Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

O que fazer em um incidente cibernético: resposta técnica

Michael Adjei
,
Diretor de Engenharia de Sistemas, EMEA
November 23, 2020
23 leitura mínima

O recente aumento mundial no uso de ferramentas digitais para trabalho, lazer e lazer ressaltou a importância da segurança cibernética como nunca antes. Os agentes de ameaças usam uma combinação de táticas, ferramentas e procedimentos para se firmar em um sistema ou rede alvo e, em seguida, alavancam o movimento lateral para chegar às joias da coroa dessa organização-alvo. Nesta era de 'presumir violação', não é uma questão de E se um ataque ou incidente ocorrerá, mas quando. Assim como no caso de um ataque real a uma pessoa ou grupo de pessoas, os primeiros socorros podem ajudar muito a salvar vidas até que a ajuda profissional chegue.

Na mesma linha, esta série analisa as ações e mitigações imediatas que podem ser ativadas no caso de um incidente cibernético.

Ele se concentrará em três áreas principais:

  1. Resposta técnica
  2. Resposta não técnica
  3. Lições aprendidas

A primeira parte abordará as ações técnicas importantes necessárias logo após um incidente. Em seguida, abordarei os aspectos não técnicos de um evento cibernético, como relatórios de incidentes e avaliações de impacto. E, finalmente, a última parte analisará as possíveis lições aprendidas com a resposta como um todo.

Parte 1: Resposta técnica

A parte 1 desta série de três partes se concentrará na resposta técnica logo após um incidente de segurança cibernética. É importante que a equipe de segurança da sua organização contenha rapidamente o incidente e preserve qualquer evidência útil para uma análise da causa raiz, como registros, arquivos de malware e outros artefatos do sistema operacional para análise da causa raiz.

Aqui, vamos nos concentrar principalmente em um ambiente Windows e usar um tipo de ataque comum como exemplo: spear-phishing, que resulta em um e-mail comercial composto (BEC) que aproveita o movimento lateral e leva a uma violação de dados. A representação visual desse fluxo é mostrada abaixo.

CyberIncident1

Para a maioria dos ataques que subsequentemente levam a uma infecção e violação, os atacantes geralmente:

  1. atacar um alvo fácil, como um usuário e sua máquina, normalmente por meio de um phishing ataque
  2. comprometer sua conta e seu computador
  3. aproveite a conta e o computador comprometidos para descobrir o resto da rede
  4. escalar privilégios para facilitar o movimento lateral a fim de comprometer outros sistemas
  5. localize ativos de alto valor ou sistemas Crown Jewel e extraia dados

Dependendo do motivo, o agente da ameaça pode querer ficar e se mover sem ser detectado pelo maior tempo possível. Ou eles podem querer causar alguma interrupção na rede, conforme mostrado em ataques de ransomware. Como você sabe, embora o MITRE ATT&CK ou o Cyber Kill Chain possam mapear as táticas e técnicas dos agentes de ameaças, eles não seguem as regras. Portanto, você não deve fazer nenhuma suposição durante a resposta ao incidente — você deve considerar apenas evidências sólidas que possam ser corroboradas. Também é importante ficar de olho nas iscas, pois nem tudo pode ser o que parece. Com isso em mente, você deve examinar os diferentes estágios desse fluxo de ataque.

Entrada inicial

A fase inicial do ataque normalmente envolve alguma engenharia social, como phishing ou publicidade maliciosa, principalmente por meio de canais de comunicação digital, como e-mail ou site. Isso também pode levar o agente da ameaça à sua primeira máquina infectada, também conhecida como “paciente zero”.

CyberIncident2

Primeiros socorros

Nesse estágio inicial da detecção pós-incidente, algumas das etapas a seguir podem ser executadas.

  • Identifique a conta de usuário infectada (e-mail/computador).
  • Isole as contas de e-mail afetadas.
  • Impeça que a conta de e-mail afetada envie e-mails.
  • Verifique se há algum encaminhamento de e-mail para alguma conta de e-mail externa.
  • Para começar, recupere todos os itens enviados da caixa de entrada nos últimos 7 a 14 dias.
  • Auditoria de e-mails enviados e excluídos.
  • Verifique se há formulários personalizados (Outlook) carregados no perfil da conta.
  • Verifique a conta de e-mail afetada nos dispositivos conectados.
  • Verifique o uso do protocolo legado (por exemplo, POP3).
  • Verifique os registros do Azure AD para obter informações de autenticação.
  • Verifique se há scripts nomeados aleatoriamente e outros utilitários da CLI em locais temporários (especialmente no caso de ataques sem arquivo).
diagnóstico

Nessa fase, os atacantes utilizaram a engenharia social para obter acesso aos sistemas. No exemplo, um e-mail de phishing de um atacante de aquisição de conta (ATO) é usado para enviar uma cotação de e-mail falsa em um documento do Microsoft Word. O documento contém uma macro maliciosa e, uma vez aberto, iniciará a próxima fase do ataque.

