Pode acontecer com qualquer empresa. Você pode ter um software de segurança robusto implementado no ambiente e, mesmo assim, uma ameaça escapar. Muitas vezes isso acontece em alguma vulnerabilidade que você não considerou tão importante ou simplesmente ignorou. E essa pode ser uma péssima experiência, uma situação que a maioria dos profissionais de segurança já enfrentou e detesta admitir.
O que você vai ler agora é uma história para servir de lição, mas com um lado bom. É um caso de threat hunting: uma prática de segurança em que você procura ameaças que conseguiram superar as defesas
e se esconderam no ambiente. É um tópico que estamos destacando em nosso relatório mais recente,
o Cisco Cybersecurity Series, Hunting for Hidden Threats (busca de ameaças ocultas): como incorporar threat hunting ao programa de segurança. Porque ninguém quer ser pego por uma ameaça, mas isso pode acontecer.
Conheça o John
Tudo começou uma noite em casa. Ao assistir à Netflix, John, cujo nome foi alterado para preservar sua identidade, percebeu que estava com problemas de screen tearing. Ele estava usando um home theater PC (HTPC) que ele mesmo tinha montado, e parecia que o dispositivo estava sobrecarregado pelo fluxo. O PC havia funcionado bem por anos, mas ele achou que o HTPC estava ficando velho e começou a pensar em trocá-lo.
O que ele não imaginou foi que estava ocorrendo cryptomining em segundo plano. Sem que John soubesse, uma ameaça tinha entrado na rede sem ser detectada. No entanto, essa ameaça estava começando a causar alguns efeitos colaterais.
Embora esses comportamentos possam ser explicados por outras causas, esse é um ótimo momento para fazer uma busca de ameaças. E é melhor começar uma busca testando uma suspeita ou uma teoria. Por exemplo, ao analisar os sistemas que exibem o screen tearing, pode ser cryptomining?
Em uma rede maior, você pode ter usuários relatando problemas estranhos como esse, que podem servir como base para uma busca. Computadores que ligam no meio da noite, será que é uma ameaça? Velocidades de upload com picos durante períodos curtos, será que é exportação de dados? Um servidor da Web periodicamente inacessível, será atividade de DDoS? Todos esses são bons pontos de partida.
Todas essas atividades podem ser explicadas por outros fatores não relacionados a ataques mal-intencionados. No entanto, threat hunting requer uma abordagem mais equilibrada: é melhor não pensar que cada um desses comportamentos anormais é causado por malware, mas também
é importante não descartar essa possibilidade rapidamente.
John optou por descartá-la. As implementações de segurança pareciam adequadas para uma pequena rede doméstica. Ele tinha um roteador com um firewall que incluía a inspeção profunda de pacotes (DPI); o HTPC estava em uma sub-rede diferente da usada para os dispositivos; e as proteções de endpoint estavam em pleno funcionamento e atualizadas. Bem, tudo estava no seu devido lugar, exceto esse HTPC.
Foi um erro grave. O HTPC estava executando Linux, e John acabou se tornando vítima da segurança por meio do pensamento de ofuscação. É uma situação em que ele precisava implementar uma nova política de segurança na rede para proteger os PCs com Linux.
O objetivo de fazer threat hunting
Isso faz parte da meta abrangente de threat hunting. Não se trata apenas de descobrir ameaças, mas também de implementar políticas e seguir diretrizes para fortalecer a postura de segurança. Na verdade, algumas das buscas mais bem-sucedidas podem não descobrir nenhuma ameaça. Em vez disso, elas identificam um ponto fraco no ambiente que precisa ser analisado.
John deveria ter desconfiado e iniciado uma investigação de threat hunting de cryptomining. No entanto, como nada estava sinalizando cryptomining, ele não fez nada. Por isso que é importante ter o log ativado. Você não pode detectar o que não consegue ver. Sem logs ou outras ferramentas de monitoramento ativadas, remitindo relatórios sobre os sistemas no ambiente, é difícil avaliar com precisão o nível de exposição.
