Pular para conteúdo

Caso de Uso

A maioria dos malwares tentarão estabelecer algum tipo de conexão à rede, conectar-se a um comando e controlar o servidor para dar maiores instruções, ou extrair dados de um computador. Enquanto várias táticas podem ser usadas pelos malwares para evitar que sejam detectados pelos motores de verificação de antivírus, em muitos casos, um analista com acesso a todo o tráfego da rede a partir do dispositivo, pode identificar essas conexões às redes suspeitas e analisá-las para buscar sinais de atividade maliciosa.

Use isso quando você for capaz de configurar uma solução de análise de tráfego em linha, por exemplo, usando um dispositivo com hotspot WiFi funcionando com Raspberry Pi, como em algumas ferramentas sobre as quais falamos no presente percurso. Outras opções podem incluir usar portas TAP ou SPAN para capturar o tráfego de todos os usuários de uma rede local, como num espaço de escritório.

Nota para os alunos: este subtópico presume que você tenha acesso ao Raspberry Pi. Se não for este o caso, você pode pular e passar ao próximo.

Objetivos

Após concluir este subtópico, os profissionais deverão ser capazes de fazer o seguinte:

  • Falar com o cliente sobre a abordagem de análise de tráfego sugerida, não esquecendo de explicar o processo, os riscos e as limitações da ação
  • Selecionar uma ferramenta de análise de tráfego apropriada e implementá-la usando as configurações de hardware ou software pertinentes
  • Investigar e entender quais conjuntos de regras ou heurísticas estão sendo usadas por cada abordagem de análise de tráfego de rede e entender seus pontos fortes e fracos
  • Ler os resultados de fluxos de rede sinalizados e ser capaz de efetuar uma triagem para saber quais resultados requerem investigações aprofundadas ou ações de remediação de risco

Conteúdo

Em vez de procurar por arquivos e processos que estão sendo executados num dispositivo, os malwares também podem ser identificados pelas comunicações que iniciam com a rede ou às quais respondem. Esta abordagem oferece várias vantagens em comparação à análise com base no dispositivo, pois é difícil para um malware evitar estabelecer comunicações com a rede num dado momento e, em alguns casos, você poderá até mesmo investigar vários dispositivos ao mesmo tempo.

Captura de Tráfego usando um Raspberry Pi

Nesta seção, vamos ver duas ferramentas: o pacote de ferramentas PiRogue e SpyGuard. Ambas essas ferramentas requerem hardware adicional (um computador pequeno e barato, chamado Raspberry Pi e um cartão SD).

‼️ Após ter assimilado os conhecimentos sobre uma dessas duas ferramentas, você deve ser capaz de:

  • Instalar a ferramenta selecionada no cartão SD do Raspberry Pi e efetuar as configurações iniciais
  • Acessar o painel de controle da ferramenta
  • Conectar os dispositivos ao hotspot WiFi
  • Identificar os dispositivos conectados ao hotspot (se vários dispositivos forem conectados ao mesmo tempo)
  • Ler e interpretar as descobertas suspeitas e selecionar quais requerem investigações aprofundadas ou medidas de remediação de risco
  • Avançado: configurar o logging e as notificações na ferramenta selecionada
  • Avançado: Efetuar a captura do tráfego para investigações aprofundadas

Pacote de Ferramentas PiRogue

O pacote de ferramentas PiRogue é um conjunto de ferramentas que transforma o Raspberry Pi numa estação de análise de malware. Foi desenvolvido pela Defensive Lab Agency. Serve como roteador intermediário, que fica entre o dispositivo que você suspeita estar infectado e a internet, e captura e analisa todos os servidores e serviços com os quais o dispositivo infectado tenta se comunicar. Isto pode ser usado para identificar atividade de malware potencial.

Se você estiver interessado em utilizar estas ferramentas, consulte a excelente documentação fornecida pelo autor. Recomendamos que comece com o guia de principiantes, que fala sobre como configurar o PiRogue e como conduzir a sua primeira análise.

SpyGuard

Uma ferramenta alternativa, chamada SpyGuard, também pode ser executada no Raspberry Pi ou outro dispositivo Linux e também funciona como roteador intermediário. Em contraste com o Pacote de Ferramentas PiRogue, que se concentra principalmente nas análises de rede mais avançadas, o SpyGuard se concentra em verificar o tráfego da rede para buscar IoCs conhecidos e comportamento potencialmente suspeito, como o estabelecimento de contato com domínios registrados recentemente ou o uso de portas inabituais. Spyguard é uma ramificação de um outro projeto chamado TinyCheck, que foi originalmente concebido por um abrigo de mulheres francesas para detectar vestígios de stalkerware (um malware usado para espiar as pessoas de forma não consensual, muitas vezes instalado por parceiros abusivos) nos dispositivos móveis. Porém, as suas capacidades se expandiram e ele agora pode ser usado para testar muitos outros tipos de malware. Você pode ler um pouco mais sobre o SpyGuard na sua página github.

