir de uma imagem de disco, mostrando como listar os blocos (ext4) que um arquivo excluído ocupa.
      Para acompanhar mais sobre o tema, ou quiser conhecer melhor essas técnicas, vale acompanhar o trabalho do Rodrigo nas redes. ☺️

    • A partir da exploração das misconfiguration da AD, uma emissora de certificados, usando o ADSC, Fabricio Gimenes, especialista em cibersegurança, explicou como ataques são possíveis a partir da criação de um domain controller. 
      É um estudo complexo, que envolve muitas ferramentas e a exploração de oito vulnerabilidades, mas ele apresentou apenas as quatro principais e resumiu para gente aqui o que elas são e o impacto que elas trazem. 
      Com a exploração dessas misconfiguration é possível conseguir elevação de privilégio para assim criar domínios de controle nos computadores. As vulnerabilidades são duas misconfiguration da ADS e uma CVE reconhecida pela Microsoft, que a empresa reconhece como misconfiguration, mas deixa para o cliente decidir o que fazer com ela.
      No Instagram @mentebinaria_, Fabricio explicou pra gente como o ataque funciona:
      A primeira misconfiguration são dois passos basicamente: eu peço o certificado como usuário, que não sou eu mesmo, então nesse caso, domain admin, e depois eu solicito o ticket caps pra ele. Ou seja, com esse ticket eu consigo fazer um ataque pass the hash, por exemplo, me tornando um domain admin. 
      Você precisa de um usuário válido com privilégio comum. 
      A outro eu tenho um usuário comum, onde eu consigo criar uma máquina, um computador dentro da rede, e consigo tornar ela uma computador domain controller, fazendo a alteração do DNS dela pra domain controller, altero um DNS comum, fgt.computer, pra fgt. computer domain admin, e eu me torno um domain controller. Com isso eu solicito um certificado e também me torno domain controller com ele. 
      E a última é via NTLM, que é um ataque já conhecido, mas que para esse tipo de exploração não tem nenhum tipo de detecção. 
      A partir do momento em que eu me torno um domain admin, eu consigo me tornar um manager dessa CA, e aí é uma outra base de exploração. No meu ponto de vista é uma persistência de misconfiguration, porque para se tornar um manager você tem que ser domain admin.
      Legal né? Parabéns, Fabrício!  😎

    • Quando se fala em engenharia social, por mais que se pense e se invista em estratégias de defesa e em tecnologia para se proteger, existe um fator que pode fazer muita diferença nos resultados: o fator humano. 
      Para sobreviver aos ataques de engenharia social, é necessário hackear a própria mente. É o que a especialista em ciber segurança Liliane Scarpari, e o psicólogo Patrick Boundaruck, apresentaram na BHack, na palestra Mind Hacking: Social Engineer Techniques Unleashed.
      Para entender isso, é preciso antes, entender o funcionamento do cérebro. Existe uma parte em nosso cérebro, a amígdala, que controla nossas emoções, e, em situações de estresse, como uma ameaça, ou um risco iminente, libera cortisol e adrenalina, fazendo com que se reaja em favor da sobrevivência. 
      Compreender esse ponto-chave é importante, pois os ataques de engenharia social acontecem valendo-se do sequestro da amígdala. Sob o efeito de estresse, as pessoas acabam agindo de forma irracional, facilitando o acesso do algoz.

      Patrick e Lili na BHack 2022
      “O que acontece é que estamos em constante ataque de engenharia social, por todos os lados”, salienta Liliane. “Antigamente parecia que havia uma verdade e isso acalmava, mas hoje você pode ser atacado pelo viés político, econômico, social, e tudo vira uma ameaça'', completa Patrick. 
      Quando se fala em engenharia social, é fácil pensar em ataques de redes sociais, ou de WhatsApp, mas o ataque a uma empresa não é diferente, e a reação a isso tende a ser catastrófica. 
      Na palestra, Liliane fez um paralelo com a ação de um pedófilo. As fases de ação são parecidas. O ganho de confiança, a aproximação, o entendimento das vulnerabilidades, e aí vem a ameaça de fato, a partir da exploração dessa vulnerabilidade. 
      “Num momento de estresse, a resposta acaba sendo desfavorável. E as pessoas têm dificuldade de admitir que ficaram vulneráveis àquilo, o que gera ainda mais estresse”, explica Patrick. 
      Então, onde está a solução para lidar com isso? A resposta: respire. 
      “Liliane, você está dizendo que a gente investe milhões de dólares em sistemas e estratégias de defesa, mas para evitar o phishing eu preciso dizer pro meu funcionário respirar? Sim!”, brinca a especialista. 
      Ainda que pareça ingênuo, a recomendação tem fundamento biológico. “Quando você respira, você consegue reverter as sensações biológicas do medo, e com isso, pensar melhor, e tomar decisões mais racionais”, pontua Patrick. 
      O treinamento humano, o autoconhecimento será cada vez mais fundamental para lidarmos com o bombardeio de estímulos a nossas emoções. O ataque às nossas emoções é constante, e não se resume a uma situação de estresse, mas a qualquer estímulo ao nosso emocional para tomarmos decisão, sendo o algoritmo das redes sociais o mais conhecido. 
      “Hoje a engenharia social se vale do conhecimento do humano para o humano, mas qual será o futuro dessa engenharia a partir do uso da inteligência artificial e do machine learning?”, questiona Liliane. “Eu sou absolutamente contra a máxima que diz que o humano é o elo mais fraco na corrente da ciber segurança. Somos os mais fortes, pois podemos tomar a decisão, mas precisamos estar aptos para isso”, finaliza.
      No nosso Instagram @mentebinaria_, criamos um destaque para o evento, onde Patrick e Lili falam mais sobre o assunto. 😉
       

×
×
  • Create New...