Hoje iremos apresentar o fascinante mundo da Threat Intelligence. Embora não haja uma definição clara do conceito, esta pode ser a mais próxima: “conjunto organizado de dados sobre ataques ou ameaças”.
Vamos tentar ampliar esse vago conceito para entender melhor seu alcance e importância. Esses são serviços que preveem e relatam ameaças de forma proativa em tempo real, para que as empresas possam ser mais flexíveis na adaptação a um cenário de ameaças que muda rapidamente.
No mundo em que vivemos, a exposição contínua de organizações conectadas à Internet a inúmeros ataques e ameaças não é uma novidade. Qualquer dispositivo conectado, seja um telefone celular ou uma rede corporativa, sofre centenas de ataques ou tentativas de ataque diariamente.
Para entender melhor toda a cadeia de acontecimentos que surgem após um incidente de segurança, devemos prestar atenção a tudo. A inteligência de ameaças usa conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores e implicações sobre riscos existentes ou emergentes para os ativos de uma organização.
Assim, as informações disponíveis nas redes próprias de uma empresa podem ser complementadas, por exemplo, com relatórios de phishing, malware direcionado, atividade de botnets ou análise de amostras, entre outros dados.
Em busca do IoC mais relevante
O mais lógico quando falamos sobre um incidente de segurança de rede é que o dado mais relevante seja o endereço IP do cibercriminoso, que é chamado de IoC (Indicator of Compromise ou indicador de sistema comprometido).
Agora vamos imaginar um ataque de negação de serviço (DoS) em que técnicas de spoofing (ocultando o endereço de rede real) foram implementadas e que recebemos ataques de endereços IP de todo o mundo, mas que são apenas de computadores zumbis que fazem parte de uma botnet. Esse endereço IP seria importante?
Na verdade, o que seria importante saber é o mecanismo que foi estabelecido para realizar o ataque, por exemplo, em um ataque HTTP, um User Agent específico. Dessa forma, teremos conhecimentos mais reais ou mais importantes. Continua sendo um IoC, mas de maior valor do que um endereço IP.
Se focarmos o conhecimento da Threat Intelligence no mundo do malware, poderíamos falar do hash como o principal IoC, já que por meio dessa técnica matemática um arquivo é inequivocamente identificado. No entanto, ao longo do dia em nossos laboratórios, recebemos mais de 20.000 amostras "diferentes" de arquivos maliciosos. Na realidade, existem poucas variantes do mesmo malware, mas com características diferentes que tornam o hash do arquivo diferente. É por isso que os mecanismos antivírus não dependem exclusivamente de um conjunto de assinaturas de arquivos incluídos em uma “blacklist”, mas implementam técnicas de detecção avançadas com base no comportamento do malware.
Continuando com exemplos de malware, é comum encontrar elementos, principalmente os famosos casos de ransomware, que se conectam a uma central de controle remoto para receber instruções. Isso é o que chamamos de C&C (Command & Control). Quando um malware deseja se conectar à sua "sede", geralmente faz isso por meio de um endereço de Internet, um domínio. Para dificultar a vida dos pesquisadores, os cibercriminosos usam técnicas em que o domínio muda o endereço IP a cada poucos segundos, o que é chamado de Flast Flux. Em outras ocasiões, o malware não se conecta a um domínio específico, mas a uma expressão regular. Vejamos um exemplo: para criar um registro DNS para uma “sede” maliciosa, pode-se inventar o domínio “kino12345.com”.
As forças policiais internacionais trabalham para erradicar essas ameaças em conjunto com as empresas, em um processo denominado Incident Response ou Resposta a Incidentes. Quando um domínio malicioso é detectado, como no exemplo anterior “kino12345.com”, uma ação é executada para erradicá-lo.
O cibercriminoso não apenas cria esse domínio, mas também muitos outros do estilo “Kino*****. com”, com “*” sendo qualquer número aleatório. Desta forma, poderiam criar 99.999 domínios e configurar seu malware para que use qualquer um deles para encontrar o endereço do C&C ou “centro de comando”.
Nesse caso, o importante não é um domínio específico, pois pode demorar alguns minutos, mas sim conhecer o DGA ou algoritmo de geração de domínios utilizado pelo cibercriminoso para gerir o seu malware. Dessa forma, o DGA seria um bom IoC.
Rumo a uma visão 360º
Como sabemos, quando um incidente ou ataque é analisado, é necessário contar com uma visão de 360 graus de todo o cenário, incluindo todos os pequenos detalhes que podem esclarecer os fatos e, claro, ser capazes de nos defender contra ataques semelhantes.
Qual você acha que é o IoC ou indicador de comprometimento mais valioso? Longe de ser um endereço IP, um domínio, um caminho de escrita em um diretório ou um payload, o que há de mais valioso, que no final fará a diferença na análise de um ataque sofisticado, é a motivação do ataque.
Sempre vemos nas notícias que conhecidas empresas, grupos e organizações sofrem grandes ataques. Conhecer a parte técnica é nosso trabalho, mas conhecer a motivação e o "modus operandi" dos grupos criminosos pode ser muito mais eficaz judicialmente do que dados técnicos entre profissionais.
Outro ponto que deve ser analisado é o intercâmbio da Threat Intelligence ou informações sobre ameaças entre empresas e/ou países, mas isso pode ser discutido em outro post.