O que fazer em um incidente cibernético: resposta técnica
O recente aumento mundial no uso de ferramentas digitais para trabalho, lazer e lazer ressaltou a importância da segurança cibernética como nunca antes. Os agentes de ameaças usam uma combinação de táticas, ferramentas e procedimentos para se firmar em um sistema ou rede alvo e, em seguida, alavancam o movimento lateral para chegar às joias da coroa dessa organização-alvo. Nesta era de 'presumir violação', não é uma questão de E se um ataque ou incidente ocorrerá, mas quando. Assim como no caso de um ataque real a uma pessoa ou grupo de pessoas, os primeiros socorros podem ajudar muito a salvar vidas até que a ajuda profissional chegue.
Na mesma linha, esta série analisa as ações e mitigações imediatas que podem ser ativadas no caso de um incidente cibernético.
Ele se concentrará em três áreas principais:
- Resposta técnica
- Resposta não técnica
- Lições aprendidas
A primeira parte abordará as ações técnicas importantes necessárias logo após um incidente. Em seguida, abordarei os aspectos não técnicos de um evento cibernético, como relatórios de incidentes e avaliações de impacto. E, finalmente, a última parte analisará as possíveis lições aprendidas com a resposta como um todo.
Parte 1: Resposta técnica
A parte 1 desta série de três partes se concentrará na resposta técnica logo após um incidente de segurança cibernética. É importante que a equipe de segurança da sua organização contenha rapidamente o incidente e preserve qualquer evidência útil para uma análise da causa raiz, como registros, arquivos de malware e outros artefatos do sistema operacional para análise da causa raiz.
Aqui, vamos nos concentrar principalmente em um ambiente Windows e usar um tipo de ataque comum como exemplo: spear-phishing, que resulta em um e-mail comercial composto (BEC) que aproveita o movimento lateral e leva a uma violação de dados. A representação visual desse fluxo é mostrada abaixo.

Para a maioria dos ataques que subsequentemente levam a uma infecção e violação, os atacantes geralmente:
- atacar um alvo fácil, como um usuário e sua máquina, normalmente por meio de um phishing ataque
- comprometer sua conta e seu computador
- aproveite a conta e o computador comprometidos para descobrir o resto da rede
- escalar privilégios para facilitar o movimento lateral a fim de comprometer outros sistemas
- localize ativos de alto valor ou sistemas Crown Jewel e extraia dados
Dependendo do motivo, o agente da ameaça pode querer ficar e se mover sem ser detectado pelo maior tempo possível. Ou eles podem querer causar alguma interrupção na rede, conforme mostrado em ataques de ransomware. Como você sabe, embora o MITRE ATT&CK ou o Cyber Kill Chain possam mapear as táticas e técnicas dos agentes de ameaças, eles não seguem as regras. Portanto, você não deve fazer nenhuma suposição durante a resposta ao incidente — você deve considerar apenas evidências sólidas que possam ser corroboradas. Também é importante ficar de olho nas iscas, pois nem tudo pode ser o que parece. Com isso em mente, você deve examinar os diferentes estágios desse fluxo de ataque.
Entrada inicial
A fase inicial do ataque normalmente envolve alguma engenharia social, como phishing ou publicidade maliciosa, principalmente por meio de canais de comunicação digital, como e-mail ou site. Isso também pode levar o agente da ameaça à sua primeira máquina infectada, também conhecida como “paciente zero”.

Primeiros socorros
Nesse estágio inicial da detecção pós-incidente, algumas das etapas a seguir podem ser executadas.
- Identifique a conta de usuário infectada (e-mail/computador).
- Isole as contas de e-mail afetadas.
- Impeça que a conta de e-mail afetada envie e-mails.
- Verifique se há algum encaminhamento de e-mail para alguma conta de e-mail externa.
- Para começar, recupere todos os itens enviados da caixa de entrada nos últimos 7 a 14 dias.
- Auditoria de e-mails enviados e excluídos.
- Verifique se há formulários personalizados (Outlook) carregados no perfil da conta.
- Verifique a conta de e-mail afetada nos dispositivos conectados.
- Verifique o uso do protocolo legado (por exemplo, POP3).
- Verifique os registros do Azure AD para obter informações de autenticação.
- Verifique se há scripts nomeados aleatoriamente e outros utilitários da CLI em locais temporários (especialmente no caso de ataques sem arquivo).
diagnóstico
Nessa fase, os atacantes utilizaram a engenharia social para obter acesso aos sistemas. No exemplo, um e-mail de phishing de um atacante de aquisição de conta (ATO) é usado para enviar uma cotação de e-mail falsa em um documento do Microsoft Word. O documento contém uma macro maliciosa e, uma vez aberto, iniciará a próxima fase do ataque.
A autenticação multifatorial (MFA) e fortes defesas de segurança de e-mail, combinadas com o treinamento de conscientização do usuário, devem ser uma boa primeira linha de defesa contra ataques de entrada inicial. As soluções de segurança de e-mail devem ter, no mínimo, recursos antiphishing, de inteligência artificial e de detecção de URL. Também são muito importantes os recursos de alerta sobre coisas como encaminhamentos de e-mail, redirecionamentos e criação de modelos. Os usuários de e-mail na nuvem, como o Office 365, podem executar serviços como o Microsoft Office 365 Secure Score para encontrar pontos fracos na postura do e-mail.
Máquina Pivot
Nesse ponto, os atacantes executaram um ataque bem-sucedido e obtiveram acesso a uma conta de usuário e/ou sistema legítimo. A máquina dinâmica se torna a máquina central para os agentes da ameaça tentarem descobrir e se movimentar pelo resto da rede.

