Dicas e táticas de segurança cibernética dos atuais Threat Hunters

Ter capacidade de realizar Threat Hunts internas está se tornando uma necessidade para muitas organizações. Aqui estão as buscas mais comuns e como responder a incidentes.

realizar threat hunt internas necessidade para organizações - dicas e táticas contra incidentes

O Threat Hunt não é mais algo exclusivo para as grandes organizações. Como o ataque da SolarWinds demonstrou, empresas de qualquer tamanho podem ficar vulneráveis ​​a invasores furtivos que invadem suas redes. Mesmo que uma empresa não tenha ativos do interesse de espiões estrangeiros, há outros atores com interesse que podem afetar seus negócios, como os cibercriminosos com motivação financeira, que podem usar os mesmos pontos de acesso e de entrada para ataques e técnicas de evasão.

De acordo com o Relatório de custo de uma violação de dados de 2020 da IBM, uma organização leva em média 315 dias para detectar e conter uma violação causada por um ataque malicioso. Quanto mais tempo os invasores permanecem dentro de seus sistemas, mais dinheiro isso custa. De acordo com a IBM, isso custaria às empresas mais US $ 1,12 milhão se levarem mais de 200 dias para detectar uma violação.

Como resultado, mais empresas estão contratando caçadores de ameaças, treinando o pessoal existente em técnicas de caça às ameaças ou contratando empresas externas para fornecer os serviços de Threat Hunt. “O Threat Hunt é absolutamente necessário na defesa cibernética moderna”, diz Mark Orlando, cofundador e CEO da Bionic Cyber, instrutor do SANS Institute e que trabalhou anteriormente em questões de segurança para o Pentágono, Casa Branca e para o Departamento de Energia dos Estados Unidos.

“Quando comecei nas operações de segurança, Threat Hunting parecia legal, mas era algo que apenas as equipes mais avançadas faziam”, diz Orlando. “Era opcional, mas agora você tem essas violações de alto perfil que não teriam sido descobertas a menos que você tivesse investigadores qualificados que sabem como caçar essas ameaças. Agora há um alerta de que Threat Hunt não seja mais opcional.”

Dicas para aprimorar os recursos de Threat Hunt

Ele admite que é difícil encontrar caçadores de ameaças experientes, especialmente para empresas de pequeno e médio porte. “Mas há muitas coisas que uma organização de menor porte pode fazer para começar. Não é algo que você tenha ou não – é um continuum.”

Se algo como o SolarWinds acontecer, ele diz, tudo o que precisamos é sermos capazes de ler os relatórios, pensar sobre o que aconteceu, avaliar como essas ameaças podem aparecer em sua organização e, em seguida, aplicar esse conhecimento. “É só isso – o segredo é apenas começar”, diz Orlando. “Isso tende a ser um desafio para organizações de médio e pequeno porte.”

As empresas também podem trazer consultores ou prestadores de serviços ou treinar sua equipe existente, diz Orlando. “Isso é algo que pode ser um investimento mínimo, mas pode realmente valer a pena tornando você mais resistente a esses tipos de ataques.”

Não são apenas as equipes de segurança que podem se beneficiar. “Se você tem equipes de desenvolvimento de software e administradores de sistema, certifique-se de que eles estejam atualizados sobre as ameaças cibernéticas modernas”, diz Orlando. “Eles estão na linha de frente da manutenção de outros sistemas e software como SolarWinds, e podem ter boas condições para identificar algo que não parece certo. “

O que Threat Hunters fazem

Os caçadores de ameaças sempre têm algo a fazer, mas eles realmente entram em ação quando há um indicador de comprometimento. Talvez, como no caso da FireEye, os ativos corporativos apareçam à venda na dark web. Ou talvez uma empresa descubra indicadores de que os invasores usaram o software SolarWinds comprometido como ponto de entrada. Talvez seja um alerta de um sistema de detecção de intrusão ou um honeypot, ou até mesmo um fornecedor quando reclamar que o dinheiro que você enviou nunca chegou. Pode ser algo grande e óbvio, como um ataque de ransomware.

Os caçadores de ameaças determinam a extensão da ameaça, encontram o ponto de entrada inicial e o fecham, e encontram e desligam quaisquer backdoors ou bombas-relógio que possam ter sido instaladas para que os invasores possam ser totalmente eliminados do ambiente.

Aqui estão alguns exemplos de como eles fazem isso.

Verifique as execuções automáticas

Muitos sistemas têm uma função de “execução automática” – um conjunto de instruções que é executado toda vez que o dispositivo é ligado. Por exemplo, se o malware for detectado em um computador e excluído, uma execução automática pode reinstalá-lo.

