Jump to content
    • Ana Martins
      Como utilizar o MISP para mapear as ameaças por meio de engenharia de detecção foi o tema da palestra do consultor em SOC e MSS, Bruno Guerreiro. 
      Quando se fala em detecção de ameaças, Bruno não falou daquelas detectadas pelos sistemas preparados para isso, como antivírus. Ele fez uma análise mais profunda daquelas etapas que se utilizam da infraestrutura para provocar ataques maliciosos. “O ataque de ransomware passou por várias etapas, uma exploração, uma movimentação lateral, comando controle, para depois gerar o ataque malicioso, que é a ponta do ataque, mas tudo o que vem antes são oportunidades de detecção”, explica Guerreiro.

      O consultor aponta que há milhões de possibilidades, de detecção de ameaças, mas que seguir a lógica de desenvolvimento de software pode ajudar. O diagrama de caso de uso é um caminho ajuda a definir o cenário, qual o resultado esperado, como se navega no sistema e como testar e validar. 
      “Para efetivamente detectar, o que preciso fazer? O ambiente precisa fornecer log, que é um desafio. Nem sempre o que preciso é logado. Preciso capturar e trazer para minha estrutura, como faço e quais processos de rede preciso para gerar o log, e quando gerar, preciso receber, parsear, identificar os campos, e ver o que vou usar, e aí preciso testar a minha regra, e ver se ela trigga dentro do sistema. Além disso, ela precisa aparecer no painel de operação, e a operação precisa saber o que fazer com isso. Tudo isso que acontece antes do alerta chegar é engenharia de detecção”, detalha o consultor.
      A definição do cenário também é um ponto chave na hora de aplicar essa análise. O cenário de ameaça é o que está compreendido entre a existência de uma ameaça e a possibilidade de ela gerar um evento, incidindo sobre a sua estrutura. “Se existe a ameaça, ela é a ameaça, mas se incide sobre mim, é um evento. Se tenho uma vulnerabilidade, ela pode me explorar essa condição prévia de falha, que posso corrigir por meio de controles de segurança, afim de evitar o impacto”, orienta. 
      Bruno citou o relatório da Red Corner, em que  eles processaram 1 petabyte de dados por dia, que e gerou 14 milhões de alertas de investigações, dos quais 33 mil revelaram-se ameaças confirmadas. “Por isso é importante saber o que se quer encontrar e mapear essas ameaças, senão você se perde, é atropelado por esse volume e não detecta nada”, explica. 
      Compreendido o processo de caso de uso para estruturar a detecção de engenharia de ameaças, Bruno mostrou como a utilização do MISP pode ajudar na organização de uma biblioteca de ameaças, por meio de tags. Com a ferramenta, se regista o contexto, os requisitos, os códigos, e as estruturas ameaçadas, o que traz mais insumos e informações para a equipe de operação. “Isso também pode facilitar o retrohunt e o autohunt, em que cada atualização pode ser analisada a partir das informações organizadas”, finaliza. Grande aula! 🎓

    • Falar sobre a relevância de detectar o que ele chamou de pivôs de ataque (computadores intermediários na comunicação atacante-vítima) foi o tema da palestra de Rafael Salema, malware coder e especialista em inteligência cibernética.
      “Geralmente as pessoas não detectam, usa blue, mas não detecta pivô. Geralmente a primeira a máquina de ataque não é o seu alvo, a relevância disso é aumentar o sarrafo da detecção”, afirma.
      Para entender a relevância da detecção do pivô é importante compreender o crescimento de ataques por parte de grupos de Advanced Persistent Threats (APT), que são uma ameaça persistente. “Geralmente são grupos que têm patrocínio, e eles têm tempo, e aumentam a complexidade do ataque de acordo com a dificuldade de acesso que têm, e o pivô é um dos caminhos de acesso”, explica Salema.
      A decisão pela pesquisa por pivoting veio da falta de pesquisas recentes sobre o tema e sem uma solução eficiente. Para estudar os pivots, foi usado a análise biflow, flow-based, que capta pacotes em diferentes pontos de rede, e detecta cabeçalhos do pacote.
      Ninguém pesquisa sobre pivô. As técnicas mapeadas são muito incipientes e não tem uma solução eficiente.

      Existem técnicas análise de tráfego e inspeção de pacotes que buscam por payloads maliciosos, mas estas são diferentes de técnicas flow-based, que captam pacotes em diferentes pontos da rede, e detectam os cabeçalhos do pacote. ”Qual o gol dessa abordagem? Não preciso fazer a inspeção do pacote para detectar uma ameaça. O Deep Packet Inspection (DPI) precisa interferir na privacidade. E tem gente que anonimiza o pacote e analisa fora, e isso precisa de regra, mas você depende de conhecimento prévio. Na nossa análise não precisa, a gente faz uma análise sem olhar o pacote”, explica Salema.
      Ele explica que o pivô age da seguinte forma: por exemplo, o atacante envia um phishing para secretária, e ela clica num link. O atacante entra via internet, mas não tem acesso ao servidor de arquivos, mas a secretária tem, e aí ele cria um pivô para acessar isso. A secretaria tem acesso ao servidor de arquivos, mas o atacante não, e aí se cria um pivô para intermediar esse acesso.
      Quando se encaminha um pacote de uma máquina pra outra, existe um padrão no pivô clássico, que geralmente são classificados por proxy ou VPN, mas nessa pesquisa, eles resolveram criar um novo padrão. “Quando fala de red team, precisa ter métrica. Um read team de APT vai ser sistemático, e ele vai fazer o que precisa”, assinala. Dessa forma, eles pensaram em fazer uma detecção escalada e mais leve para ter detecção em tempo real. 
      “A gente faz a detecção local, descentralizada, e aí centralizou a análise, e aí a gente identificou pivôs de 2 a 3 saltos. Tinha que ser agnóstico quanto à criptografia ou protocolos e ter classificação automática”, pontuou o especialista. 
      Outro critério utilizado foi o uso de estatística, por não requerer uma base de dados prévia para treinar algoritmos e assim ter um algoritmo genérico. A limitação da abordagem é que o tráfego de chegada e saída não deve precisar de algoritmos. “Se o atacante consegue subverter o agente, acabou a guerra”.
      Salema ainda compartilhou a arquitetura, os filtros utilizados e as análises feitas. As taxas de identificação chegaram a 95% de ameaças confirmadas.
      Para saber mais, vale conversar com ele. Nas redes é possível encontrá-lo pelos handles de @SWanK no Telegram, @pegaBizu no Twitter ou SWaNk#2096 no Discord. Baita pesquisa, Salema! 👏
       

    • Computação Forense foi o tema da palestra do professor e pesquisador da área, Rodrigo Albernaz durante a décima primeira edição do BHack, que aconteceu neste final de semana em Belo Horizonte (MG). 
      Forense Digital é uma área que envolve a ciência da computação como um todo. “Não se tem descanso nenhum dia, a cada atualização, novos artefatos gerados e precisa entender tudo de novo para ter algum insight do que está sendo analisado”, sinaliza.
      Ela é voltada para aplicação de métodos e técnicas científicas com o fim de se obter, preservar e documentar evidências digitais, extraídas a partir de dispositivos eletrônicos digitais.  
      A nuance do trabalho de um perito é tentar entender o que está por trás, os bastidores do mundo digital. A rotina costumeira de um perito, consiste, em por exemplo, receber um disco de informação e fazer um trabalho de duplicação pericial, visando preservar a informação, para extrair a informação integralmente. “Ela é bem diferente das duplicações feitas por programas voltados pra isso, que geralmente ignoram a parte não usada do disco, mas ali para a perícia é importante, pois é onde pode ter informações apagadas”, explica Albernaz. 
      Depois da duplicação vem etapas mais delicadas, que demanda muita expertise, que é a extração e a análise de dados. “Aqui é importante o fato de estar atualizado, sempre. Por exemplo, o Windows agora traz uma timeline, o que ajuda a vida do perito”. Por fim, a etapa final é entregar o relatório sobre o achado, e mesmo que seja uma análise digital, ainda a maior parte dos processos judiciais exige que seja impresso.

      Dentre os segmentos, existe a tradicional, a computacional, que tem bastante foco em discos. A forense live analisa artefatos em memória, como ransomware e outros malwares; forense em rede, focada em tráfego de dados; forense em banco de dados, e a mobile, uma das áreas que junto com a live está em pleno vapor.
      Dentro da computação forense, há equipamentos e ferramentas específicas para ajudar na compactação de arquivos, e análises. As principais ferramentas com que se lida na computação forense trabalham no nível lógico.
      Albernaz ainda citou alguns exemplos de casos para dar insights no tratamento. No caso de um pai que pediu para recuperar as fotos de um celular do filho adolescente que tinha morrido. O celular era um Android e tinha uma senha complexa. Para acessar o celular bloqueado, Rodrigo aproveitou que o celular se apresentava como um modem ao conectá-lo num computador e enviou um comando via modem para o Broadband Processor (BP) que ele descobriu ao listar as strings presentes no firmware do aparelho (baixado da internet). Sucesso!
      Outro caso foi busca por similaridade em arquivos. Hoje, a maioria das buscas são feitas por hash, mas isso não é muito eficiente. Pequenas mudanças são imperceptíveis neste tipo de busca. Uma das formas de lidar com essa dificuldade, é fazer hashes parciais, conceito de janelamento de hash. Para arquivos não compactados, ainda melhor que o janelamento é o fuzzy hash. No entanto, para arquivos comprimidos, nada disso funciona.
      “Hoje essas dificuldades estão sendo atacadas e resolvidas com machine learning, mas ainda é muito incipiente”, destaca Albernaz. "No caso de arquivos comprimidos, há outras técnicas, como a Normalized Compression Distance (NCD)", completa.
      Sua paixão por sistema de arquivos o levou a resolver um terceiro caso, onde ferramentas de carving não se mostraram muito eficientes.
      Rodrigo explicou que carving normalmente depende dos números mágicos, e de algum jeito pra encontrar o fim do arquivo, mas se o cabeçalho estiver corrompido ou tiver sido substituído por outros bytes, carving não ajuda muito. Aí que entra filesystem recovery.
      Ele fez ainda uma demo ao vivo de uma forense a partir de uma imagem de disco, mostrando como listar os blocos (ext4) que um arquivo excluído ocupa.
      Para acompanhar mais sobre o tema, ou quiser conhecer melhor essas técnicas, vale acompanhar o trabalho do Rodrigo nas redes. ☺️

    • A partir da exploração das misconfiguration da AD, uma emissora de certificados, usando o ADSC, Fabricio Gimenes, especialista em cibersegurança, explicou como ataques são possíveis a partir da criação de um domain controller. 
      É um estudo complexo, que envolve muitas ferramentas e a exploração de oito vulnerabilidades, mas ele apresentou apenas as quatro principais e resumiu para gente aqui o que elas são e o impacto que elas trazem. 
      Com a exploração dessas misconfiguration é possível conseguir elevação de privilégio para assim criar domínios de controle nos computadores. As vulnerabilidades são duas misconfiguration da ADS e uma CVE reconhecida pela Microsoft, que a empresa reconhece como misconfiguration, mas deixa para o cliente decidir o que fazer com ela.
      No Instagram @mentebinaria_, Fabricio explicou pra gente como o ataque funciona:
      A primeira misconfiguration são dois passos basicamente: eu peço o certificado como usuário, que não sou eu mesmo, então nesse caso, domain admin, e depois eu solicito o ticket caps pra ele. Ou seja, com esse ticket eu consigo fazer um ataque pass the hash, por exemplo, me tornando um domain admin. 
      Você precisa de um usuário válido com privilégio comum. 
      A outro eu tenho um usuário comum, onde eu consigo criar uma máquina, um computador dentro da rede, e consigo tornar ela uma computador domain controller, fazendo a alteração do DNS dela pra domain controller, altero um DNS comum, fgt.computer, pra fgt. computer domain admin, e eu me torno um domain controller. Com isso eu solicito um certificado e também me torno domain controller com ele. 
      E a última é via NTLM, que é um ataque já conhecido, mas que para esse tipo de exploração não tem nenhum tipo de detecção. 
      A partir do momento em que eu me torno um domain admin, eu consigo me tornar um manager dessa CA, e aí é uma outra base de exploração. No meu ponto de vista é uma persistência de misconfiguration, porque para se tornar um manager você tem que ser domain admin.
      Legal né? Parabéns, Fabrício!  😎