Primeiros socorros
- Isole o computador/laptop infectado imediatamente do resto da rede.
- Desconecte a máquina da Internet.
- Desative a conta de domínio do usuário afetado no Active Directory.
- Desative qualquer acesso remoto para essa conta, por exemplo, VPNs, OWA ou outros logins remotos.
- Verifique se há sinais de persistência maliciosa — Registro, inicialização e tarefas agendadas.
- Verifique se há conexões recentes com a Web desse host.
- Verifique se há contas de usuário suspeitas.
- Verifique o uso recente do aplicativo — Shimcache, Amcache, Jumplists.
- Verifique a presença de ferramentas como mimikatz, psexec, wce e arquivos remanentes (sempre que possível, as máquinas não devem ser reinicializadas no caso de ataques somente de memória).
diagnóstico
Normalmente, isso envolve algum usuário cair em um ataque de phishing e abrir um link malicioso ou anexo de e-mail, levando ao uso de ferramentas legítimas do sistema, como o powershell.exe, para fins maliciosos. Verificações como processos suspeitos, acesso ao compartilhamento de rede, registros de contas e arquivos baixados devem ser administradas. Um dos processos importantes no caso do Windows para autenticação e possível escalonamento de privilégios é o lsass.exe (Serviço de Subsistema da Autoridade de Segurança Local). Verifique se há nomes de processos, locais ou acesso à conta incomuns.

Muitas vezes, a máquina dinâmica dá ao agente da ameaça uma posição no resto da rede. Pode não ser o alvo principal, mas um meio para atingir um fim. Como resultado, você deve estar atento a:
- Iscas projetadas para distrair
- O malware sem arquivo ou somente com memória pode significar a perda da evidência original
- Exclusão de arquivos para remover evidências
A TI nem sempre consegue localizar a máquina original do paciente zero ou mesmo a máquina pivô, mas qualquer sistema comprometido que seja localizado primeiro deve ser isolado e investigado adequadamente. Para uma análise mais aprofundada, execute:
- Análise de memória
- Análise do sistema de arquivos
- Análise forense do registro do sistema
- Análise forense de registro
Existem várias ferramentas forenses (nativas, de código aberto e comerciais) que podem ajudar a recuperar o máximo de informações possível ao analisar sistemas e redes após um incidente cibernético.
Descoberta e movimento lateral
Na maioria dos casos, a máquina inicial raramente está onde o agente da ameaça quer estar. Portanto, eles precisarão se movimentar até atingirem seus sistemas de destino definitivos. O objetivo é aproveitar a máquina dinâmica comprometida para descobrir o resto da rede e mapeá-la para facilitar uma maneira eficaz de se mover lateralmente. A rede facilita a meta final real de acesso ao aplicativo. Um exemplo disso inclui roubo de credenciais NTLM em pass-the-hash ou roubo de credenciais Kerberos em ataques e portas pass-the-ticket (nível de rede) para obter movimento lateral.

Primeiros socorros — Discovery
- Verifique se há evidências de escaneamentos de portas.
- Verifique os aplicativos usados com frequência.
- Verifique o histórico de comandos, por exemplo, Powershell e histórico de comandos WMI.
- Verifique se há scripts maliciosos.
Primeiros socorros — Movimento lateral
- Verifique se há restos de acesso remoto e ferramentas de implantação — RDP, VNC, psexec, mimikatz.
- Verifique o uso recente do aplicativo — Shimcache, Arquivos recentes, Listas de atalhos.
- Verifique o uso de contas do Windows em servidores, especialmente servidores de arquivos, servidores DNS e servidores Active Directory.
- Alguns registros de eventos úteis do Windows para verificar.
- Verifique o nível de patch dos métodos de movimentação comumente usados — Browser, Adobe, Microsoft Office e OS (a maioria dos exploits aproveita vulnerabilidades).

diagnóstico
Detectar o movimento Leste-Oeste pode ser outra tarefa desafiadora sem as ferramentas certas em primeiro lugar. Além disso, aqui, os agentes de ameaças normalmente empregam ferramentas nativas e técnicas de “viver da terra” para evitar alertas e evitar a detecção. Em alguns casos, eles podem empregar outras técnicas para aumentar seus privilégios no nível da conta para facilitar a capacidade de se mover lateralmente sem serem detectados. Durante a fase de descoberta, semelhante à fase subsequente de movimento lateral, o agente da ameaça preferiria permanecer em silêncio e evitar a detecção precoce. Isso significa que é provável que eles empreguem ferramentas nativas em vez de introduzir ferramentas externas ou personalizadas. A maioria dos sistemas operacionais tem várias ferramentas nativas para facilitar as ações durante essa fase, como Powershell e WMI no Windows. No que diz respeito aos agentes de ameaças, o movimento lateral pode ser particularmente mais fácil em ambientes com pouca ou nenhuma segmentação ou onde somente métodos tradicionais de segmentação, como sub-redes, VLANs e zonas, são usados. Isso ocorre porque geralmente há falta de visibilidade, políticas de segurança excessivamente complexas e nenhuma separação baseada em host dentro de sub-redes ou VLANs.

A imagem acima mostra um exemplo de uma ferramenta de visibilidade e análise (mapa de dependência de aplicativos da Illumio, Iluminação) que permite a visualização de uma descoberta e tentativa de movimento lateral. Uma visão semelhante à mostrada acima permite a representação clara de vários grupos de aplicativos e das cargas de trabalho neles contidas e o mapeamento resultante da comunicação de rede entre as cargas de trabalho. Essa visão permite a identificação rápida e fácil do comportamento anômalo da rede entre cargas de trabalho no mesmo grupo de aplicativos ou em grupos de aplicativos diferentes.
Jóias da coroa
Os sistemas e os dados mais importantes são o que os agentes de ameaças geralmente procuram, especialmente no caso de ataques clandestinos e que não sejam de ransomware. É aqui que é provável que ocorra qualquer atividade principal de exfiltração de dados.
Primeiros socorros
- Verifique o uso de contas de administrador em servidores de banco de dados, servidores AD e servidores de arquivos.
- Verifique o histórico de acesso à web procurando conexões suspeitas.
- Verifique anti-botnet defesas para comunicação relacionada a botnets.
- Verifique a exfiltração de dados - tunelamento de DNS, abuso de protocolo, codificação de dados.
- Verifique se há taxas excessivas de transferência de dados no sistema e nas NICs correspondentes.
- Registros de eventos úteis do Windows:
- Evento 4672 do Windows para logins de contas de administrador
- Evento 4624 do Windows para logons bem-sucedidos

diagnóstico
É essencial segmentar com eficiência seus sistemas que armazenam dados importantes ou confidenciais do resto da rede. Uma das melhores maneiras é o uso de microssegmentação baseada em host que fornece visibilidade da comunicação de rede e a capacidade de aplicar o firewall diretamente nos hosts. Ao visualizar o tráfego que entra e sai de seus principais sistemas em relação ao resto da rede, você pode receber recursos de visualização e alerta em tempo hábil para detectar, prevenir e isolar rapidamente qualquer comunicação anômala.
Como o malware pode entrar e se estabelecer em meio a vulnerabilidades, especialmente vulnerabilidades inerentes ao sistema, também é importante implantar uma solução atualizada de gerenciamento de vulnerabilidades e patches. Os agentes de ameaças geralmente tentam se limpar para que possam excluir eventos do sistema, arquivos e dados do registro. Portanto, é especialmente importante ter um repositório central para registros e eventos do sistema e da rede, como SIEM (Gerenciamento de Eventos e Informações de Segurança) e ferramentas de análise de segurança.
Em conclusão, você deve tomar a sucessão correta de ações logo após um incidente cibernético, pois isso levará a outras partes importantes de como o incidente é tratado em geral. Independentemente do tamanho e da estatura de uma organização, a preparação e a resposta técnicas devem ser uma parte fundamental da estratégia geral, conforme mostrado aqui, mas também devem incluir respostas não técnicas, como relatórios de incidentes e análises de impacto. Discutirei isso com mais detalhes nas próximas iterações desta série.