Outras Abordagens

Firewalls de saída

Usar um dispositivo de firewall ‘barulhento’, que pede permissão para cada processo que solicite o envio do tráfego internet é uma forma útil, porém incômoda de identificar os processos que estão fazendo conexões à rede e, potencialmente, identificar comunicações suspeitas. Isto requer um nível de familiaridade com processos comuns na plataforma da sua escolha, a fim de identificar processos não suspeitos, assim como a capacidade de pesquisar por blocos de IP e efetuar consultas de DNS. Deixar isto ativo no computador de um cliente pode nem sempre ser a melhor ideia, pois é difícil investigar adequadamente cada processo, contudo, como profissional da segurança digital, é útil saber realizar este trabalho e pode valer a pena fazer isso no seu próprio dispositivo ou quando estiver investigando o dispositivo de um cliente. Alguns firewalls de endpoint nesta categoria incluem:

  • MacOS
  • Windows
    • PortMaster (Open Source, versões Gratuita/Paga disponíveis, com funcionalidade de histórico/investigação de rede)
    • GlassWire (Proprietário, versões Gratuita/Paga disponíveis)
  • Android
    • NetGuard (Open Source Gratuito/versão Freemium disponível com captura/histórico de tráfego)
    • AFWall+ (Open Source, Gratuito)
  • Linux

Firewalls de saída podem ser difíceis de entender à primeira vista. A relação sinal-ruído está longe de ser a melhor, e nós primeiramente recomendamos que trabalhe junto de pessoas que possuem a devida experiência com tais ferramentas antes de contar com eles para a sua própria análise.

Análise de Tráfego de Terceiros

O tráfego pode ser capturado e filtrado ou analisado por terceiros. Um dos serviços semi-automatizados é o Emergency VPN, executado pelo projeto Civilsphere na Czech Technical University. Um perfil VPN pode ser gerado e instalado em qualquer plataforma. Após ter-se conectado ao VPN e ter deixado correr o tráfego no dispositivo durante 24 horas, o serviço Emergency VPN enviará automaticamente uma análise gerada automaticamente que sinalizará quaisquer descobertas iniciais. Subsequentemente, o tráfego do dispositivo será retido e analisado manualmente por um analista, e um relatório manual será enviado caso alguma descoberta maliciosa tenha sido feita. Esta é uma forma de terceirizar as habilidades de análise quando necessário. Certifique-se de que você o seu cliente entendem as consequências à privacidade e esteja confortável com riscos relacionados à captura externa de tráfego.

Se você tiver um momento para fazer isso e estiver confortável com as consequências em termos de privacidade ao compartilhar os seus dados com a equipe Emergency VPN, recomendamos que você leia mais sobre o serviço, utilize-o durante alguns dias e analise os dados que receberá depois. Após ter feito isso, você deve ser capaz de:

  • Entender como funciona o serviço Emergency VPN
  • Solicitar um perfil Emergency VPN e instalá-lo na sua plataforma selecionada
  • Ler e entender o primeiro relatório automatizado Emergency VPN e analisar os resultados para identificar quaisquer descobertas suspeitas para conduzir investigações mais aprofundadas

Em outros casos, se você estiver trabalhando com um analista externo, ele pode pedir que você execute um processo VPN semelhante ou que execute um utilitário para que possa capturar o tráfego da rede, geralmente num arquivo PCAP (Packet CAPture), para compartilhamento e revisão externa.

Análise Manual de Tráfego & Monitoramento Organizacional

Se você estiver disposto a levar esta habilidade ainda mais adiante, você precisará desenvolver habilidades sobre captura de tráfego, filtragem e análise, usando ferramentas como Suricata, Zeek, e Wireshark. Veja abaixo alguns recursos sugeridos para aprender mais sobre isso:

Considere também aprender sobre as implantações organizacionais de tais ferramentas em diversas categorias, por exemplo, usando Security Onion, pfsense/Opensense, AC-Hunter CE, RITA, e Wazuh.

Entender: Limitações & Privacidade

Assim como com tudo o que é abordado nesta trilha de aprendizagem, existem pontos fortes e fracos em cada método de detecção de malware, e eles somente serão eficazes de usados em conjunto com as capacidades e a experiência adequadas, e por vezes requerem acesso aos canais certos de ameaças ou ao conjunto de regras. A análise da rede não é diferente.

