Exemplos de Hipóteses de Caça a Ameaças: Prepare-se Para uma Boa Caça!
Índice:
Uma boa hipótese de caça às ameaças é fundamental para identificar pontos fracos na infraestrutura digital de uma organização. Basta aprender a fazer as perguntas certas, e você obterá as respostas que procura. Neste post do blog, revisamos uma metodologia proativa de caça às ameaças: Caça às Ameaças Baseada em Hipóteses. Vamos mergulhar direto!
Detectar & Caçar Explorar Contexto de Ameaças
O que é uma Hipótese de Caça às Ameaças?
Uma hipótese de caça às ameaças é uma suposição informada sobre um ciberataque ou qualquer um de seus componentes. Assim como na pesquisa científica, na caça às ameaças baseada em hipóteses, os Caçadores de Ameaças fazem das hipóteses a base de suas investigações.
Uma vez feita a hipótese, um Caçador de Ameaças deve tomar medidas para testá-la. Na estratégia para testar a hipótese que grande parte do trabalho de caça às ameaças é completado (por exemplo, formar uma consulta útil muitas vezes demora mais do que sua execução). Isso frequentemente inclui identificar fontes de dados relacionadas (eventos de segurança, logs de sistema, etc.), técnicas de análise relevantes (consulta, contagem de pilha, etc.) e então agir sobre essa estratégia.
A hipótese de caça às ameaças facilita uma rotina de defesa cibernética proativa. Uma das muitas variantes desta última consiste em:
- Prever o comportamento do adversário
- Sugerir maneiras de encontrar uma ameaça
- Detectar anomalias, intrusões, acertos de base/limite
- Estudar a correlação de eventos
- Testar amostras em sandboxes, honeypots e ambientes emulados
- Documentar resultados
- Melhorar a proteção de ativos e infraestrutura
- Executar a mitigação
- Informar autoridades (se aplicável)
No geral, o sucesso da caça às ameaças depende muito de uma hipótese perspicaz, então vamos ver como fazer uma.
Como Gerar uma Hipótese para uma Caça às Ameaças?
Para facilitar no início, você pode pensar em hipóteses de caça às ameaças como histórias de usuário, mas da perspectiva do malware.
Hipótese de Caça às Ameaças #1
- Como um [script malicioso], quero [enviar uma solicitação via porta TCP 50050] para que eu possa [estabelecer conexão].
- Como um [zip infectado], quero [usar WMI] para que eu possa [manter persistência].
- Como um [código Javascript], quero [explorar BITSAdmin] para que eu possa [baixar módulos].
Alternativamente, vamos fazer uma hipótese da perspectiva de um atacante.
Hipótese de Caça às Ameaças #2
Como um APT37 (Coreia do Norte), quero atacar o governo dos EUA por razões políticas, então usarei Cobalt Strike em T1218.011, plantando rundll32 para execução de código malicioso por meio de proxy.
No entanto, não há um único modelo de formato “correto” para uma hipótese de caça às ameaças. Por exemplo, elas também podem ser mais complexas do que apenas uma frase. Para malware que executa uma cadeia de eliminação de múltiplos estágios, uma hipótese de caça às ameaças pode incluir alguns pontos.
Hipótese de Caça às Ameaças #3
Malware X:
Executa um comando via arquivo EXE
Importa e executa cmdlets PowerShell de uma fonte externa
Executa um binário .NET local
Usa função setenv() para adicionar a variável ao ambiente
Agora vamos avançar para exemplos mais complexos.
Hipóteses Avançadas de Caça às Ameaças
As hipóteses de caça às ameaças podem ser operacionais, como os exemplos acima, ou táticas e estratégicas. Caçadores de Ameaças experientes podem formular hipóteses mais amplas que ainda assim resultam em testes finamente direcionados. Para isso, precisam incluir:
- Expertise de domínio – ter experiência, compartilhar conhecimento
- Consciência situacional – conhecer infraestrutura interna, vulnerabilidades, ativos centrais
- Inteligência – coletar dados de inteligência sobre ameaças como IOCs e TTPs
Aplique tudo o que foi dito acima para formular uma hipótese profundamente analítica sobre quais sistemas os atacantes irão mirar e o que tentarão alcançar.
