Resposta - Derrubada de infraestrutura

Caso de uso

Nos módulos anteriores, nós estudamos como identificar infraestruturas que hospedam conteúdo malicioso — seja ele spam (conteúdo indesejado de envio em massa), malware, ou phishing (uma “isca” para “fisgar” a atenção de alguém). Uma vez que essa infraestrutura seja identificada com sucesso, nós precisamos alertar outras pessoas sobre essa ocorrrência. Neste módulo, falaremos sobre formas de denunciar conteúdo e comportamento abusivo e outros mecanismos de navegação segura e sinkhole (sumidouro). Eles incluem contatar o provedor de infraestrutura para denunciarmos o seu uso malicioso para que ela possa ser derrubada.

Você deve combinar essas técnicas e esforços com atividades maiores de resposta a incidentes e aproximação de comunidades que também podem ter recebido ataques direcionados provindos da mesma infraestrutura.

Objetivos

Após o estudo deste módulo, profissionais devem ser capazes de:

• Demonstrar um entendimento básico sobre o processo de denúncia e compilação de denúncias em bancos de dados;
• Identificar bancos de dados de denúncias que listam URLs e domínios suspeitos de serem maliciosos;
• Consultar informações e fazer submissões a tais bancos de dados;
• Identificar e usar mecanismos de denúncias de abuso de grandes provedores de infraestrutura.

Seção principal

Denunciando abuso em grandes provedores de serviços

Muitas ocorrências de infraestruturas maliciosas são hospedadas em grandes provedores de serviços preocupados em manter os seus sistemas seguros, estáveis, reputáveis, combatendo ameaças cibernéticas. Provedores de serviços responsáveis oferecem mecanismos efetivos de denúncia de abusos; usar esses mecanismos pode resultar em uma pronta derrubada de infraestruturas ativas.

Vamos aprender como encontrar e usar esses mecanismos de denúncia de abuso. Os contatos de equipes que recebem e gerenciam denúncias podem ser encontrados das seguintes formas:

• Consultando registros WHOIS de um domínio. Eles listarão um endereço de e-mail e número de telefone para denúncias.
• Buscando por contatos para denúncias de um endereço IP específico no RIPEstat.
• Usando um utilitário escrito em Python ou uma consulta de host (o hospedeiro, ou seja, aquele que hospeda a infraestrutura) como descrito em Abusix Abuse Contacts Database’s Getting Started (em inglês).
• Pesquisando em buscadores para encontrar contatos que podem não estar listados nos bancos de dados citados ou obtidos pelos mecanismos que mencionamos, como é o caso do Twilio e do Mailchimp.

Lembre-se, é possível que vários provedores de serviços estejam envolvidos com a atividade maliciosa que você está investigando. Por exemplo, uma página inicial utilizada como isca (para phishing) pode ser denunciada tanto para o serviço de hospedagem web quanto para o serviço de registro de domínios.

Agora vamos entender como escrever um relatório com todas as informações técnicas que você coletou. O seu relatório deve incluir detalhes suficientes para que o provedor ou provedores de serviço sejam capazes de identificar quais contas estão envolvidas com a distribuição de conteúdo malicioso. Isso pode incluir:

• URLs do conteúdo
• Endereços IP do conteúdo hospedado
• Qualquer outro identificador relevante para o serviço
• Quaisquer arquivos ou cópias do conteúdo
• Capturas de tela
• Cabeçalhos de e-mail, se relevantes
• Resultados positivos, ou outros indicadores de ameaça, após escaneamento de conteúdo
• De que forma o serviço ou recurso está sendo violado

Certifique-se de que você não está compartilhando informações sensíveis relacionadas a você ou aos clientes alvos do conteúdo malicioso.

Embora seja improvável que provedores de serviços compartilhem com você mais informações sobre a conta distribuindo conteúdo abusivo, você pode tentar requisitar mais detalhes caso isso seja útil para as suas investigações.

Em alguns casos, empresas de serviços de internet e tecnologia se esforçam para coordenar ações com a sociedade civil contra ataques direcionados e podem oferecer suporte adicional. Pode ser interessante falar com alguém membro do CiviCERT para pedir o contato de um funcionário da empresa para ajuda em investigações e respostas mais rápidas.