A autenticação multifatorial (MFA) e fortes defesas de segurança de e-mail, combinadas com o treinamento de conscientização do usuário, devem ser uma boa primeira linha de defesa contra ataques de entrada inicial. As soluções de segurança de e-mail devem ter, no mínimo, recursos antiphishing, de inteligência artificial e de detecção de URL. Também são muito importantes os recursos de alerta sobre coisas como encaminhamentos de e-mail, redirecionamentos e criação de modelos. Os usuários de e-mail na nuvem, como o Office 365, podem executar serviços como o Microsoft Office 365 Secure Score para encontrar pontos fracos na postura do e-mail.

Máquina Pivot

Nesse ponto, os atacantes executaram um ataque bem-sucedido e obtiveram acesso a uma conta de usuário e/ou sistema legítimo. A máquina dinâmica se torna a máquina central para os agentes da ameaça tentarem descobrir e se movimentar pelo resto da rede.

CyberIncident3

Primeiros socorros
  • Isole o computador/laptop infectado imediatamente do resto da rede.
  • Desconecte a máquina da Internet.
  • Desative a conta de domínio do usuário afetado no Active Directory.
  • Desative qualquer acesso remoto para essa conta, por exemplo, VPNs, OWA ou outros logins remotos.
  • Verifique se há sinais de persistência maliciosa — Registro, inicialização e tarefas agendadas.
  • Verifique se há conexões recentes com a Web desse host.
  • Verifique se há contas de usuário suspeitas.
  • Verifique o uso recente do aplicativo — Shimcache, Amcache, Jumplists.
  • Verifique a presença de ferramentas como mimikatz, psexec, wce e arquivos remanentes (sempre que possível, as máquinas não devem ser reinicializadas no caso de ataques somente de memória).
diagnóstico

Normalmente, isso envolve algum usuário cair em um ataque de phishing e abrir um link malicioso ou anexo de e-mail, levando ao uso de ferramentas legítimas do sistema, como o powershell.exe, para fins maliciosos. Verificações como processos suspeitos, acesso ao compartilhamento de rede, registros de contas e arquivos baixados devem ser administradas. Um dos processos importantes no caso do Windows para autenticação e possível escalonamento de privilégios é o lsass.exe (Serviço de Subsistema da Autoridade de Segurança Local). Verifique se há nomes de processos, locais ou acesso à conta incomuns.

CyberIncident4

Muitas vezes, a máquina dinâmica dá ao agente da ameaça uma posição no resto da rede. Pode não ser o alvo principal, mas um meio para atingir um fim. Como resultado, você deve estar atento a:

  • Iscas projetadas para distrair
  • O malware sem arquivo ou somente com memória pode significar a perda da evidência original
  • Exclusão de arquivos para remover evidências

A TI nem sempre consegue localizar a máquina original do paciente zero ou mesmo a máquina pivô, mas qualquer sistema comprometido que seja localizado primeiro deve ser isolado e investigado adequadamente. Para uma análise mais aprofundada, execute:

  • Análise de memória
  • Análise do sistema de arquivos
  • Análise forense do registro do sistema
  • Análise forense de registro

Existem várias ferramentas forenses (nativas, de código aberto e comerciais) que podem ajudar a recuperar o máximo de informações possível ao analisar sistemas e redes após um incidente cibernético.

Descoberta e movimento lateral

Na maioria dos casos, a máquina inicial raramente está onde o agente da ameaça quer estar. Portanto, eles precisarão se movimentar até atingirem seus sistemas de destino definitivos. O objetivo é aproveitar a máquina dinâmica comprometida para descobrir o resto da rede e mapeá-la para facilitar uma maneira eficaz de se mover lateralmente. A rede facilita a meta final real de acesso ao aplicativo. Um exemplo disso inclui roubo de credenciais NTLM em pass-the-hash ou roubo de credenciais Kerberos em ataques e portas pass-the-ticket (nível de rede) para obter movimento lateral.

CyberIncident5

Primeiros socorros — Discovery
  • Verifique se há evidências de escaneamentos de portas.
  • Verifique os aplicativos usados com frequência.
  • Verifique o histórico de comandos, por exemplo, Powershell e histórico de comandos WMI.
  • Verifique se há scripts maliciosos.
Primeiros socorros — Movimento lateral
  • Verifique se há restos de acesso remoto e ferramentas de implantação — RDP, VNC, psexec, mimikatz.
  • Verifique o uso recente do aplicativo — Shimcache, Arquivos recentes, Listas de atalhos.
  • Verifique o uso de contas do Windows em servidores, especialmente servidores de arquivos, servidores DNS e servidores Active Directory.
  • Alguns registros de eventos úteis do Windows para verificar.
  • Verifique o nível de patch dos métodos de movimentação comumente usados — Browser, Adobe, Microsoft Office e OS (a maioria dos exploits aproveita vulnerabilidades).
CyberIncident6

