Conteúdo Interativo 2 - 12

Prévia do material em texto

Inteligência de Ameaças Cibernéticas
Aula 02: Visão geral do que é um Indicador de Compromisso
(IOC)
Apresentação:
Nesta aula, conheceremos mais o que é Inteligência de Ameaças Cibernéticas e um ponto crucial na geração de relatórios
sobre ameaças: os indicadores de compromisso (do inglês Indicators of Compromise, IOC).
Conheceremos os tipos de IOCs e também uma introdução aos sistemas Sandbox e os tipos de relatórios gerados.
Objetivos:
Identi�car o que são Indicadores de Compromisso (IOC – Indicators of Compromise), os tipos de IOCs que são
gerados e compartilhados;
Explicar como enriquecer os IOC com informações adicionais disponíveis na internet e também geradas pelos
sistemas Sandbox;
Descrever os IOCs e como podem ser utilizados para a geração de relatórios de inteligência.
 Ameaças cibernéticas (Fonte: Freepik).
Introdução a Indicadores de Compromisso
Na aula anterior, Introdução à Inteligência de Ameaças cibernéticas, tivemos uma breve visão do que é um Indicador de
Compromisso (do inglês Indicators of Compromise, IOC).
O termo indicadores de compromisso (IOC) abrange uma ampla variedade de dados, que podem ser usados para
identi�car atividades maliciosas dentro do sistema ou da rede da organização.
Esses indicadores são extremamente úteis porque muitas vezes fornecerão novos pontos de partida para que a área de
monitoração da organização possa veri�car se esses mesmos IOCs existem, indicando, em caso positivo, um possível
comprometimento.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Existem basicamente duas categorias de Indicadores de Compromisso:
a) Indicadores de Compromisso por Comportamento.
b) Indicadores de Compromisso Nominais.
Indicadores de Compromisso por Comportamento
Indicadores de Compromisso por Comportamento são aqueles gerados a partir de comportamentos maliciosos
encontrados na organização, mas que não são pontuais como uma lista de endereços IP, por exemplo.
Alguns exemplos de Indicadores de Compromisso por Comportamento:
Tráfego de rede:
Clique nos botões para ver as informações.
Por exemplo, tráfego com outros países nos quais não há um histórico ou necessidade. Se o seu site está no Brasil e
oferece serviços a seus clientes no Brasil, então um tráfego de rede com países do Leste Europeu não faz muito
sentido. Assim, esse tráfego merece ser estudado, sendo con�rmado ou não um possível compromisso.
Para regiões “estranhas” 
Por exemplo, sabemos que tráfego de DNS utiliza porta 53, HTTP porta 80, SSH porta 22 etc., então, tráfego de rede
HTTP utilizando porta 5533 pode ser um bom indicador a ser considerado.
Tráfego de rede em portas incomuns 
Por exemplo, tráfego web utiliza o protocolo HTTP, que necessita de campos chamados de cabeçalhos HTTP. A
ausência ou a má-formação de algum desses campos podem ser transformadas em um IOC para ser utilizado em
um futuro relatório.
Tráfego de rede que não esteja em conformidade com o padrão 
Indicadores de Compromisso Nominais
Indicadores de Compromisso Nominais são indicadores pontuais sobre um evento ou artefato que podem auxiliar
rapidamente outras áreas na organização na identi�cação de uma ameaça cibernética. Muitos desses indicadores podem
ser conseguidos por meio de dois tipos de ferramentas diferentes:
Ferramentas que analisam e capturam tráfego de rede, como:
1
Wireshark
Fornece interface grá�ca para visualização dos pacotes de
rede e funciona em Windows, Linux e Mac.
2
TCPDump
Aplicativo em linha de comando para análise de pacotes,
funciona em Linux e Mac.
3
Microsoft Message Analyzer
Ferramenta visual de captura e análise de pacotes da
Microsoft. Funciona em Windows.
4
Fiddler
Ferramenta visual para análise de tráfego. Tem como
especialidade o tráfego HTTP. Funciona em Mac, Linux e
Windows.
5
Network Miner
Ferramenta visual de análise de pacotes que tem como
especialidade a extração de artefatos, como arquivos,
imagens etc.
Ferramentas de Sandbox que executam arquivos em ambiente controlado:
1
Hybrid-Analysis
2
Analyz IO
3
Any Run
4
Vírus Total
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
 Texto essencial
 Clique no botão acima.
Exemplos de Indicadores de Compromisso Nominais
Endereço IP
o Exemplo: 8.8.8[.]8
Domínio/Subdomínio
o Exemplo: malware.cnn[.]com
Hash Criptográ�co
o Md5: c6cc8094c2dc07b700ffcc36d64e2138
o Sha-1: 4410d99cefe57ec2c2cdbd3f1d5cf862bb4fb6f8
o SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e
Tipo de Tráfego de Rede:
o IP 131.188.40[.]189 Porta 443 Protocolo TCP
Endereço URL
o 146.71.86.197:80 (g-wyatt[.]com) GET /wp-login.php GET /wp-login.php HTTP/1.1 Host: g-wyatt.com Accept: */*
Accept-Encoding: deflate, gzipUser-Agent: Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0
Criação/Remoção/Modi�cação em Chave de Registro no Sistema
Criação/Remoção/Modi�cação em Arquivos no Sistema
o 9BBCF372.exe" created file "%TEMP%\4KPV6A~1\lock" "9BBCF372.exe" created file "%TEMP%\4KPV6A~1\state.tmp"
"9BBCF372.exe" created file "%TEMP%\4KPV6A~1\unverified-microdesc-consensus.tmp" "9BBCF372.exe" created file
"%TEMP%\4KPV6A~1\cached-certs.tmp" "9BBCF372.exe" created file "%TEMP%\4KPV6A~1\cached-microdesc-
consensus.tmp" "9BBCF372.exe" created file "%TEMP%\4KPV6A~1\cached-microdescs.new"
Muitas vezes a informação pode chegar em forma de um arquivo de tráfego de rede ou simplesmente de um
arquivo binário. A partir daí o analista da área de CTI poderá recolher todos os IOCs importantes.
Importante: Uma regra geral para o uso de indicadores é promover o seu “desarme”. Muitas vezes, quando se
coloca um indicador em um software como Word em programas de troca de mensagens ou mesmo em e-mail,
eles podem transformar um IOC como um IP ou um endereço URL em algo “clicável”. Para evitar clicks acidentais,
inserimos os caracteres [ ] no último ponto de um endereço IP ou um URL. Por exemplo:
- sitedeexemplo[.]com 
- 8.8.8[.]8
Estudo de Casos
IOCs em Tráfego de Rede 1
No quadro a seguir, podemos ver dois trechos de um �uxo TCP que foi remontado para podermos analisá-lo:
CLIENTE:
GET /success.txt HTTP/1.1 
Host: detectportal.�refox[.]com 
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, de�ate
Cache-Control: no-cache
Pragma: no-cache
Connection: keep-alive
SERVIDOR:
HTTP/1.1 200 OK
Content-Type: text/plain
Content-Length: 8
Last-Modi�ed: Mon, 15 May 2017 18:04:40 GMT
ETag: "ae780585f49b94ce1444eb7d28906123"
Accept-Ranges: bytes
Server: AmazonS3
X-Amz-Cf-Id: b9jT5wwKsZORdbP3l0lpRdLA6SkNpkGMrgcC2udvcIt5LGrQkXUJJQ==
Cache-Control: no-cache, no-store, must-revalidate
Date: Fri, 19 Jul 2019 18:52:56 GMT
Connection: keep-alive
success
Uma análise passo a passo nos mostra os seguintes IOCs:
 Texto essencial
 Clique no botão acima.
Análise passo a passo
Uma análise passo a passo nos mostra os seguintes IOCs:
Tipo de Tráfego: HTTP como podemos ver no comando GET:
GET /success.txt HTTP/1.1
Host/Domínio: Firefox[.]com , com o subdomínio detectportal.
Host: detectportal.�refox[.]com
User-Agent - Outro IOC importante é o User-Agent. Apesar de cada navegador web ter seu próprio User-
Agent, um malware pode utilizar um diferente e assim se tornar um IOC importante. Nessecaso, o User-
Agent:
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Na resposta do Servidor, um ponto importante é a resposta. Nesse caso, a resposta foi:
success
Agora que extraímos os IOCs desse tráfego, temos que fazer uma análise antes de enviar o relatório.
O primeiro IOC é o domínio/subdomínio:
- Firefox[.]com/detectportal.�refox[.]com
Aparentemente, esse domínio pertence ao navegador Firefox. Podemos fazer algumas consultas para con�rmar.
Primeiramente podemos veri�car o domínio. Para tanto, iremos utilizar o comando WHOIS, que está presente em
Linux e também na versão web. Ele nos fornece diferentes informações sobre um domínio,como seu servidor de
DNS, nome do dono do domínio, e-mail de contato, endereço, telefone e algumas outras informações.
Executando o comando Whois podemos ter o resultado abaixo:
Creation Date: 1998-10-06T00:00:00-0700
. . .
Registrant Organization: Mozilla Corporation
Registrant State/Province: CA
Registrant Country: US
Isso nos mostra que esse domínio foi criado em 1998 e está registrado por Mozilla Corporation.
O dado sobre o qual podemos ter certeza é o da data de criação. Esse dado não pode ser modi�cado. O dado em
que consta o nome da organização (além de endereço, telefone, estado) não pode ser considerado como um IOC
con�ável, pois este é apenas um texto que é colocado quando se cria o domínio, podendo, então, ser falso.
