Pular para o conteúdo principal

Compartilhe

Airbnb

O Airbnb possui seu próprio sistema de cadastro interno. Porém, no momento do check-in, muitos anfitriões solicitam documentos e chegam a tirar fotos do hóspede segurando o documento.  O problema é que esses dados ficam armazenados diretamente no aparelho do anfitrião, sem qualquer garantia de proteção adequada. Essa prática levanta sérias dúvidas sobre a segurança da informação e a conformidade com a LGPD (Lei Geral de Proteção de Dados) . Além disso, há relatos de que dados pessoais são enviados para portarias de condomínios, ampliando ainda mais os riscos de exposição. O Airbnb precisa aprimorar urgentemente esse tipo de conduta, estabelecendo protocolos claros de proteção e armazenamento de dados. A ausência de respostas transparentes da empresa sobre o nível de segurança dessas práticas demonstra uma falha significativa na forma como a plataforma lida com informações sensíveis de seus usuários.
Postar um comentário
Leia mais

A Pirâmide da Dor

A Pirâmide da Dor

Atualização 17/01/2014
Estou atualizando este post para incluir uma versão ligeiramente revisada da Pirâmide. A única mudança real que fiz foi adicionar um novo nível para hashes. Eu também atualizei o texto para dar conta disso.  


Em 18 de fevereiro, a Mandiant abriu um grande buraco na barragem de inteligência da APT quando divulgou seu relatório APT1 traçando o perfil de um grupo comumente conhecido como Comment Crew. Seguiu-se uma pequena enxurrada de relatórios de outras entidades como a Symantec  (e esta ) e o DHS/FBI . A maior parte do furor sobre o relatório APT1 foi sobre suas descobertas sugerindo que APT1 é na verdade a Unidade 61398 do PLA. Este é um trabalho sólido e um avanço real na área de políticas públicas, mas fiquei muito mais animado com as informações técnicas detalhadas incluídas nos sete apêndices dos relatórios (não incluindo o apêndice do vídeo).

Depois de ver como esses indicadores estavam sendo aplicados, porém, percebi algo muito interessante: quase ninguém os está usando de maneira eficaz .  

Coloquei essa afirmação em negrito, porque é um pouco desafiador, e tenho certeza que vai surpreender muitos leitores. O objetivo de detectar indicadores é responder a eles e, uma vez que você possa responder a eles com rapidez suficiente, você negou ao adversário o uso desses indicadores quando eles estão atacando você. Nem todos os indicadores são criados iguais, porém, e alguns deles são muito mais valiosos do que outros.

A Pirâmide da Dor

Para ilustrar esse conceito, criei o que gosto de chamar de Pirâmide da Dor. Este diagrama simples mostra a relação entre os tipos de indicadores que você pode usar para detectar as atividades de um adversário e quanta dor isso causará quando você for capaz de negar esses indicadores a eles. Vamos examinar esse diagrama com mais detalhes.


Tipos de Indicadores

Vamos começar simplesmente definindo os tipos de indicadores que compõem a pirâmide:
  1. Valores de hash:  SHA1, MD5 ou outros hashes semelhantes que correspondem a arquivos suspeitos ou maliciosos específicos. Frequentemente usado para fornecer referências exclusivas a amostras específicas de malware ou a arquivos envolvidos em uma invasão.
  2. Endereços IP : É, hum, um endereço IP. Ou talvez um netblock.
  3. Nomes de domínio : pode ser um nome de domínio em si (por exemplo, "evil.net") ou talvez até um sub ou sub-subdomínio (por exemplo, "this.is.sooooo.evil.net")
  4. Artefatos de rede : observáveis ​​causados ​​por atividades adversárias em sua rede. Tecnicamente falando, cada byte que flui pela sua rede como resultado da interação do adversário pode ser um artefato, mas na prática isso realmente significa aquelas partes da atividade que podem tender a distinguir atividades maliciosas daquelas de usuários legítimos. Exemplos típicos podem ser padrões de URI, informações C2 incorporadas em protocolos de rede, valores distintos de agente de usuário HTTP ou SMTP Mailer, etc.
  5. Artefatos do host : observáveis ​​causados ​​por atividades adversárias em um ou mais de seus hosts. Mais uma vez, nos concentramos em coisas que tendem a distinguir as atividades maliciosas das legítimas. Eles podem ser chaves de registro ou valores conhecidos por serem criados por partes específicas de malware, arquivos ou diretórios descartados em determinados locais ou usando determinados nomes, nomes ou descrições ou serviços maliciosos ou quase qualquer outra coisa distinta.
  6. Ferramentas : Software usado pelo adversário para cumprir sua missão. Principalmente, serão coisas que eles trazem consigo, em vez de software ou comandos que já podem estar instalados no computador. Isso incluiria utilitários projetados para criar documentos maliciosos para spearphishing, backdoors usados ​​para estabelecer C2 ou crackers de senha ou outros utilitários baseados em host que eles possam usar após o comprometimento.
  7. Táticas, Técnicas e Procedimentos (TTPs) : Como o adversário realiza sua missão, desde o reconhecimento até a exfiltração de dados e em todas as etapas intermediárias. "Spearphishing" é um TTP comum para estabelecer uma presença na rede. "Spearphishing com um arquivo PDF com trojan" ou "... com um link para um arquivo .SCR malicioso disfarçado de ZIP" seriam versões mais específicas. "Descarregar credenciais de autenticação em cache e reutilizá-las em ataques Pass-the-Hash" seria um TTP. Observe que não estamos falando de ferramentas específicas aqui, pois existem várias maneiras de transformar um PDF em uma arma ou implementar o Pass-the-Hash.

