Como investigar atividades suspeitas usando Threat Hunting?

Como investigar atividades suspeitas usando Threat Hunting?

Neste artigo a Bunker Cyber Security quer compartilhar um pouco do conhecimento adquirido sobre um dos pontos chave na anatomia de um ataque atualmente, e algumas informações importantes na defesa e mitigação de uma ação maliciosa.

Os ataques cibernéticos são uma ameaça constante para as empresas e organizações que lidam com dados sensíveis e valiosos. Os invasores podem usar diversas técnicas para infiltrar-se nas redes, como phishing, malware, ransomware, entre outras.

Um dos pontos chaves que vai determinar a extensão do ataque cibernético e provavelmente o tamanho do prejuízo/barulho é a movimentação lateral e em contrapartida o tempo que a empresa atacada leva para detectar e responder a isso.

No final do dia, se um invasor consegue acesso à uma estação de trabalho através de um phishing e se mantém somente ali, provavelmente, os danos seriam insignificantes comparado se a partir desta estação o invasor conseguir acesso administrativo em vários servidores e credenciais do ambiente.

Para evitar que isso aconteça, é preciso adotar medidas de cibersegurança que garantam a proteção e a integridade dos dados e dos recursos. Uma dessas medidas é o Threat Hunting, que consiste em uma atividade proativa de busca e identificação de ameaças potenciais ou ocultas na rede, antes que elas causem algum impacto negativo.

O Threat Hunting envolve o uso de ferramentas, técnicas e conhecimentos especializados para coletar, analisar e interpretar dados e evidências de possíveis ataques. O objetivo é detectar e neutralizar os invasores o mais rápido possível, reduzindo os riscos e os prejuízos.

No processo de resposta à incidentes, existem algumas informações que são ótimas para entender o escopo do incidente, entretanto, é importante saber que nesse universo de dados existem algumas informações que são vitais para você conseguir parar o ataque de forma adequada.

As principais informações que precisamos são:

  • Host de Origem
  • Conta de Usuário utilizada no ataque
  • Nome do processo / técnica utilizada pelo Threat Actor (para movimentação lateral e persistência)
  • Hosts que foram acessados

O objetivo deste artigo, é compartilhar algumas técnicas de Threat Hunting que podem ser implementadas para monitoração de comportamentos críticos, se realizados por algum invasor.

Vale lembrar, nem todo o output que você obter através dos comandos abaixo significa que existe um ataque em andamento. Muitas vezes, existem softwares de deployment, scripts legítimos em uso pela organização que se utilizam de técnicas similares. Também é importante dizer que os exemplos abaixo são uma pequena amostra do que vemos no dia a dia e estão longe de representar todas as formas de threat hunting necessárias para obter sucesso na operação.

É só uma degustação 😉

Abaixo, vamos aos casos de uso utilizando a plataforma de investigação da Crowdstrike:

Exemplo 1 – Acesso a pastas compartilhadas, incluindo drive C$

Query:

Exemplo 2 – Execução de comandos vai WMI

Query:

Exemplo 3 – Execução de código remoto via WinRM:

PowerShell Remoting

Evil-WinRM

Query:

Exemplo 4 – Comandos executados via PSEXEC

Query:

Exemplo 5 – Conexões SSH realizadas – Utilizando variável de ambiente

ssh user1234@10.101.52.170

Query:

Exemplo 6 – Conexões SSH recebidas – Utilizando conexões de rede

ssh user1234@180.101.88.251

Query:

Exemplo 7 – Conexões RDP Realizadas

Query 1:

Query 2:

Exemplo 8 – Criação de serviços remotos

Query:

Exemplo 9 – Criação de tarefas agendadas remotas

Query:

Exemplo 10 – Execução de código remoto via PAExec

Query:

Exemplo 11 – Execução de código remoto via CrackMapExec

Query 1:

Query 2:

Exemplo 12 – Logon de usuários, mostrando o IP de Origem, Destino

Exemplo 13 – Logon de usuários, filtrando pelos diferentes hosts de Origem utilizados por tal conta

Exemplo 14 – Logon de usuários, filtrando pelos diferentes hosts acessados por tal conta

Exemplo 15 – Quantidade de logons realizados por cada usuário

Exemplo 16 – Total de logons via RDP, realizados por cada usuário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *