Table of Contents
Uma Abordagem Estrutural para a Coleta de Inteligência de Ameaças Cibernéticas
Para defender sua organização contra ameaças cibernéticas, é necessário ter uma compreensão clara do cenário atual de ameaças. Isso implica em uma constante ampliação do conhecimento a respeito de novas e persistentes ameaças.
Existem várias técnicas que analistas podem utilizar para coletar inteligência de ameaças cibernéticas. Vamos considerar cinco dessas técnicas que podem melhorar significativamente suas investigações sobre ameaças.
1. Pivotando em Endereços IP de C2 para Identificar Malware
Endereços IP utilizados por malware para se comunicar com seus servidores de comando e controle (C2) são indicadores valiosos. Eles não apenas ajudam a atualizar suas defesas, mas também a identificar infraestruturas e ferramentas relacionadas a atores de ameaças.
A técnica de pivotação permite que analistas encontrem contextos adicionais sobre a ameaça em questão com um indicador existente.
Para realizar pivotação, analistas utilizam várias fontes, incluindo bancos de dados de inteligência de ameaças que armazenam grandes volumes de dados frescos sobre ameaças e oferecem capacidades de pesquisa. Um instrumento útil é o Threat Intelligence Lookup da ANY.RUN. Este serviço permite que você pesquise em seu banco de dados usando mais de 40 parâmetros de consulta diferentes, como:
- Indicadores de rede (endereços IP, nomes de domínio)
- Caminhos de registro e do sistema de arquivos
- Nomes de ameaças específicos, nomes de arquivos e hashes
O ANY.RUN fornece dados associados aos indicadores ou artefatos em sua consulta, juntamente com sessões de sandbox onde os dados foram encontrados. Isso ajuda os analistas a identificar um certo indicador ou a combinação deles com um ataque específico, descobrir seu contexto e coletar inteligência de ameaças essencial.
Para demonstrar como isso funciona, vamos usar o seguinte endereço IP como parte de nossa consulta: 162[.]254[.]34[.]31. No seu caso, o indicador inicial pode vir de um alerta gerado por um sistema SIEM, de um feed de inteligência de ameaças ou de uma investigação.
A aba de visão geral mostra os principais resultados da nossa pesquisa |
Submeter o endereço IP ao TI Lookup instantaneamente nos permite ver que este IP está vinculado a atividades maliciosas, além de informar que a ameaça específica utilizada com este IP é o AgentTesla. O serviço exibe domínios relacionados ao indicador, bem como portas utilizadas pelo malware ao se conectar a este endereço.
Regra do Suricata IDS vinculada ao IP consultado indica exfiltração de dados via SMTP |
Outras informações disponíveis incluem arquivos, objetos de sincronização (mutexes), ASN e regras do Suricata acionadas que foram descobertas em sessões de sandbox envolvendo o IP em questão.
Sessão de sandbox listada como um dos resultados no TI Lookup |
Podemos também acessar uma das sessões de sandbox onde o IP foi detectado para revisar todo o ataque e coletar informações relevantes adicionais, além de reanalisar a amostra para estudá-la em tempo real.
2. Usando URLs para Expor a Infraestrutura dos Atores de Ameaça
Examinar os domínios e subdomínios pode fornecer informações valiosas sobre URLs utilizadas para hospedagem de malware. Outro uso comum é a identificação de sites utilizados em ataques de phishing. Websites de phishing frequentemente imitam sites legítimos para enganar usuários a inserir informações sensíveis. Ao analisar esses domínios, analistas podem descobrir padrões e desvelar a infraestrutura mais ampla utilizada pelos atacantes.
URLs que correspondem à nossa consulta para a infraestrutura de hospedagem de payloads do Lumma |
Por exemplo, o malware Lumma é conhecido por usar URLs que terminam em “.shop” para armazenar cargas maliciosas. Ao submeter este indicador ao TI Lookup juntamente com o nome da ameaça, podemos nos aprofundar nos últimos domínios e URLs utilizados nos ataques do malware.