Por exemplo, um Caçador de Ameaças chamado Bob tem pesquisado alguns IOCs obtidos através de um feed de inteligência sobre ameaças. Tendo feito uma Análise das Joias da Coroa (CJA), ele sabe que a joia da coroa da empresa é o local onde armazenam algoritmos proprietários. Sua experiência em caças anteriores e uma conversa com a colega pesquisadora Alice permitem sugerir o comportamento mais provável do adversário em determinada situação. Então ele formula uma hipótese.
Hipótese de Caça às Ameaças #4
Atacantes que tentaram obter acesso inicial através de um e-mail de phishing realizarão movimento lateral e elevação de privilégio para chegar ao coração do sistema e exfiltrar dados.
As hipóteses também podem ser direcionadas não a predizer os passos futuros dos atacantes, mas a entender padrões, dependências e assim por diante. Em outras palavras, ver o quadro completo.
Onde eles têm seus servidores C2? Como eles os ofuscam? Como eles mantêm a persistência? Qual é a relação entre servidores específicos e várias campanhas de ataque?
Nesse caso, a cibersegurança não é apenas sobre ver problemas e rapidamente resolvê-los. Também é necessário fazer perguntas. Um pouco como o jornalismo investigativo com sua regra dos 5W:
- Who
- O que
- Quando
- Onde
- Why
Porque muitas vezes a situação é assim. Há vários eventos em vários lugares. Milhões de scripts, tarefas programadas, arquivos e ações de usuário. Todos eles fazem algo. Esses vários eventos podem ser estágios de uma cadeia de eliminação. Mas você não sabe disso porque um pedaço de malware se criptografou e se escondeu em algum lugar em um arquivo legítimo. Também roubou certificados, então ele se executa como parte do software respeitável que a empresa comprou. Você pode ter lidado com IOCs, mas não foi suficiente. A empresa pode estar sendo espionada, mas não há evidências concretas disso. Então, na superfície, nada catastrófico aconteceu. Uma hipótese ajudará a identificar um ataque sofisticado ou provar sua ausência.
Hipótese de Caça às Ameaças #5
Um ator de ameaça patrocinado por um estado A usa os mesmos servidores C2 que o ator de ameaça B, então eles podem fazer parte do mesmo botnet. Eles usam uma infecção em pipeline de software e plantam malware com um período adormecido de 1-2 semanas antes de disparar reconhecimento que dura de 2-6 meses. Se nossa varredura mostrar dados ofuscados dentro de binários legítimos, devemos procurar sinais de estabelecimento de conexão com um servidor C2 para que possamos concluir que esses arquivos são malware.
Conclusão
A prática leva à perfeição, então não se preocupe se coisas como relatórios de ameaças e dados brutos parecerem um pouco ilegíveis para você no início. Aprenda disciplinas de ciência da computação como redes, linguagens de baixo nível e arquitetura de aplicações para se sentir mais confortável com termos específicos e valores numéricos (como números de portas, etc.). De qualquer forma, sempre há muita informação com que lidar – não se sinta desanimado se não entender tudo que encontrar. É praticamente impossível saber tudo, então usar o Google às vezes ajuda muito também.
Uma boa hipótese de caça às ameaças permite chegar a conclusões valiosas e prevenir possíveis ataques. Além disso, ajuda os Caçadores de Ameaças a examinar os dados certos no momento certo, em vez de ter que procurar em milhões de log por milhões de razões prováveis. Junte-se à nossa plataforma Detecção como Código para ter acesso a algoritmos de detecção em quase tempo real compatíveis com mais de 25 soluções SIEM, EDR e XDR e buscar instantaneamente as ameaças mais recentes em seu ambiente.