A verdade é que a sorte ajudou na identificação da ameaça. E por ser um novo funcionário da Cisco, John teve a oportunidade de implantar o Cisco Umbrella na rede doméstica. Depois de mudar as configurações de DNS para os servidores do Umbrella e verificar os logs após quase um dia, a presença de uma ameaça era evidente. O Umbrella detectou uma atividade na rede que estava tentando se conectar a sites de cryptomining conhecidos.
Eventos de cryptomining (dados extraídos do Cisco Umbrella)
Após a busca
Como uma ameaça foi identificada, a busca começou a se transformar em limpeza. John rapidamente pegou um scanner antivírus Linux, instalou-o e executou uma verificação. Os resultados mostraram 6 instalações de cryptomining diferentes, espalhadas pelas pastas home e temp do navegador. John zerou as permissões de cada arquivo e os eventos de cryptomining desapareceram. Melhor ainda, screen tearing sumiu.
Depois de uma busca de ameaças, é importante estabelecer políticas para impedir que a ameaça volte e criar um guia ou uma automação para verificação futura. No caso de John, o Umbrella fez a verificação. Para fortalecer o HTPC, John formatou todo o sistema (para proteção), instalou uma distribuição de Linux mais focada em segurança e instalou o AMP for Endpoints.
Ao descobrir uma ameaça durante uma busca, também é importante fazer a verificação cruzada de outros sistemas para procurar sinais de atividades semelhantes. Reúna indicadores de comprometimento (IoCs), como os valores de hash dos arquivos de cryptomining, e verifique se aparecem em outros sistemas.
Uma observação interessante: enquanto John estava confiante de que estava livre de cryptomining nessa fase, ele pegou os seis arquivos de cryptomining e os executou por meio do VirusTotal. Cada arquivo retornou resultados ligeiramente diferentes, mas foi possível detectar assinaturas genéricas
de 5 e 6 mecanismos de antivírus, o que confirmou a classificação mal-intencionada.
O que surpreendeu John foi que, no dia seguinte, quando ele entrou no painel do AMP, descobriu que o AMP tinha 6 arquivos em quarentena no PC com Windows. John tirou os arquivos de cryptomining do HTPC, compactou-os e resolveu arquivá-los. No entanto, como ele analisou esses arquivos por meio do VirusTotal,
o AMP foi atualizado automaticamente. Os arquivos, que já tinham sido sinalizados como “desconhecidos”, agora eram conhecidos por serem mal-intencionados. O AMP retirou-os do arquivo e os colocou em quarentena, um fato interessante que destaca o potencial de uma solução de segurança integrada.
Lições aprendidas
Como resultado dessa experiência, a postura de segurança de John melhorou. No entanto, ele não é tão ingênuo para pensar que está 100% seguro. Desde o incidente, John verificou o ambiente em busca de IoCs publicados, usando ferramentas como a Cisco Threat Response, e ativou o log para verificar atividades anormais.
Quer admitamos ou não, o fato é que John poderia ser eu ou você. As ameaças podem ultrapassar nossas defesas. As consequências de ter uma ameaça oculta em uma grande rede podem ser muito maiores do que a do software de cryptomining em um único PC. É por isso que threat hunting é uma ferramenta tão importante em qualquer arsenal de segurança nos dias de hoje.
Quer obter mais informações sobre threat hunting? Confira nosso documento mais recente sobre o assunto, Hunting for Hidden Threats: Incorporating Threat Hunting Into Your Security Program (Busca de ameaças ocultas, como incorporar a busca de ameaças ao programa de segurança). Nele, abordamos mais profundamente a estratégia de threat hunting, explicando com mais detalhes o que ela é, como se compara a outras disciplinas de segurança e como começar a utilizá-la nas empresas. Baixe a cópia hoje mesmo!