Tomaremos algumas t\u00e9cnicas comumente usadas numa cadeia de ataques cibern\u00e9ticos para analis\u00e1-las. Nesse caso, usaremos como refer\u00eancia a matriz MITRE ATT&CK no contexto da ca\u00e7a a amea\u00e7as (voc\u00ea pode ler sobre ela em nosso\u00a0post anterior<\/a>).<\/p>\n T1087.004 – Account Discovery: Cloud Account<\/span><\/p>\n Vamos come\u00e7ar adiantando um pouco os est\u00e1gios de um ataque cibern\u00e9tico e tomar como refer\u00eancia a t\u00e9cnica de enumera\u00e7\u00e3o “Account Discovery” em sua variante “Cloud Accounts”. Essa t\u00e9cnica, como a maioria das t\u00e9cnicas\u00a0de enumera\u00e7\u00e3o<\/b>baseia-se na premissa de que o invasor cibern\u00e9tico pode tentar coletar uma lista de itens adicionais que lhe permitam\u00a0expandir seu ataque<\/b>,Para essa t\u00e9cnica espec\u00edfica, os dados descobertos podem ser usu\u00e1rios e fun\u00e7\u00f5es em um servi\u00e7o de nuvem (Azure AD, Google Workspace, IaaS, Office 365, SaaS).<\/p>\n \n \n Reconhecendo esse\u00a0comportamento<\/b>, analisamos a maneira espec\u00edfica pela qual um atacante cibern\u00e9tico poderia realiz\u00e1-lo na pr\u00e1tica. Para sermos espec\u00edficos em nosso exemplo, vamos nos concentrar na interface de comando do Azure (AZ CLI). A MITRE ATT&CK prop\u00f5e o comando “az ad user list” como exemplo. Uma poss\u00edvel sa\u00edda desse comando com alguns par\u00e2metros forneceria dados espec\u00edficos do usu\u00e1rio.<\/p>\n \n Uma\u00a0hip\u00f3tese<\/b>, ent\u00e3o, para come\u00e7ar com “nosso destilado por detec\u00e7\u00e3o” poderia ser:<\/p>\n Do ponto de vista da “detec\u00e7\u00e3o”, podemos ver que o grau de\u00a0precis\u00e3o<\/b>\u00a0dessa afirma\u00e7\u00e3o \u00e9 baixo, pois podemos encontrar v\u00e1rios casos em que encontramos esse comportamento e n\u00e3o se trata de um invasor. Por exemplo, na implementa\u00e7\u00e3o de algum tipo de solu\u00e7\u00e3o por um administrador de nuvem, at\u00e9 mesmo algum software de gerenciamento de identidade que realiza consultas por meio da mesma API. Precisamos\u00a0refinar nossa hip\u00f3tese<\/b>\u00a0aqui para melhorar a precis\u00e3o, por exemplo:<\/p>\n \n Essa nova defini\u00e7\u00e3o aumenta o\u00a0grau de precis\u00e3o<\/b>, , embora, por outro lado, limite o\u00a0escopo<\/b>, pois s\u00f3 podemos detectar esse comportamento se o terminal de origem for desconhecido (o que nem sempre \u00e9 o caso).<\/p>\n A detec\u00e7\u00e3o precisa nos aproximar da base da pir\u00e2mide. A detec\u00e7\u00e3o exaustiva nos aproxima do topo. N\u00e3o h\u00e1 respostas certas, combinamos constantemente as duas estrat\u00e9gias (Assinaturas + Heur\u00edstica<\/b>).<\/p>\n O tamanho certo depender\u00e1 de\u00a0nossos objetivos de detec\u00e7\u00e3o<\/b>\u00a0e dos riscos associados ao ativo que queremos proteger.<\/p>\n Por outro lado, avan\u00e7ando com a implementa\u00e7\u00e3o pr\u00e1tica desta detec\u00e7\u00e3o e a partir da perspectiva dos ‘requisitos’ para realiz\u00e1-la, o elemento disparador poderia ser um monitoramento cont\u00ednuo dos comandos executados atrav\u00e9s da interface ‘Azure CLI’. Esta fonte de detec\u00e7\u00e3o n\u00e3o \u00e9 trivial, como um registro de auditoria pr\u00e9-configurado, por isso precisamos moldar a detec\u00e7\u00e3o a partir de outros elementos observ\u00e1veis de acordo com as tecnologias que temos. \u00c9 necess\u00e1rio encontrar alternativas, como focar nos terminais que poderiam executar comandos no Azure CLI e monitorar o hist\u00f3rico de execu\u00e7\u00e3o no PowerShell, ou outros tipos de estrat\u00e9gias para cobrir tamb\u00e9m as execu\u00e7\u00f5es a partir do Azure Cloud Shell, por exemplo.<\/p>\n T0878 – Alarm Suppression<\/span><\/p>\n Vamos agora para um ambiente diferente e analisar as t\u00e1ticas que est\u00e3o mais relacionadas a algum tipo de impacto em\u00a0ambientes industriais<\/b>. A “supress\u00e3o de alarme” \u00e9 uma t\u00e9cnica que se enquadra na t\u00e1tica “Inibi\u00e7\u00e3o da fun\u00e7\u00e3o de resposta” espec\u00edfica da matriz MITRE para ICS ou sistemas de controle industrial (voc\u00ea pode se aprofundar em ICS ou OT nesta\u00a0publica\u00e7\u00e3o<\/a>\u00a0ou ficar do lado do invasor nesta\u00a0publica\u00e7\u00e3o<\/a>).<\/p>\n Essa t\u00e9cnica envolve a inibi\u00e7\u00e3o de uma fun\u00e7\u00e3o de alarme que visa a alertar um operador sobre uma situa\u00e7\u00e3o cr\u00edtica no sistema. Esse tipo de t\u00e9cnica, ao contr\u00e1rio da anterior, concentra-se em dispositivos espec\u00edficos de redes industriais (por exemplo, sistemas PLC \/ Scada).<\/p>\n Essa t\u00e9cnica geralmente \u00e9 aplicada, por exemplo, modificando ou suprimindo um sistema de avisos e mensagens de relat\u00f3rio, ou mesmo alterando os dados exibidos em uma interface do tipo HMI. H\u00e1 v\u00e1rias maneiras de abordar essa t\u00e9cnica, dependendo dos tipos de alarmes e dos dispositivos envolvidos na opera\u00e7\u00e3o, mas podemos dar alguns exemplos hipot\u00e9ticos:<\/p>\n \n \n Essa hip\u00f3tese exigir\u00e1 como “fontes de dados”, algum tipo de monitoramento de tr\u00e1fego de rede ou monitoramento de integridade dos programas envolvidos nos dispositivos, por exemplo.<\/p>\n \n \n A tradu\u00e7\u00e3o dessas hip\u00f3teses em uma linguagem oper\u00e1vel na forma de regras l\u00f3gicas ser\u00e1 nossa pr\u00f3xima etapa para, em seguida, implementar diferentes casos de uso em nossa infraestrutura. Sempre considerando os fatores acima, poderemos ajustar a precis\u00e3o de cada um deles.<\/p>\n Sobre regras de detec\u00e7\u00e3o<\/span><\/p>\n A\u00a0detec\u00e7\u00e3o em larga escala<\/b>de atividades mal-intencionadas na infraestrutura se torna complexa se quisermos usar as t\u00e9cnicas uma a uma e defini-las para cada uma de suas variantes espec\u00edficas. Consumir regras de detec\u00e7\u00e3o da comunidade, de um fornecedor ou de outras organiza\u00e7\u00f5es traz a dificuldade de que cada uma delas t\u00eam diferentes solu\u00e7\u00f5es de detec\u00e7\u00e3o, tipos de registro e estrat\u00e9gias para definir sua prote\u00e7\u00e3o. Cada SIEM tem at\u00e9 mesmo suas pr\u00f3prias linguagens de consulta.<\/p>\n O que s\u00e3o as regras SIGMA?<\/span><\/p>\n As regras SIGMA\u00a0<\/b>s\u00e3o um formato de assinatura de c\u00f3digo aberto que permite escrever regras de detec\u00e7\u00e3o considerando qualquer registro de entrada e em um formato padronizado. Elas t\u00eam uma sintaxe yaml e podem ser convertidas (ou\u00a0traduzidas<\/b>, como eu gosto de dizer) para a sintaxe do nosso SIEM preferido ou de qualquer plataforma usada na organiza\u00e7\u00e3o.<\/p>\n Tomamos como exemplo uma regra sigma de um reposit\u00f3rio da comunidade encontrado em uma biblioteca de projetos SigmaHQ (aqui<\/a>), Nessa regra, o comportamento a ser detectado \u00e9 a conex\u00e3o de um poss\u00edvel invasor de um sistema afetado a um servi\u00e7o externo de “Comando e Controle<\/b>\u201d(C&C TA0011) por meio da rede onion (Multi-hop Proxy T1090.003). A t\u00e9cnica espec\u00edfica faz uso do navegador TOR para cumprir sua miss\u00e3o; essa \u00e9 a regra de detec\u00e7\u00e3o:<\/p>\n Podemos interpretar, neste exemplo, que a detec\u00e7\u00e3o \u00e9, em princ\u00edpio, baseada nos nomes e locais dos bin\u00e1rios executados, especificamente para ambientes Windows. O leitor atento saber\u00e1 que essas regras precisam ser\u00a0refinadas para melhorar sua precis\u00e3o.<\/b>.<\/p>\n Um guia para entender a sintaxe<\/b>\u00a0desse tipo de regra para a cria\u00e7\u00e3o de novas regras pode ser encontrado aqui\u00a0aqui<\/a>.<\/p>\n Em seguida, para usar essa regra sigma, podemos\u00a0convert\u00ea-la\u00a0<\/b>em um formato compreens\u00edvel pela nossa solu\u00e7\u00e3o de detec\u00e7\u00e3o preferida, um SIEM como o QRADAR da IBM, o que nos deixa com uma consulta no seguinte formato:<\/p>\n Essa convers\u00e3o pode ser feita manualmente, compreendendo a sintaxe de ambas as pseudo-linguagens, ou podemos usar as ferramentas dispon\u00edveis, como o tradutor\u00a0undercoder.io<\/a>.<\/p>\n \n As regras Sigma s\u00e3o apenas um exemplo de um formato para executar decis\u00f5es de triagem, que tamb\u00e9m podem ser encontradas em diferentes aplicativos e escopos:<\/p>\n \n Detec\u00e7\u00e3o como um c\u00f3digo<\/span><\/p>\n No final das contas, os analistas de seguran\u00e7a j\u00e1 t\u00eam uma\u00a0regra de detec\u00e7\u00e3o<\/b>, concreta, aplic\u00e1vel aos seus sistemas de seguran\u00e7a e baseada em um\u00a0comportamento<\/b>bem conhecido em um ataque cibern\u00e9tico. No entanto,\u00a0engenharia de detec\u00e7\u00e3o exige\u00a0<\/b>muito mais do que a cria\u00e7\u00e3o de uma boa regra, ela exige a condu\u00e7\u00e3o de um conjunto de regras que ser\u00e3o constantemente\u00a0modificadas, refinadas, adicionadas e desativadas<\/b>.<\/p>\n E se realizarmos essa opera\u00e7\u00e3o usando algum\u00a0framework conhecido\u00a0<\/b>conhecido que tenha esse dinamismo de integra\u00e7\u00e3o e entrega cont\u00ednuas? \u00c9 assim que o conceito de\u00a0Detec\u00e7\u00f5es como C\u00f3digo\u00a0<\/b>est\u00e1 sendo aprimorado como um meio de sustentar uma detec\u00e7\u00e3o din\u00e2mica e eficiente usando\u00a0DevOps<\/b>.<\/p>\n Essa abordagem nos permite ter, por exemplo, algumas dessas caracter\u00edsticas:<\/p>\n <\/p>\n Aqui est\u00e1 um excelente diagrama de todo o fluxo de cria\u00e7\u00e3o e distribui\u00e7\u00e3o de regras de detec\u00e7\u00e3o, preparado por Matt Bromiley em seu artigo “Detecting Malicious Activity in Large Enterprises”:<\/p>\n \n \n Algumas conclus\u00f5es<\/span><\/p>\n No processo de\u00a0destilar o comportamento\u00a0<\/b>em uma forma de detectar atividades mal-intencionadas, podemos ser tentados a pensar que um controle l\u00f3gico pode fechar uma porta para o invasor. Uma regra de firewall muito restritiva que limite o acesso \u00e0 Internet \u00e9 uma excelente medida, mas n\u00e3o substituir\u00e1 a necessidade de detectar o tr\u00e1fego de C&C dentro da rede.<\/p>\n A detec\u00e7\u00e3o “gen\u00e9rica” que podemos encontrar pelo simples fato de implantar uma solu\u00e7\u00e3o de prote\u00e7\u00e3o, como um EDR, um WAF ou um IPS, tem muito valor; a prote\u00e7\u00e3o como boa pr\u00e1tica deve come\u00e7ar pelas medidas mais abrangentes at\u00e9 as medidas mais espec\u00edficas. N\u00e3o faz sentido confiar em hip\u00f3teses para detectar comportamentos “avan\u00e7ados” se, por outro lado, n\u00e3o pudermos ver quais privil\u00e9gios s\u00e3o atribu\u00eddos aos usu\u00e1rios, por exemplo.<\/p>\n O campo da IA est\u00e1 nos fornecendo uma s\u00e9rie de ferramentas que est\u00e3o cada vez mais ao nosso alcance, e incorporar o aprendizado de m\u00e1quina \u00e0 “detec\u00e7\u00e3o como c\u00f3digo” \u00e9 uma pr\u00e1tica que aumentar\u00e1 ainda mais a capacidade das equipes de SOC de operar com mais efici\u00eancia e efic\u00e1cia.<\/p>\n <\/p>\n <\/p>\n – Microsoft, referencia az ad user A detec\u00e7\u00e3o de amea\u00e7as \u00e9 a principal etapa das defesas cibern\u00e9ticas de uma organiza\u00e7\u00e3o, \u00e9 como alimentamos claramente nossos sistemas de prote\u00e7\u00e3o e resposta. \u00c9 somente encontrando essa amea\u00e7a ativa que podemos agir,\u00a0isolar,\u00a0eliminar,\u00a0enganar\u00a0ou melhorar\u00a0os modelos de amea\u00e7as cibern\u00e9ticas. Explorando alguns exemplos da afirma\u00e7\u00e3o acima, percebemos que h\u00e1 muitos casos em que \u00e9 poss\u00edvel agir a […]<\/p>\n","protected":false},"author":5,"featured_media":5096,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"footnotes":""},"categories":[96],"tags":[],"class_list":{"0":"post-5150","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-pesquisar"},"jetpack_featured_media_url":"https:\/\/base4sec.com\/wp-content\/uploads\/2024\/12\/blog_41.png","_links":{"self":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/comments?post=5150"}],"version-history":[{"count":1,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5150\/revisions"}],"predecessor-version":[{"id":5265,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/posts\/5150\/revisions\/5265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media\/5096"}],"wp:attachment":[{"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/media?parent=5150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/categories?post=5150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/base4sec.com\/pt-br\/wp-json\/wp\/v2\/tags?post=5150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41a.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41b.png\")
<\/center>![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/port\/nota_41c.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/port\/nota_41d.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41e.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41f.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41g.png\")
<\/center>![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41h.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41i.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41j.png\")
<\/center><\/p>\n\n
\n
![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_41k.png\")
<\/center><\/p>\n
\nFelipe Alves – Pesquisador da BASE4 Security<\/b><\/center> <\/p>\nRefer\u00eancias<\/h5>\n<\/div>\n
\nhttps:\/\/learn.microsoft.com\/..<\/a>
\n– MITRE ATT&CK, Descoberta de conta:
\nconta na nuvem\u00a0https:\/\/attack.mitre.org\/..<\/a>
\n– MITRE ATT&CK, Supress\u00e3o de Alarme
\nhttps:\/\/attack.mitre.org\/..<\/a>
\n– MITRE ATT&CK,Comando e Controle
\nhttps:\/\/attack.mitre.org\/..<\/a>
\n– MITRE ATT&CK, Proxy Multi-hop
\nhttps:\/\/attack.mitre.org\/..<\/a>
\n– SigmaHQ, Reposit\u00f3rio de Regras
\nhttps:\/\/github.com\/SigmaHQ..<\/a>
\n– SigmaHQ, Guia de cria\u00e7\u00e3o de regras
\nhttps:\/\/github.com\/SigmaHQ..<\/a>
\n– https:\/\/uncoder.io\/<\/a>
\n– Matt Bromiley, SANS ,
\n“Detecting Malicious Activity in Large Enterprises”
\nhttps:\/\/www.sans.org\/..<\/a><\/p>\n<\/div>\n