A abordagem de análise de tráfego combina regras rigorosas como este IP é conhecido por ser malicioso, juntamente a regras mais heurísticas como tráfego de saída inabitual a um novo IP ou uso inesperado de porta/protocolo. Devido ao fato de a antiga abordagem basear-se nos IoCs, ela pode apenas identificar malwares bem conhecidos e documentados. Enquanto a abordagem heurística mais recente pode ser capaz de identificar um novo malware, ela muitas vezes requer capacidades de análise adicionais para capturar e examinar manualmente o tráfego numa ferramenta como Wireshark, ao mesmo tempo em que usa regras adicionais e IoCs para caçar ameaças específicas. Diversos recursos para aprender habilidades de análise adicionais estão adicionados em links na tabela de recursos abaixo.

Alguns malwares mais sofisticados podem extrair dados ou servidores de contato de formas bem sutis e ocultas, o que muitas vezes complica a análise.

Entenda também que a interceptação do tráfego no dispositivo de um cliente pode expor atividades online ou outras informações privadas sobre a pessoa. A maioria do tráfego do dispositivo terá codificação TLS; isto significa que um analista não seria capaz de captar mensagens privadas ou senhas. Ainda assim, existe uma quantidade substancial de informações privadas que podem ser capturadas, incluindo os serviços que uma pessoa usa, os domínios que visita e, potencialmente, as páginas sensíveis que pesquisa ou os serviços que utilizam. Algumas ferramentas mostrarão fluxos de tráfego ao vivo num painel de controle enquanto a ferramenta está sendo utilizada, e isso pode, potencialmente, trazer à tona informações privadas numa configuração de grupo. Certifique-se de que o seu cliente entende o processo que você está propondo e trate das informações coletadas com o máximo de confidencialidade e OPSEC.

Teste de capacitação

Configure o PiRogue num Raspberry Pi e verifique o tráfego de um dispositivo. Idealmente, este deveria ser um dispositivo de teste no qual você instalou um monte de aplicativos aleatórios. Tente entender os resultados e os alertas que o PiRogue está dando. Anote ao menos três diferentes tipos de resultados, explique o que você pensa que significam e fale sobre eles com o seu mentor ou colega.

Recursos de aprendizagem

Documentação sobre o Pacote de Ferramentas Pirogue

Grátis

A documentação sobre o pacote de ferramentas PiRogue.

Idiomas: Inglês
Visitar Site

Guias sobre o Pacote de Ferramentas Pirogue

Grátis

Guias adicionais sobre o Pacote de Ferramentas Pirogue.

Idiomas: Inglês
Visitar Site

SpyGuard wiki

Grátis

A documentação para o SpyGuard.

Idiomas: Inglês
Visitar Site

Análise de Tráfego de Malware

Grátis

Um recurso adicional com amostras de arquivos PCAP para os que desejarem ir mais além na sua jornada de desenvolvimento e aperfeiçoamento das habilidades de análise de tráfego.

Idiomas: Inglês
Visitar Site

Emergency VPN

Grátis

Um projeto por CivilSphere, que lhe permite conectar-se a um VPN especial que coleta os dados de conectividade à internet do seu dispositivo e faz um compilado de relatórios sobre eles.

Idiomas: Inglês
Visitar Site

Curso de Treinamento para a Caça às Ameaças

Grátis

Um curso gratuito de um dia sobre a análise e a interpretação dos dados de rede para a caça às ameaças.

Idiomas: Inglês
Visitar Site

Curso sobre monitoramento da segurança da rede com Suricata

Grátis

Um curso gratuito sobre como usar Suricata, uma ferramenta open source de detecção de ameaças frequentemente utilizada.

Idiomas: Inglês
Visitar Site

Firewalls de saída

A maioria é gratuito ou possui versões gratuitas

Um firewall de saída é um programa instalado num computador que analisa todo o tráfego deixado e todos os servidores aos quais se conecta. Apesar de ser capaz de coletar muitos dados, a proporção sinal/ruído também pode ser pior do que com outras ferramentas.

Idiomas: Vários
Visitar Site
  • macOS:
  • Windows:
    • PortMaster (Open Source, versões Gratuita/Paga disponíveis, com funcionalidade de histórico/investigação de rede)
    • GlassWire (Proprietário, versões Gratuita/Paga disponíveis)
  • Android:
    • NetGuard (Open Source Gratuito/versão Freemium disponível com captura/histórico de tráfego)
    • AFWall+ (Open Source, Gratuito)
  • Linux:

Plataformas de Caça às Ameaças

Grátis

Aqui, nós apresentamos diversas plataformas que usam dados para detectar possíveis ameaças dentro de um sistema.

Idiomas: Vários
Visitar Site