A pirâmide explicada

Agora que temos uma ideia melhor do que são cada um dos tipos de indicadores, vamos dar uma olhada na pirâmide novamente. A parte mais larga da pirâmide é verde e o pináculo da pirâmide é vermelho. Tanto a largura quanto a cor são muito importantes para entender o valor desses tipos de indicadores. 

Valores de hash

A maioria dos algoritmos de hash calcula um resumo de mensagem de toda a entrada e gera um hash de comprimento fixo que é exclusivo para a entrada fornecida. Em outras palavras, se o conteúdo de dois arquivos varia mesmo em um único bit, os valores de hash resultantes dos dois arquivos são totalmente diferentes. SHA1 e MD5 são os dois exemplos mais comuns desse tipo de hash.

Por um lado, os indicadores de hash são o tipo de indicador mais preciso que você poderia esperar. As chances de dois arquivos diferentes terem os mesmos valores de hash são tão baixas que você quase pode descartar essa possibilidade completamente. Por outro lado,  qualquer  alteração em um arquivo, mesmo inconsequente, como inverter um bit em um recurso não utilizado ou adicionar um nulo ao final, resulta em um valor de hash completamente diferente e não relacionado. É tão fácil mudar os valores de hash, e há tantos deles por aí, que em muitos casos pode nem valer a pena rastreá-los.  

Você também pode encontrar os chamados hashes difusos , que tentam resolver esse problema calculando valores de hash que levam em conta as semelhanças na entrada. Em outras palavras, dois arquivos com apenas diferenças mínimas ou moderadas teriam valores de hash difusos que são substancialmente semelhantes, permitindo que um investigador observe uma possível relação entre eles.  Ssdeep é um exemplo de uma ferramenta comumente usada para calcular hashes difusos. Embora ainda sejam valores de hash, eles provavelmente se encaixam melhor no nível "Ferramentas" da Pirâmide do que aqui, porque são mais resistentes a mudanças e manipulações. De fato, o uso mais comum deles no DFIR é identificar variantes de ferramentas ou malware conhecidos, na tentativa de tentar corrigir as deficiências de hashes mais estáticos.

Endereços IP

Os endereços IP são literalmente o indicador mais fundamental. Com exceção dos dados copiados do disco rígido local e deixando a porta da frente em uma chave USB, você praticamente precisa ter algum tipo de conexão de rede para realizar um ataque, e uma conexão significa endereços IP. Está na parte mais larga da pirâmide porque há muitos deles. Qualquer adversário razoavelmente avançado pode alterar os endereços IP sempre que desejar, com muito pouco esforço. Em alguns casos, se eles estiverem usando um serviço de proxy anônimo como o Tor ou algo semelhante, eles podem alterar os IPs com bastante frequência e nem perceber ou se importar. É por isso que os Endereços IP são verdes na pirâmide. Se você negar ao adversário o uso de um de seus IPs, eles geralmente podem se recuperar sem nem mesmo perder o passo.

Nomes de domínio

Um degrau acima na pirâmide, temos os Nomes de Domínio (ainda verdes, mas mais claros). Estes são um pouco mais difíceis de mudar, porque para funcionar, eles devem ser registrados, pagos (mesmo que com fundos roubados) e hospedados em algum lugar. Dito isso, há um grande número de provedores de DNS por aí com padrões de registro negligentes (muitos deles gratuitos), portanto, na prática, não é muito difícil mudar de domínio. Novos domínios podem levar até um dia ou dois para serem visíveis em toda a Internet, portanto, eles são um pouco mais difíceis de alterar do que apenas endereços IP.