Verificar os conjuntos de instruções de execução automática não só garante que o malware não volte, mas também é uma maneira de detectar atividades suspeitas em um sistema. “Em uma rede corporativa, haverá milhares dessas coisas”, diz Orlando. “Todo computador terá essa lista. Se você conseguir reunir essa lista todos os dias e compará-la de um dia para o outro, poderá começar a pegar coisas incomuns ou que não parecem certas.” Isso pode exigir um pouco de habilidade. “Você nem sempre sabe o que precisa procurar”, diz ele.

Também requer planejamento. Os caçadores de ameaças não podem vasculhar os registros que não existem ou que os invasores modificaram para cobrir seus rastros. As empresas precisam fazer cópias dos logs e armazená-los em um local seguro, como um SIEM, para que estejam disponíveis se necessário posteriormente.

Descobrir o que manter é um desafio, diz Orlando. “Você quer ter toda a visibilidade e obter todos os registros e dados de rede, mas, ao mesmo tempo, em uma rede moderna, isso é potencialmente uma tarefa muito difícil. Estamos gerando toneladas e toneladas de dados todos os dias. Nem sempre é financeiramente viável apenas coletar tudo. “

Ultimamente, os invasores têm usado autoruns de forma mais inteligente, para executar malware sem nunca instalar nada. Isso tem aparecido na recente onda de ataques que alavancaram a vulnerabilidade do Microsoft Exchange, diz John Hammond, pesquisador de segurança sênior da Huntress. “Muitas vezes, o que víamos após o comprometimento do servidor Exchange era um ransomware, mas o que era ainda mais comum eram os mineradores de criptomoeda”, diz ele. “É uma maneira mais lenta de ganhar dinheiro em comparação com o ransomware barulhento e flagrante imediato.”

Por ser um método lento, o malware deve ser muito bem escondido. Ele cita um exemplo recente de um cliente do governo local. “Eles estão cientes das notícias e viram um tráfego estranho”, diz Hammond. Alguns alertas vinham de uma máquina, mas nenhum malware foi instalado. Em vez disso, descobriu-se que os invasores haviam enterrado seu malware como uma boneca russa “matrioska” dentro de um arquivo de execução automática.

Neste caso, um script do Visual Basic ofuscado geraria um script PowerShell que usava codificação hexadecimal para ocultar o fato de que estava alcançando um endpoint online, puxando o código e invocando-o em tempo real, sem nunca instalá-lo no computador. A peça final do quebra-cabeça foi o criptominer Lemon Duck, diz Hammond.

“Nessa situação específica, havia cinco camadas em que ele invocava um novo código em tempo real”, diz Hammond. “Eventualmente, no sexto estágio, encontramos o código real. Esse é o malware sem arquivo. Os invasores não vão tocar no disco; eles vão empacotá-lo como uma cebola.”

Depois disso, a equipe encontrou algumas outras máquinas com a mesma infecção. “Estava funcionando há alguns dias”, diz Hammond. “Nossa recomendação foi remover o autorun , limpar o cpu e removê-lo da órbita.”

Extraia o cache de compatibilidade de aplicativos

Uma grande empresa de manufatura suspeitou que pode ter sido alvo de invasores. Tim Bandos, CISO e VP de serviços gerenciados de segurança da Digital Guardian, diz que as primeiras pegadas descobertas estavam no cache de compatibilidade de aplicativos de um endpoint. Esta é uma chave de registro do Windows que basicamente mantém um registro dos programas executados em um dispositivo. “O cliente tinha 90.000 terminais”, diz ele. “Verificamos o cache de compatibilidade de aplicativos em cada dispositivo e procuramos quaisquer ferramentas adversas conhecidas.”

Houve um ataque – um ano e meio atrás, um programa suspeito foi executado em um dos dispositivos de endpoint. “Encontramos dez máquinas que executaram esse programa na mesma data”, diz Bandos, sinal de que o adversário tinha conseguido um acesso e estava se movendo lateralmente. “Então, encontramos mais indicadores. Eles até instalaram backdoors naquele ano e meio, enquanto permaneciam disfarçados.”

Ao retirar e analisar a primeira ameaça (thread), diz Bandos, sua equipe descobriu um ataque que ainda estava em andamento, no qual os atacantes haviam comprometido mais de 70 máquinas ao todo, instalado vários tipos diferentes de backdoors em 22 dispositivos e já haviam roubado dados. “Foi impossível determinar tudo o que foi levado”, diz ele, “mas conseguimos encontrar exemplos de segredos comerciais que foram roubados. Conseguimos identificar os atacantes, um adversário de Estado-Nação da China.”

Sua equipe também rastreou a infecção até o ponto inicial. “Foi um tipo de ataque à cadeia de suprimentos”, diz Bandos. “Houve um dispositivo de envio que foi violado, um dispositivo que eles nem mesmo gerenciavam, mas estava em sua rede. Foi aproveitado para se inserir em seu ambiente.”

É vital acompanhar a ameaça de volta à sua origem, não apenas para fechar o ponto de entrada original, mas também para determinar para onde mais eles podem ter ido desde a infecção inicial. “Certifique-se de ter todos os sistemas, de que não haja nenhuma outra máquina infectada”, diz Bandos. “Então você tem o seu evento de neutralização – você desliga todos os hosts envolvidos naquela campanha ao mesmo tempo, para que não haja backdoors abertos, e reinstala esses sistemas a partir de re-imagem, assim todos os dispositivos que contém a ameaça são completamente neutralizados , apagados e retornam à produção.”

Procure por e-mails encaminhados

As caixas de correio são alvos maravilhosos para invasores, incluindo a gangue por trás do hack do SolarWinds. Com uma conta de e-mail comprometida, os invasores podem se inserir no meio das conversas, aumentando drasticamente as chances de cliques em seus e-mails de phishing. Alguns sistemas de autenticação multifator permitem a entrega de senhas de uso único por e-mail ou permitem redefinições de senhas baseadas em e-mail, permitindo que os invasores aproveitem essas contas de e-mail para obter acesso a ainda mais sistemas.

O comprometimento do e-mail é um grande negócio. De acordo com o FBI, os crimes cibernéticos aumentaram 300% no ano passado, com o total de perdas relatadas excedendo US $ 4,2 bilhões – e os golpes de comprometimento de e-mail comercial foram a maior categoria de crimes. Para manter esses golpes o máximo possível, os invasores usam um truque: encaminhamento de e-mail.

A maioria das plataformas permite que os e-mails sejam encaminhados automaticamente para outras contas. Os invasores podem usar isso para continuar a bisbilhotar as conversas e tornar seus próprios e-mails fraudulentos mais verossímeis. Às vezes, eles o usam para encobrir atividades criminosas em andamento, diz Willis McDonald, diretor técnico da Nisos e ex-especialista forense do FBI.

McDonald tem caçado ameaças em empresas de todos os tamanhos, em instituições financeiras e em agências governamentais em todo o mundo, e muitas vezes é chamado quando as empresas suspeitam de atividade fraudulenta. Uma vez, o caso recente era uma grande empresa de manufatura com escritórios em todo o mundo que suspeitava de um problema em seu departamento de contas a pagar. “Eles estavam adquirindo materiais de muitos países diferentes e fornecedores estrangeiros”, diz ele. Isso tornava mais fácil para um indivíduo ocultar sua atividade criminosa, desviando os pagamentos de um desses fornecedores para suas próprias contas.

“Depois de alguns meses, o fornecedor contatou o CFO e o CFO investigou, percebeu que não havia sido pago e nos chamou para investigar”, disse McDonald. Eles já tinham um suspeito – o funcionário de contas a pagar. “Essa pessoa estava um pouco mais nervosa do que deveria.”

O criminoso tomou algumas precauções para cobrir seus rastros, diz ele. À primeira vista, parecia que algum invasor externo aleatório tinha feito isso. “Eles queriam ter certeza de que tinham a pessoa certa.”

A pista inicial para o verdadeiro perpetrador estava na conta de e-mail de um supervisor para encaminhar os e-mails reais do fornecedor e apagá-los, para que o bandido pudesse substituí-los por e-mails falsos de uma conta fictícia. Como McDonald soube olhar nas configurações de encaminhamento? “Em muitos desses acordos, os maus atores vão todos para a mesma escola”, ele afirma.

Ele quer dizer isso literalmente: os criminosos podem ter aulas reais que os ensinam como cometer esse tipo de fraude. “Monitoramos algumas idas e vindas entre os tutores e os alunos, vimos que tipo de passos eles estavam dando”, diz McDonald.

Os criminosos podem encontrar tutores na dark web, diz McDonald, bem como outros serviços de que precisam para realizar as fraudes, como mulas de dinheiro. Isso significa que os criminosos costumam seguir o mesmo manual. “A desvantagem, para o criminoso, é que todos executam as mesmas etapas, na mesma ordem, e são assustadoramente semelhantes entre si”, diz ele. “Pode ser muito fácil começar a puxar os fios.”

Uma tática comum que os ladrões usam para estender seus golpes é interceptar e-mails dos destinatários legítimos do dinheiro. Digamos que um e-mail reclamando do não recebimento de um pagamento seja interceptado e encaminhado ao criminoso, e o original apagado. O criminoso então enviaria um e-mail de substituição de uma conta falsa que se parece com a real, confirmando que o pagamento foi recebido e escrito em um estilo e formato para corresponder ao legítimo.