3. Identificando Ameaças por TTPs Específicos do MITRE
O quadro MITRE ATT&CK é uma base de conhecimento abrangente sobre táticas, técnicas e procedimentos (TTPs) de adversários. Utilizar TTPs específicos como parte de suas investigações pode ajudá-lo a identificar ameaças emergentes. Construir seu conhecimento sobre ameaças atuais contribui para a sua preparação contra ataques potenciais no futuro.
Os TTPs mais populares nos últimos 60 dias, exibidos pelo Portal de Inteligência de Ameaças da ANY.RUN |
A ANY.RUN fornece um ranking ao vivo dos TTPs mais populares detectados em milhares de amostras de malware e phishing analisadas no sandbox da ANY.RUN. Podemos escolher qualquer um dos TTPs e submetê-lo para pesquisa no TI Lookup para encontrar sessões de sandbox onde suas instâncias foram encontradas. Como mostrado acima, combinar T1552.001 (Credenciais em Arquivos) com a regra “Rouba credenciais de Navegadores Web” permite identificar análises de ameaças que praticam essas atividades.
4. Coletando Amostras com Regras YARA
YARA é uma ferramenta utilizada para criar descrições de famílias de malware com base em padrões textuais ou binários. Uma regra YARA pode procurar por cadeias específicas ou sequências de bytes que sejam características de uma determinada família de malware. Essa técnica é altamente eficaz para automatizar a detecção de malware conhecido e para rapidamente identificar novas variantes que compartilham características semelhantes.
Serviços como TI Lookup fornecem uma busca YARA embutida que permite que você carregue, edite, armazene e utilize suas regras personalizadas para encontrar amostras relevantes.
A pesquisa usando uma regra YARA para XenoRAT revelou mais de 170 arquivos correspondentes |
Podemos usar uma regra YARA para XenoRAT, uma família de malware popular usada para controle remoto e roubo de dados, para descobrir as últimas amostras dessa ameaça. Além dos arquivos que correspondem ao conteúdo da regra, o serviço também fornece sessões de sandbox para explorar esses arquivos em um contexto mais amplo.
5. Descobrindo Malware com Artefatos de Linha de Comando e Nomes de Processo
Identificar malware através de artefatos de linha de comando e nomes de processo é uma técnica eficaz, mas pouco comum, uma vez que a maioria das fontes de inteligência de ameaças não fornece tais capacidades.
A base de dados de inteligência de ameaças da ANY.RUN se destaca por obter dados de sessões de sandbox ao vivo, oferecendo acesso a dados de comandos reais, processos, modificações de registro e outros componentes e eventos registrados durante a execução do malware no sandbox.
Resultados do TI Lookup para a pesquisa de linha de comando e processo relacionados ao Strela stealer |
Como exemplo, podemos usar uma string de linha de comando utilizada pelo Strela stealer juntamente com o processo net.exe para acessar uma pasta em seu servidor remoto chamada “davwwwroot”.
O TI Lookup fornece inúmeras amostras, arquivos e eventos encontrados em sessões de sandbox que correspondem à nossa consulta. Podemos usar as informações para extrair mais insights sobre a ameaça que enfrentamos.
Integre a Inteligência de Ameaças Lookup da ANY.RUN
Para acelerar e melhorar a qualidade de seus esforços de pesquisa sobre ameaças, você pode usar o TI Lookup.
A inteligência de ameaças da ANY.RUN é oriunda de amostras enviadas para análise no sandbox por mais de 500.000 pesquisadores em todo o mundo. Você pode pesquisar nesse enorme banco de dados utilizando mais de 40 parâmetros de busca.
Para saber mais sobre como melhorar suas investigações de ameaças com o TI Lookup, participe do webinar ao vivo da ANY.RUN no dia 23 de outubro, às 14:00 GMT (UTC +0).
Achou este artigo interessante? Este artigo é um conteúdo contribuído por um de nossos parceiros valiosos. Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
#Cibersegurança #InteligênciaDeAmeaças #Malware #Hacking #SegurançaDigital
Fonte:https://thehackernews.com/2024/10/5-techniques-for-collecting-cyber.html