O próximo IOC que vamos analisar é o do User-Agent. De acordo com o tráfego, o User-Agent utilizado é:
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Como dissemos anteriormente, o User-Agent é utilizado pelos navegadores e cada versão de navegador tem um
diferente. Alguns vírus/malware utilizam um User-Agent próprio para que, quando conectarem-se a um servidor
remoto de comando e controle, o servidor possa fornecer-lhe as informações.
No caso do User-Agent acima, podemos fazer uma busca para identi�car se ele é comum ou não. Nesse caso, é
uma indicação de que pode tratar-se de um malware.
O site WhatIsMyBrowser contém uma base de dados que pode ajudar a identi�car o User-Agent.
No nosso caso:
Isso nos mostra que este User-Agent pertence a um navegador Firefox, versão 68, que está rodando em um
sistema Windows 7, ou seja, bastante comum.
Nesse caso, podemos ainda passar os IOCs no relatório, porém ressaltando que os IOCs não oferecem
características maliciosas.
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:68.0) Gecko/20100101
Firefox/68.0

Firefox 68 on Windows 7
IOCs em Tráfego de Rede 2
No quadro adiante podemos ver outro trecho de um �uxo TCP que foi remontado para podermos analisá-lo.
GET /zog/desmond2/con�g.php HTTP/1.1
Host: www.unlimitedgiveaways[.]net
Connection: close
.....
HTTP/1.1 200 OK
Date: Thu, 26 Jan 2017 15:12:11 GMT
Server: Apache/2.4.23
X-Powered-By: PHP/5.4.45
Vary: User-Agent
Content-Length: 0
Connection: close
Content-Type: text/html; charset=utf-8
GET /zog/desmond2/con�g.php, o que pelo nome indica algum arquivo de con�guração. 
Esta requisição por si só não aparenta ser maliciosa, mas já é um IOC coletado.
O seguindo ponto que temos que analisar é o Host. 
O domínio/subdomínio www.unlimitedgiveaways[.]net .
Fazendo uma busca por esse domínio no site de reputação Vírus Total podemos ver:
 Resultado de busca | Fonte: Virus Total
Isso nos mostra que esse domínio/subdomínio está associado a
atividades maliciosas, e que foi detectado por 40 diferentes serviços de
antimalware.
Outro ponto importante nesse tráfego é que não existe nenhum User-Agent na requisição. Muitas vezes, isso por si já é um
indicador de que algo estranho está acontecendo. Na maioria das vezes, uma conexão web é feita por um navegador web,
que sempre utiliza um User-Agent.
IOCs em relatórios de Sandbox
Frequentemente a área de CTI poderá ser requisitada por mais informações a respeito de uma infecção por vírus, por
exemplo, e receberá um arquivo executável que foi detectado pelo antivírus.
Ao receber o arquivo ou a URL na qual esse arquivo está presente, o analista pode usar um serviço de Sandbox on-line
para capturar IOCs relevantes. Em aulas futuras iremos ver vários serviços on-line que oferecem esse tipo de análise.
Para o exemplo abaixo foi usado o Sandbox Any.run, mas os resultados são geralmente parecidos com qualquer outro
serviço de Sandbox on-line.
Um relatório apenas com os IOCs:
 Relatórios de Sandbox | Fonte: Any Run Interactive malware hunting service
Main object- "ruslan4.exe"
url http://pe.pdofan[.]ru/ruslan4.exe
sha256 50d7cea2bb622572ecce21b59e3b0c04aea3133c2def5a68a18e67f99b8947d3
sha1 e86b68e8ef9a1349da27197d76030a4f3f93bee4
md5 7731f2393b6c30a2beb7f2a6f055e061 
DNS requests
domain rtsdyfucgj.temp.swtest[.]ru
domain ip-api[.]com 
Connections
ip 185.194.141[.]58
ip 77.222.62[.]31
HTTP/HTTPS requests
url http://ip-api[.]com/line/?fields
url http://rtsdyfucgj.temp.swtest[.]ru/gate.php?
id=1&os=Windows%207&cookie=1&pswd=1&version=v2.0&cc=0&autofill=2&hwid=
90059C37132041A4B58D2B75A9850D2F
Podemos ver quatro seções principais nesse relatório de IOCs e vamos entender cada um deles:
Clique nos botões para ver as informações.
Contém as informações sobre o artefato que estamos analisando, cujo nome é “ruslan4.exe”.
Está localizado na URL http://pe.pdofan[.]ru/ruslan4.exe.