diagnóstico

Detectar o movimento Leste-Oeste pode ser outra tarefa desafiadora sem as ferramentas certas em primeiro lugar. Além disso, aqui, os agentes de ameaças normalmente empregam ferramentas nativas e técnicas de “viver da terra” para evitar alertas e evitar a detecção. Em alguns casos, eles podem empregar outras técnicas para aumentar seus privilégios no nível da conta para facilitar a capacidade de se mover lateralmente sem serem detectados. Durante a fase de descoberta, semelhante à fase subsequente de movimento lateral, o agente da ameaça preferiria permanecer em silêncio e evitar a detecção precoce. Isso significa que é provável que eles empreguem ferramentas nativas em vez de introduzir ferramentas externas ou personalizadas. A maioria dos sistemas operacionais tem várias ferramentas nativas para facilitar as ações durante essa fase, como Powershell e WMI no Windows. No que diz respeito aos agentes de ameaças, o movimento lateral pode ser particularmente mais fácil em ambientes com pouca ou nenhuma segmentação ou onde somente métodos tradicionais de segmentação, como sub-redes, VLANs e zonas, são usados. Isso ocorre porque geralmente há falta de visibilidade, políticas de segurança excessivamente complexas e nenhuma separação baseada em host dentro de sub-redes ou VLANs.

CyberIncident7

A imagem acima mostra um exemplo de uma ferramenta de visibilidade e análise (mapa de dependência de aplicativos da Illumio, Iluminação) que permite a visualização de uma descoberta e tentativa de movimento lateral. Uma visão semelhante à mostrada acima permite a representação clara de vários grupos de aplicativos e das cargas de trabalho neles contidas e o mapeamento resultante da comunicação de rede entre as cargas de trabalho. Essa visão permite a identificação rápida e fácil do comportamento anômalo da rede entre cargas de trabalho no mesmo grupo de aplicativos ou em grupos de aplicativos diferentes.

Jóias da coroa

Os sistemas e os dados mais importantes são o que os agentes de ameaças geralmente procuram, especialmente no caso de ataques clandestinos e que não sejam de ransomware. É aqui que é provável que ocorra qualquer atividade principal de exfiltração de dados.

Primeiros socorros
  • Verifique o uso de contas de administrador em servidores de banco de dados, servidores AD e servidores de arquivos.
  • Verifique o histórico de acesso à web procurando conexões suspeitas.
  • Verifique anti-botnet defesas para comunicação relacionada a botnets.
  • Verifique a exfiltração de dados - tunelamento de DNS, abuso de protocolo, codificação de dados.
  • Verifique se há taxas excessivas de transferência de dados no sistema e nas NICs correspondentes.
  • Registros de eventos úteis do Windows:
  • Evento 4672 do Windows para logins de contas de administrador
  • Evento 4624 do Windows para logons bem-sucedidos
CyberIncident8

diagnóstico

É essencial segmentar com eficiência seus sistemas que armazenam dados importantes ou confidenciais do resto da rede. Uma das melhores maneiras é o uso de microssegmentação baseada em host que fornece visibilidade da comunicação de rede e a capacidade de aplicar o firewall diretamente nos hosts. Ao visualizar o tráfego que entra e sai de seus principais sistemas em relação ao resto da rede, você pode receber recursos de visualização e alerta em tempo hábil para detectar, prevenir e isolar rapidamente qualquer comunicação anômala.

Como o malware pode entrar e se estabelecer em meio a vulnerabilidades, especialmente vulnerabilidades inerentes ao sistema, também é importante implantar uma solução atualizada de gerenciamento de vulnerabilidades e patches. Os agentes de ameaças geralmente tentam se limpar para que possam excluir eventos do sistema, arquivos e dados do registro. Portanto, é especialmente importante ter um repositório central para registros e eventos do sistema e da rede, como SIEM (Gerenciamento de Eventos e Informações de Segurança) e ferramentas de análise de segurança.

Em conclusão, você deve tomar a sucessão correta de ações logo após um incidente cibernético, pois isso levará a outras partes importantes de como o incidente é tratado em geral. Independentemente do tamanho e da estatura de uma organização, a preparação e a resposta técnicas devem ser uma parte fundamental da estratégia geral, conforme mostrado aqui, mas também devem incluir respostas não técnicas, como relatórios de incidentes e análises de impacto. Discutirei isso com mais detalhes nas próximas iterações desta série.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

3 etapas para impedir que o ransomware se espalhe
Contenção de ransomware

3 etapas para impedir que o ransomware se espalhe

Descubra as etapas para impedir que o ransomware se espalhe limitando as conexões, expandindo a visibilidade e melhorando o tempo de resposta.

Leia mais
AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware
Contenção de ransomware

AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware

Junte-se à Illumio em 21 de setembro às 9h PST para um webinar gratuito com a Amazon Web Services (AWS).

Leia mais
Redução de ransomware 101: movimento lateral entre terminais
Contenção de ransomware

Redução de ransomware 101: movimento lateral entre terminais

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais