Falar sobre a relevância de detectar o que ele chamou de pivôs de ataque (computadores intermediários na comunicação atacante-vítima) foi o tema da palestra de Rafael Salema, malware coder e especialista em inteligência cibernética.
“Geralmente as pessoas não detectam, usa blue, mas não detecta pivô. Geralmente a primeira a máquina de ataque não é o seu alvo, a relevância disso é aumentar o sarrafo da detecção”, afirma.
Para entender a relevância da detecção do pivô é importante compreender o crescimento de ataques por parte de grupos de Advanced Persistent Threats (APT), que são uma ameaça persistente. “Geralmente são grupos que têm patrocínio, e eles têm tempo, e aumentam a complexidade do ataque de acordo com a dificuldade de acesso que têm, e o pivô é um dos caminhos de acesso”, explica Salema.
A decisão pela pesquisa por pivoting veio da falta de pesquisas recentes sobre o tema e sem uma solução eficiente. Para estudar os pivots, foi usado a análise biflow, flow-based, que capta pacotes em diferentes pontos de rede, e detecta cabeçalhos do pacote.
Ninguém pesquisa sobre pivô. As técnicas mapeadas são muito incipientes e não tem uma solução eficiente.
Existem técnicas análise de tráfego e inspeção de pacotes que buscam por payloads maliciosos, mas estas são diferentes de técnicas flow-based, que captam pacotes em diferentes pontos da rede, e detectam os cabeçalhos do pacote. ”Qual o gol dessa abordagem? Não preciso fazer a inspeção do pacote para detectar uma ameaça. O Deep Packet Inspection (DPI) precisa interferir na privacidade. E tem gente que anonimiza o pacote e analisa fora, e isso precisa de regra, mas você depende de conhecimento prévio. Na nossa análise não precisa, a gente faz uma análise sem olhar o pacote”, explica Salema.
Ele explica que o pivô age da seguinte forma: por exemplo, o atacante envia um phishing para secretária, e ela clica num link. O atacante entra via internet, mas não tem acesso ao servidor de arquivos, mas a secretária tem, e aí ele cria um pivô para acessar isso. A secretaria tem acesso ao servidor de arquivos, mas o atacante não, e aí se cria um pivô para intermediar esse acesso.
Quando se encaminha um pacote de uma máquina pra outra, existe um padrão no pivô clássico, que geralmente são classificados por proxy ou VPN, mas nessa pesquisa, eles resolveram criar um novo padrão. “Quando fala de red team, precisa ter métrica. Um read team de APT vai ser sistemático, e ele vai fazer o que precisa”, assinala. Dessa forma, eles pensaram em fazer uma detecção escalada e mais leve para ter detecção em tempo real.
“A gente faz a detecção local, descentralizada, e aí centralizou a análise, e aí a gente identificou pivôs de 2 a 3 saltos. Tinha que ser agnóstico quanto à criptografia ou protocolos e ter classificação automática”, pontuou o especialista.
Outro critério utilizado foi o uso de estatística, por não requerer uma base de dados prévia para treinar algoritmos e assim ter um algoritmo genérico. A limitação da abordagem é que o tráfego de chegada e saída não deve precisar de algoritmos. “Se o atacante consegue subverter o agente, acabou a guerra”.
Salema ainda compartilhou a arquitetura, os filtros utilizados e as análises feitas. As taxas de identificação chegaram a 95% de ameaças confirmadas.
Para saber mais, vale conversar com ele. Nas redes é possível encontrá-lo pelos handles de @SWanK no Telegram, @pegaBizu no Twitter ou SWaNk#2096 no Discord. Baita pesquisa, Salema! 👏
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.