Possui os seguintes hashes criptográ�cos:
sha256 50d7cea2bb622572ecce21b59e3b0c04aea3133c2def5a68a18e67f99b8947d3
sha1 e86b68e8ef9a1349da27197d76030a4f3f93bee4
md5 7731f2393b6c30a2beb7f2a6f055e061
Main Object 
Contém informações sobre quais requisições DNS esse arquivo executável tentou fazer:
Para o domínio/subdomínio rtsdyfucgj.temp.swtest[.]ru
Para o domínio/subdomínio ip-api[.]com
DNS Requests 
Contêm informações sobre para quais IPs esse arquivo executável realizou uma conexão:
Para o IP 185.194.141[.]58
Para o IP 77.222.62[.]31
Connections 
Contém informações sobre a quais URLs este executável se conectou:
Para a url http://ip-api[.]com/line/?fields
Para a url http://rtsdyfucgj.temp.swtest[.]ru/gate.php?id=1&os=Windows%207&cookie=1&pswd=
1&version=v2.0&cc=0&autofill=2&hwid=90059C37132041A4B58D2B75A9850D2F
HTTP/HTTPS requests 
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividades
1. O termo em inglês Indicator of Compromise, cuja sigla IOC tem a tradução de Indicador de Compromisso, diz respeito a
artefatos que podem ser usados para detecção de atividade maliciosa em um sistema/rede.
a) Verdadeiro.
b) Falso.
2. O objetivo de inserir caracteres extras em URLs ou IPs, como: hxxp://www.linux[.]com visa:
a) Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
b) Evitar um click acidental no link.
c) Confundir o analista que receberá as informações.
d) Facilitar a busca nos logs com ferramentas como grep.
e) Nenhuma das anteriores.
3. Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede:
Requisição:
GET / HTTP/1.1
Resposta:
HTTP/1.1 400 Bad Request
Date: Tue, 30 Jul 2019 00:06:53 GMT
Server: Apache
Content-Length: 293
Connection: close
Content-Type: text/html; charset=iso-8859-1
Sobre o tráfego de rede acima podemos a�rmar que:
a) Trata-se de um bom IOC, pois não possui User-Agent.
b) É um tráfego normal de HTTP.
c) O melhor IOC é o servidor Apache.
d) Não há IOCs que possam ser usados.
e) B e C.
4. Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China.
Esse evento pode ser considerado um IOC?
a) Sim, pois não há razão para um tráfego do site em direção à China.
b) Não, tráfego para outros países é comum no comércio eletrônico.
c) Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego. .
d) A e C.
e) Nenhuma das Anteriores.
5. Como o comando Whois pode nos ajudar na coleta de IOCs?
a) Verificar o User-Agent em uma transação HTTP.
b) Ajudar a colher dados para validar possíveis IOCs.
c) Executar um arquivo em um Sandbox.
d) Verificar se um arquivo é um vírus.
e) Todas as anteriores.
Referências
ALVES, P. O que é WHOIS? Techtudo. 2015. Disponível em: https://www.techtudo.com.br/noticias/noticia/2015/03/o-que-e-
whois.html. Acesso em: 15 dez. 2019.
HYBRID ANALYSIS. Free malware analysis service. Disponível em: https://www.hybrid-analysis.com/. Acesso em: 15 dez. 2019.
REVERSS. Malware dashboard. Disponível em: https://sandbox.anlyz.io/dashboard https://any.run/. Acesso em: 15 dez. 2019.
SOURCE FORGE. Open Source Software. Disponível em: https://sourceforge.net/projects/networkminer/. Acesso em: 14 dez.
2019.
TCPDUMP & Libpcap. A powerful command-line packet analyzer; and libpcap, a portable C/C++ library for network tra�c
capture.Disponível em: https://www.tcpdump.org/. Acesso em: 15 dez. 2019.  
TELERIK FIDDLER. The free web debugging proxy for any browser, system or platform. Disponível em:
https://www.telerik.com/�ddler. Acesso em: 15 dez. 2019.
VIRUSTOTAL. VirusTotal inspects items with over 70 antivirus scanners and URL/domain blacklisting services. Disponível
em: https://www.virustotal.com/gui/home/search. Acesso em: 15 dez. 2019.
WHATISMYBROWSER. Web browser’s settings. Disponível em: https://www.whatismybrowser.com/. Acesso em: 15 dez. 2019.
WHOIS. Como fazer uma consulta. Registro.br. Disponível em: https://registro.br/tecnologia/ferramentas/whois/. Acesso em:
15 dez. 2019.
WIRESHARK. The world’s foremost and widely-used network protocol analyzer. Disponível em: https://www.wireshark.org/.
Acesso em: 15 dez. 2019.
Próxima aula
Indicadores de Compromisso (IOC) em ambientes Sandbox.
Explore mais
Acesse os sites:
This XML �le does not appear to have any style information associated with it. The document tree is shown below.
PCAP Analysis Basics With Wireshark [Updated 2019]
javascript:void(0);
javascript:void(0);