Isso é exatamente o que aconteceu neste caso. O ladrão registrou um domínio semelhante ao do fornecedor, configurou uma conta de e-mail falsa e, em seguida, acessou clandestinamente a conta de e-mail do supervisor e configurou o encaminhamento. O plano do criminoso era parecer uma parte externa em um esquema de comprometimento de e-mail comercial.

Agora, os Threat Hunters tinham um fio para puxar. Eles descobriram que o ladrão configurou a conta fictícia usando seu próprio computador de trabalho. “Eles tentaram deletar as evidências, mas havia vestígios em seu computador.” As empresas geralmente terão registros de quem estava conectado a um sistema quando o encaminhamento foi configurado, de modo que os criminosos também possam ser rastreados dessa forma. Ou pode haver câmeras de segurança mostrando quem teve acesso ao computador no momento do comprometimento.

Ajuda se as empresas tiverem acesso total aos dispositivos dos funcionários, diz McDonald. “Em muitos lugares com políticas de traga seu próprio dispositivo (BYOD), essas políticas não têm os dentes necessários para realmente ser capaz de examinar o dispositivo se ele foi usado para fins suspeitos mal-intencionados.” Quer o funcionário esteja envolvido ou seja uma vítima, a investigação forense do dispositivo pode ajudar a descobrir o que realmente aconteceu. “É importante revisar as políticas que você tem e certificar-se de que elas têm o que você precisa para examinar os dispositivos se algo estranho estiver acontecendo.” Isso é especialmente importante com tantas pessoas trabalhando em casa.

Este criminoso também tentou cobrir seus rastros financeiramente. O pagamento redirecionado foi enviado para uma conta fantasma, uma mula de dinheiro. Em vez de contratar uma mula anônima na dark web, eles usaram um amigo de um parente.

Se o ladrão evitou usar o computador de trabalho, ainda há maneiras de capturá-lo. “Existem maneiras de trabalhar com a aplicação da lei e obter mais informações do provedor de hospedagem”, diz McDonald. Se os endereços IP rastreiam a casa de um funcionário ou um café local, isso é uma indicação de que os bandidos não são criminosos aleatórios do outro lado do planeta, mas alguém próximo e ao alcance das autoridades.

O ataque da SolarWinds acrescentou uma nova ruga ao esquema da caixa de correio, diz McDonald. Algumas empresas têm servidores Outlook ou Exchange duplicados, auto-hospedados ou em algum lugar na nuvem. Esses servidores legados tendem a ser ignorados, diz ele. “Eles são tão barulhentos com varreduras externas e ataques fracassados ​​ao longo do dia.” Ou pior, a empresa se esqueceu deles. Eles mudaram para o Office 365, mas deixaram um servidor instalado e funcionando porque, digamos, é onde o CEO sempre verifica seu e-mail e é assim que ele gosta.

“No incidente da SolarWinds, os invasores foram capazes de comprometer esses servidores Exchange, em sua maioria herdados, e usá-los para baixar caixas de correio e estender seu acesso a redes, em serviços hospedados como Office 365 ou AWS, com muito pouca indicação de como eles eram capazes de fazer isso “, diz McDonald.

Pense como um atacante

Outra estratégia que os caçadores de ameaças usam é se colocar no lugar do adversário, diz Steve Luke, principal engenheiro de sistemas multidisciplinar sênior da MITRE, que recentemente lançou seu programa de certificação MITRE ATT&CK Defender para caçadores de ameaças.

Considere as etapas pelas quais um invasor deve passar para obter os segredos comerciais da sua empresa, bancos de dados de clientes ou outros dados valiosos. “O que os invasores fazem no nível comportamental é mais limitado em número e mais difícil para o invasor alterar em comparação com os indicadores tradicionais de comprometimento, como nomes de domínio e endereços IP”, diz Luke.

Isso dá aos defensores uma certa vantagem de campo. “Concentre-se nas invariantes comportamentais e projete suas atenuações e mitigações em torno delas”, diz Luke. “Mesmo se eles mudarem a forma como estão fazendo, você ainda tem uma chance de detectá-la. Essa é a melhor chance que um caçador de ameaças tem de ter uma defesa resiliente.”

Pense como um atacante!

Posts relacionados: [Artigo] Guia da Elastic para Threat Hunting e As carreiras mais legais na área de Segurança da Informação, de acordo com a SANS

Informações obtidas/adaptadas de Tips and tactics of today’s cybersecurity threat hunters