search

🕵️Introdução ao Threat Hunting

Boas-vindas, viajante! Pega um cafezinho e senta que lá vem conhecimento. Nesse artigo, falo de forma bem resumida e breve sobre o Threat Hunting e seus benefícios no mundo cibernético.

hashtag
Resumo

Bom, como o próprio nome sugere, o conceito de Threat Hunting nada mais é que buscar, de forma proativa, por possíveis ameaças circundando um ambiente tecnológico através dos logs, antes que tais ameaças venham a causar um grande impacto em uma organização.

hashtag
Análise de logs

events_2023-01-09_14.log
2023-01-09T14:30:00.123456+00:00 log_id=123456 src_ip=192.168.1.10 src_port=53214 dst_ip=203.0.113.1 dst_port=443 action=allow protocol=tcp duration=5 policy_id=789 policy_name=Internet_Access service=http bytes_sent=1024 bytes_received=2048 status=success

Para que possamos efetivamente encontrar alguma ameaça, precisamos saber o que procurar, onde procurar e como procurar. A partir da disposição de hipóteses - ou seja, suposições de que determinado tipo de ataque possam estar deixando rastros em uma rede -, podemos realizar a busca proativa nos logs analisados. Abaixo, podemos ver alguns exemplos do que podemos caçar em um ambiente monitorado:

  • Eventos de adição de usuários em grupos administrativos (Windows)

  • Potenciais varreduras de portas realizadas por endereços de IP externos (Redes)

  • Ameaças identificadas por um antivírus que não foram limpas (Antimalware)

  • Tentativas de execução remota de código em URLs de requisições maliciosas (Web)

  • Etc etc etc.

circle-info

Perceba que estamos falando de uma vasta gama de tecnologias. Realizar um bom Hunting exige o melhor background possível no máximo possível de tecnologias. Você não pode proteger aquilo que não conhece.

hashtag
MITRE ATT&CK

Existe uma base de conhecimento mundialmente utilizada por profissionais de segurança, denominada MITRE ATT&CKarrow-up-right. Santo ATT&CK. Através desse projeto, podemos associar diversos tipos de ataque a determinadas táticas, técnicas, categorias e sub-categorias, para que formas específicas de detecção sejam modeladas e que identifiquemos em qual estágio um ator malicioso provavelmente se encontra, de acordo com a Cyber Kill Chainarrow-up-right.

hashtag
Cyber Kill Chain

Cyber Kill Chain

A Cyber Kill Chain é um conceito militar que define a estrutura de um ataque. Esse conceito nos permite enxergar em qual estágio um ataque provavelmente se encontra. Dessa forma, conseguimos nos preparar para a provável próxima fase do ataque, impedindo que ele aconteça antes que haja um impacto significativo no ambiente. Por exemplo:

  • Se eu encontrei logs de uma possível varredura de portas no ambiente, posso constatar que o ator malicioso encontra-se no estágio de Reconnaissance:

Exemplo de port scanning - Nmap

  • Caso haja logs desse mesmo endereço de IP tentando subir algum arquivo malicioso a partir de um RFI (Remote File Inclusion) por exemplo, talvez ele esteja na fase de Weaponization (Armamento);

Exemplo de software malicioso - Mimikatz

Utilizando os conceitos do MITRE ATT&CK unificados aos conceitos da Cyber Kill Chain, conseguimos categorizar e identificar os estágios aos quais as ameaças se encontram.

hashtag
SIEM

Assim como para um SOC, um serviço de SIEM é estritamente necessário para o hunting. Através do SIEM, todos os logs dos sistemas monitorados podem ser normalizados e visualizados de forma mais legível e sumarizada.

Exemplo de SIEM - Security Information and Event Management

hashtag
Regras de detecção

Além dos SIEM, regras de detecção (ou "casos de uso") também são imprescindíveis, pois é através das regras que automatizamos buscas proativas já realizadas anteriormente. Com as regras já modeladas, podemos fazer com que alertas sejam gerados mediante a chegada de determinados logs.

As possibilidades de detecção são quase que infinitas. Podemos encontrar um IP malicioso tentando realizar um portscan, podemos encontrar um servidor de testes com uma porta aberta acidentalmente para a Internet, podemos descobrir que um computador foi vítima de ransomware, etc.

hashtag
Um exemplo prático

Um exemplo para detecção de varredura de portas é se um mesmo endereço de IP externo enviar requisições para 10 portas distintas de um mesmo ativo presente no seu ambiente, em um determinado período de tempo.

Exemplo de detecção de portscan - SIEM Splunk

Dessa forma, você consegue assegurar que qualquer próxima ocorrência de portscan será detectada pela sua regra e um alerta será disparado.

circle-info

Um defensor deve se preocupar com um milhão de brechas. Um atacante só precisa de uma.

Peace! ❤️arrow-up-right

PreviousFases macro de um ataqueNextLet's talk about Wazuh

Last updated