Note que, em muitos casos, a infraestrutura maliciosa está hospedada em contas comprometidas em servidores de entidades não-relacionadas ao ataque (por exemplo, uma conta do Google comprometida, um site invadido, ou um aparelho infectado controlado de forma coordenada por uma botnet — uma rede formada por robôs).

Se você está procurando por inspiração para escrever um e-mail para um provedor de infraestrutura, dê uma olhada nos modelos criados pela Access Now Helpline:

• Modelo de e-mail para o registrador de um domínio malicioso
• Modelo de e-mail para um provedor de hospedagem
• Modelo de e-mail para um cliente, pedindo a sua permissão para que você possa compartilhar Indicadores de Comprometimento (IoCs) com a comunidade

Navegação segura, sumidouros, e listas de bloqueio

Além de contatar equipes de combate à abuso para derrubar conteúdo malicioso, você pode usar vários mecanismos para submeter informações sobre infraestruturas maliciosas e outros indicadores maliciosos a bases de dado usadas por listas de bloqueio, que por sua vez são integradas em ferramentas e serviços populares.

O mesmo princípio se aplica a plataformas de redes sociais e mensagens, e elas dependem desses mecanismos de denúncia (e outros serviços de segurança complementares).

Vamos aprender sobre algumas dessas listas de bloqueio, onde elas são integradas, e como realizar submissões:

• Google Safe Browsing
• PhishTank
• Abuse IP DB
• Phishing Database (Envie submissões via GitHub)
• Algumas formas de denúncia de bancos de dados de ameaças mais específicas são oferecidas por abuse.ch e exigem autenticação para submissões, como URLhaus, ThreatFox, e SSL Blacklist.
• Denuncie iniciativas de phishing no Discord ao phish.gg (ou adicione um servidor ao serviço).

Atividade prática

• Encontre os contatos de equipes de combate à abuso de três empresas de hospedagem web, incluindo pelo menos uma grande plataforma de hospedagem (como AWS, GCP, Azure, Oracle Cloud, e Alibaba Cloud). Procure por quaisquer informações que eles oferecem em seus processos de denúncia de abuso.
• Investigue como bancos de dados de abuso e Google Safe Browsing funcionam. Liste as ferramentas e serviços que se integram a esses mecanismos.
• Crie um diagrama e uma lista contendo links e ações relevantes que devem ser tomadas caso se enfrente um incidente com uma infraestrutura maliciosa ativa.

Checagem de habilidades

Trabalhe com quem está te mentorando ou colegas que tenham alguma experiência na derrubada de infraestrutura maliciosa. Complete as seguintes tarefas com eles:

• Prepare todas as provas (endereços IP, hashes, domínios, e qualquer outra evidência) que você precisaria para submeter uma denúncia. Se você já tem um exemplo de infraestrutura maliciosa em mente, colete essas informações sobre essa infraestrutura. Se você não tem, colete essas informações de uma página legítima (mas não submeta uma denúncia). Discuta essas informações com o seu par ou mentor — eles verificarão se você coletou as informações certas e as documentou de forma adequada.

• Explique como provedores de navegação segura, bancos de dados de abuso, e listas de bloqueio funcionam. Se você tem um exemplo de infraestrutura maliciosa acessível, submeta-o para um banco de dados ou provedor. Se você não tem, visite a página de um provedor e revise o processo de submissão com o seu mentor ou par, explicando como você prepararia as informações requisitas sem submetê-las.

• Peça para que o seu mentor ou par liste três provedores de hospedagem web, serviços em nuvem, entre outros. Para cada um deles, encontre os contatos ou mecanismos de denúncia.

• Converse com o seu mentor ou par sobre os riscos estratégicos e pessoais de se iniciar uma derrubada, compartilhar dados sobre os seus clientes, e potencialmente alertar um atacante de uma análise crítica sobre o seu ataque. Escreva uma cena em que você comunica essas considerações ao alvo do ataque.

Recursos de aprendizagem