    • Quando se fala em engenharia social, por mais que se pense e se invista em estratégias de defesa e em tecnologia para se proteger, existe um fator que pode fazer muita diferença nos resultados: o fator humano. 
      Para sobreviver aos ataques de engenharia social, é necessário hackear a própria mente. É o que a especialista em ciber segurança Liliane Scarpari, e o psicólogo Patrick Boundaruck, apresentaram na BHack, na palestra Mind Hacking: Social Engineer Techniques Unleashed.
      Para entender isso, é preciso antes, entender o funcionamento do cérebro. Existe uma parte em nosso cérebro, a amígdala, que controla nossas emoções, e, em situações de estresse, como uma ameaça, ou um risco iminente, libera cortisol e adrenalina, fazendo com que se reaja em favor da sobrevivência. 
      Compreender esse ponto-chave é importante, pois os ataques de engenharia social acontecem valendo-se do sequestro da amígdala. Sob o efeito de estresse, as pessoas acabam agindo de forma irracional, facilitando o acesso do algoz.

      Patrick e Lili na BHack 2022
      “O que acontece é que estamos em constante ataque de engenharia social, por todos os lados”, salienta Liliane. “Antigamente parecia que havia uma verdade e isso acalmava, mas hoje você pode ser atacado pelo viés político, econômico, social, e tudo vira uma ameaça'', completa Patrick. 
      Quando se fala em engenharia social, é fácil pensar em ataques de redes sociais, ou de WhatsApp, mas o ataque a uma empresa não é diferente, e a reação a isso tende a ser catastrófica. 
      Na palestra, Liliane fez um paralelo com a ação de um pedófilo. As fases de ação são parecidas. O ganho de confiança, a aproximação, o entendimento das vulnerabilidades, e aí vem a ameaça de fato, a partir da exploração dessa vulnerabilidade. 
      “Num momento de estresse, a resposta acaba sendo desfavorável. E as pessoas têm dificuldade de admitir que ficaram vulneráveis àquilo, o que gera ainda mais estresse”, explica Patrick. 
      Então, onde está a solução para lidar com isso? A resposta: respire. 
      “Liliane, você está dizendo que a gente investe milhões de dólares em sistemas e estratégias de defesa, mas para evitar o phishing eu preciso dizer pro meu funcionário respirar? Sim!”, brinca a especialista. 
      Ainda que pareça ingênuo, a recomendação tem fundamento biológico. “Quando você respira, você consegue reverter as sensações biológicas do medo, e com isso, pensar melhor, e tomar decisões mais racionais”, pontua Patrick. 
      O treinamento humano, o autoconhecimento será cada vez mais fundamental para lidarmos com o bombardeio de estímulos a nossas emoções. O ataque às nossas emoções é constante, e não se resume a uma situação de estresse, mas a qualquer estímulo ao nosso emocional para tomarmos decisão, sendo o algoritmo das redes sociais o mais conhecido. 
      “Hoje a engenharia social se vale do conhecimento do humano para o humano, mas qual será o futuro dessa engenharia a partir do uso da inteligência artificial e do machine learning?”, questiona Liliane. “Eu sou absolutamente contra a máxima que diz que o humano é o elo mais fraco na corrente da ciber segurança. Somos os mais fortes, pois podemos tomar a decisão, mas precisamos estar aptos para isso”, finaliza.
      No nosso Instagram @mentebinaria_, criamos um destaque para o evento, onde Patrick e Lili falam mais sobre o assunto. 😉
       