Artefatos de rede e host

Bem no meio da pirâmide e começando a entrar na zona amarela, temos os Artefatos de Rede e Host. Este é o nível, finalmente, onde você começa a ter algum impacto negativo no adversário. Quando você pode detectar e responder a indicadores nesse nível, você faz com que o invasor volte ao laboratório e reconfigure e/ou recompile suas ferramentas. Um ótimo exemplo seria quando você descobrir que a ferramenta de reconhecimento de HTTP do invasor usa uma string distinta de User-Agent ao pesquisar seu conteúdo da Web (desativado por um espaço ou ponto-e-vírgula, por exemplo. Ou talvez eles apenas coloquem seu nome. Não ria. Isto acontece!). Se você bloquear qualquer solicitação que apresente este User-Agent, você os forçará a voltar e passar algum tempo a) descobrindo como você detectou a ferramenta de reconhecimento eb) corrigindo-a. Claro, a correção pode ser trivial,  

Ferramentas

O próximo nível é rotulado como "Ferramentas" e é definitivamente amarelo. Neste nível, estamos tirando a habilidade do adversário de usar uma ou mais flechas específicas em sua aljava. Provavelmente isso acontece porque ficamos tão bons em detectar os artefatos de suas ferramentas de tantas maneiras diferentes que eles desistiram e tiveram que encontrar ou criar uma nova ferramenta para o mesmo propósito. Esta é uma grande vitória para você, porque eles precisam investir tempo em pesquisa (encontrar uma ferramenta existente que tenha os mesmos recursos), desenvolvimento (criar uma nova ferramenta, se possível ) e treinamento (descobrir como usar a ferramenta e tornar-se proficiente com ele). Você apenas custou a eles algum tempo real, especialmente se puder fazer isso em várias de suas ferramentas.

Alguns exemplos de indicadores de ferramentas podem incluir assinaturas AV ou Yara, se forem capazes de encontrar variações dos mesmos arquivos, mesmo com alterações moderadas. As ferramentas com reconhecimento de rede com um protocolo de comunicação distinto também podem se encaixar nesse nível, onde a alteração do protocolo exigiria reescritas substanciais na ferramenta original. Além disso, conforme discutido acima, os hashes difusos provavelmente cairiam nesse nível.

Táticas, Técnicas e Procedimentos

Finalmente, no ápice estão os TTPs. Quando você detecta e responde nesse nível, está operando diretamente nos comportamentos do adversário, não  contra suas ferramentas. Por exemplo, você está detectando os próprios ataques Pass-the-Hash (talvez inspecionando os logs do Windows) em vez das ferramentas que eles usam para realizar esses ataques. Do ponto de vista da eficácia pura, esse nível é o ideal. Se você for capaz de responder aos TTPs do adversário com rapidez suficiente, você os forçará a fazer a coisa mais demorada possível: aprender novos comportamentos .  

Vamos pensar um pouco mais sobre isso. Se você levar isso ao extremo lógico, o que acontecerá quando for capaz de fazer isso em uma ampla variedade de diferentes TTPs do adversário? Você dá a eles uma das duas opções:  
  1. Desistir, ou
  2. Reinventam-se do zero
Se eu fosse o adversário, a opção nº 1 provavelmente pareceria bastante atraente para mim nessa situação.

Uso Eficaz dos Indicadores APT1

Agora que cobrimos todo esse histórico, podemos finalmente voltar nossa atenção para os indicadores APT1. Eu disse que quase ninguém estava fazendo uso efetivo deles. O que eu quis dizer com isso e o que constitui "uso efetivo"?

O que eu quis dizer é que vejo muita discussão sobre a longa lista de nomes de domínio incluídos no Apêndice D (e, em menor grau, os domínios e IPs incluídos nos relatórios do DHS/FBI e da Symantec também).  Seth Hall , do projeto Bro-IDS, até lançou um módulo Bro bacana que você pode usar para pesquisar esses domínios no tráfego de sua rede.  

Tudo isso é bom e adequado, mas não vi muita discussão centrada nos dados que eles forneceram sobre o comportamento das próprias ferramentas do Comment Crew. O Apêndice A é um despejo de dados gigante de algumas informações muito boas sobre artefatos de host e rede para mais de 40 ferramentas conhecidas por serem usadas por este grupo.  

A Emerging Threats publicou um conjunto de assinaturas do Snort que abrangem muitas delas, e tenho certeza de que muitos de nós já produzimos as nossas próprias, mas acho curiosa a falta de atenção a elas. Talvez as regras do ET já estejam atendendo às necessidades de todos e não haja necessidade de falar sobre elas? Mais provavelmente, porém, acho que muitas organizações não revisaram adequadamente os relatórios para indicadores de detecção.

Sempre que você receber novas informações sobre um adversário (seja APT1/Comment Crew ou qualquer outro ator de ameaça), analise-as cuidadosamente contra a Pirâmide da Dor.  Para cada parágrafo, pergunte a si mesmo: "Há algo aqui que eu possa usar para detectar a atividade do adversário e onde isso cai na pirâmide?"  Claro, pegue todos esses domínios e IPs e use-os se puder, mas lembre-se de que a quantidade de dor que você causa a um adversário depende dos tipos de indicadores que você pode usar e crie seu plano de acordo.
Enviar esta postagem

Comentários

Postar um comentário

Como usar um Agente OSINT IA

Pericia Digital

Ebook

Postagens mais visitadas