Para os que ainda não estão familiarizados com o termo, IoC se refere a Indicator of Compromise, que em tradução livre significa Indicadores de Comprometimento. Esse termo é utilizado em computação forense para designar artefatos computacionais que apontem para uma intrusão.

A minha explicação sobre esses indicadores é que eles são pistas encontradas em vários lugares, dentro e fora de nossas redes que indicam se houve algum tipo de violação, ou se estão havendo tentativas de comprometimento.

A coleta desses indicadores pode ser feita de diversas formas. Procurarei abordar neste artigo três fontes de indicadores que são mais facilmente encontradas na maioria dos ambientes de rede, bem como três fontes externas, uma que forneça indicadores diretamente e uma que permite a consulta de eventuais indicadores encontrados.

E-mails

Os e-mails são fontes preciosas de indicadores de comprometimento já que muitas ameaças se propagam através deles, sejam por SPAM ou por campanhas direcionadas de Phishing. As duas modalidades são populares no Brasil.

Para encontrar os indicadores de forma mais completa será necessário analisar um pouco mais sobre a estrutura da mensagem, começando pelo cabeçalho. Independentemente de quem o remetente pareça ser, o cabeçalho mostrará quem ele realmente é, pois, guardará o IP dos servidores de origem, bem como o endereço real de e-mail do atacante.

Em seguida é possível analisar o corpo da mensagem em busca de links, as propriedades do link mostrarão para qual site ele redirecionará e as informações deste domínio são valiosas para regras de bloqueio.

Caso o e-mail contenha anexos, eles também deverão ser analisados. Caso sejam arquivos legíveis por editores de texto, também é possível extrair informações como e-mails, IPs, URLs, hashes, chaves de registro, carteiras de bitcoins, etc.

Se o arquivo anexo não for legível é possível analisá-lo ou extrair as impressões digitais dele através de seu hash, ambas nos trazem indicadores de comprometimento, mas são bem distintas entre si.

Hashing

Pontos positivos:

  • rápido de ser executado, mesmo em larga escala;
  • funciona da mesma forma com qualquer arquivo.

Possíveis dificuldades:

  • produz apenas um indicador de comprometimento por tipo de hash;
  • se torna obsoleto rapidamente pois qualquer alteração interna na ameaça fará com que o hash seja diferente.

Análise

Pontos positivos:

  • mostra indicadores que não se alteram tão facilmente como IPs de servidores, endereços de e-mail e URLs;
  • permite identificar o comportamento das ameaças;
  • permite identificar possíveis regiões de atuação baseado na estrutura e eventuais comentários identificados na amostra.

Possíveis dificuldades:

  • processo não intuitivo;
  • pode ser mais trabalhoso quando há tentativa de ofuscação no processo de criação da ameaça;
  • apesar de ser possível automatizar costuma ser um processo demorado;
  • exige grande conhecimento técnico.

Possibilidades de utilização:

Regras de Firewall, IDS, IPS, filtros de e-mail, filtros de navegação.

Log de navegação

Muitas ameaças utilizam requisições web para concluir suas tarefas e analisar esse histórico é uma fonte de informações valiosa, porém, os logs que guardam esse tipo de requisições são muito extensos.

Tão extensos que analisá-los manualmente, sem nenhum tipo de tratamento, é totalmente inviável pois é necessário validar a reputação de cada um dos sites encontrados, seja por controles internos ou ferramentas disponíveis na Internet.

Como destacado, as próprias URLs/IPs são por si só indicadores e podem levar a destinos que contém arquivos maliciosos, sendo possível seguir os mesmos caminhos citados anteriormente sobre análise e hashing.

Possibilidades de utilização: Regras de Firewall, filtros web.

Análise de rede interna e externa no firewall

O último ponto que mencionarei neste artigo sobre coleta de indicadores será o Firewall, pois costuma ser uma das primeiras soluções de segurança adotadas por um ambiente que busca evolução referente a segurança da informação.

Apesar da quantidade de ataques ser mais expressiva na parte externa da rede é importante olhar sempre os dois aspectos, pois uma ameaça já pode estar presente no ambiente sem que se tenha identificado sua entrada.

Por receber uma quantidade de logs muito elevada, também é interessante desenvolver ou utilizar ferramentas que automatizem a coleta e validação dos IPs. Algumas soluções de firewall já contam com um sistema de aprendizado e detecção de ameaças que pode ser muito útil para o ambiente.

Como o tipo de firewall que estou mencionando é o mais tradicional (camada 3), os indicadores produzidos por ele serão os IPs e portas identificados.

Possibilidades de utilização: Regras de Firewall, IDS, IPS.

Além das fontes internas que podem prover diversos indicadores, também é possível obtê-los de fontes externas. Claro que não serão indicadores totalmente direcionados para a realidade da empresa, mas como ainda assim apontarão para possíveis ameaças, estas fontes externas podem ser muito úteis para o incremento da segurança de qualquer ambiente.

Ao contrário do que possa parecer, eles não são difíceis de encontrar, quase todos os canais digitais que falam sobre segurança da informação, como o caso do próprio WeLiveSecurity, publicam informações sobre ameaças e falam sobre esses indicadores.

Para tornar a vida um pouco mais simples, existem também sites que concentram grandes quantidades de IoCs, ou que possuem mecanismos de busca para que os administradores pesquisem se determinado artefato se refere a uma ameaça ou não. Comecemos então pela fonte gratuita de IoCs.

IoCs fora da rede

A fonte de disponibilização de IoCs é o blog Malware Traffic Analysis, que se mantém constantemente atualizado, no qual é possível encontrar análises sobre vários malwares, disponibilizadas em ordem cronológica. Boa parte das análises contém um arquivo IOC, que pode ser utilizado para incrementar as regras de proteção do ambiente como citei anteriormente.

Agora, caso você já possua indicadores que precisem ser validados, existem alguns sites excelentes para consulta como: Vírus Total e o Alien Vault, ambos funcionam de forma bem similar, basta que se insira o IoC no campo de busca para que eles tragam informações detalhadas, caso o IoC seja reconhecido como vinculado a alguma ameaça.

Sabemos que um monitoramento constante, seguido de ações de melhorias na segurança, sempre auxilia ambientes de rede a evitarem diversos tipos de ameaça. Esperamos que este conhecimento possa contribuir para esse desenvolvimento também em seu ambiente.

Créditos da imagem: Rombla/Flickr