    • A Tempest, maior empresa especializada em cibersegurança do Brasil, realizará nos dias 22 e 23 de novembro, das 9h às 18h30, o Tempest Academy Conference. Em parceria com a UFPE, que sediará o evento, o objetivo é contribuir com instituições de ensino de todo o Brasil na formação profissional, mapeamento e atração de talentos em cibersegurança. Esse é mais um recurso ofertado dentro da iniciativa educacional ACTION Talents da Tempest.
      Em formato híbrido, o evento contará com palestras técnicas e minicursos com profissionais da área de cibersegurança por meio de trocas de conhecimento técnico, networking e oportunidades profissionais. Além disso, haverá a CyberSec Jobs: Feira de Empregabilidade para Talentos. A feira terá times de Atração de Talentos da Tempest e algumas de suas empresas parceiras, para levantamento e análise de currículos, sorteios, mapeamento de talentos profissionais, dicas sobre empregabilidade, orientações sobre programas de estágios e possíveis entrevistas para ofertas de oportunidades e vagas profissionais.
      Durante o evento também será promovida uma competição no formato Capture the Flag (CtF), através de desafios estimulantes e divertidos, como mais uma oportunidade para o desenvolvimento de algumas habilidades técnicas que podem vir contribuir na formação da competência profissional em cibersegurança. Interessados deverão competir com seus próprios notebooks e concorrerão a premiações no final da competição.  
      “Estamos muito animados com a primeira edição do Tempest Academy Conference, que contará com as mais de 40 palestras técnicas, 05 minicursos e várias outras atividades, todas conduzidas por profissionais que vivem o mercado de cibersegurança e que poderão contribuir, e muito, para o desenvolvimento dos novos talentos desta área”, afirma Gerson Castro, coordenador do evento e Head of Academy, Research & Publishing da Tempest.
      Durante todo o evento, em um ambiente exclusivo aos participantes presenciais, consultores técnicos da Tempest estarão disponíveis para uma interação individual com estudantes e professores (as) visando tirar dúvidas técnicas, trocar experiências profissionais ou prestar orientações técnicas sobre questões relacionadas às suas áreas de especialidades em cibersegurança.
      O evento presencial será no Centro de Informática da Universidade Federal de Pernambuco (CIn/UFPE), em Recife/PE. Já a transmissão para participação remota dos inscritos de todo País será via videoconferência do Zoom, com links de acessos disponibilizados na plataforma do Even3 e também enviado por e-mail no dia do evento.
      Para se inscrever, acesse o site.

    • Situação: você quer estudar engenharia reversa em algum programa, analisar um arquivo suspeito ou dar uma olhada na memória daquele joguinho pra ver se econtra algo. O que você faz? Começa a buscar na internet programas que possam te ajudar. Faz download, descomprime, joga diretório pra lá, arquivo pra cá, configura e a esta altura já quase não tem mais paciência pra começar. Se identificou? 😄
      E se alguém pegasse vários programas de análise, colocasse todos juntos num instalador só, de modo que você baixasse um único arquivo e instalasse tudo o que precisa? Não facilitaria? Além disso você poderia baixar uma vez só e instalar em máquinas virtuais sempre que precisar, né?
      Para estes casos temos o retoolkit, que hoje chega a sua quarta versão, a 2022.10. Além de te oferecer dezenas de ferramentas num único instalador, ele te permite escolher quais ferramentas você quer instalar, como mostra a figura:

      Nesta versão foram incluídas as ferramentas AutoIt-Ripper, Bazzar (do @anderson_leite), ExtremeDumper, HxD, HyperDbg, OpenHashTab e WinAPI Search.
      Difícil escolher qual a mais legal, mas o HyperDbg é um debugger novo para Windows, assistido pelo hypervisor (ring -1) para kernel (ring 0) e user land (ring 3). Coisa muito chique, gente!
      Outro destaque desta edição é o menu de documentação, com vários links úteis no estudo da arte:

      Os programas mais populares para engenharia reversa no Windows também estão lá, claro! Um bom exemplo é o x64dbg, que já é instalado e configurado com vários plugins:

      Aproveitando que o retoolkit é nosso, também não perdi a oportunidade de colocar nossas ferramentas lá! Desde a primeira versão ele conta com o manw do @Leandro Fróes e o pev, por exemplo.
      Listar todas as ferramentas aqui demoraria muito. Mais fácil você baixar, instalar e ver o bicho em ação né? Uma listagem completa das ferramentas disponíveis no kit pode ser acessada aqui.
      Happy hacking! 😎

×
×
  • Create New...