Notícias de dispositivos móveis, gadgets, aplicativos Android

Indicador de ataques (IoA’s) e atividades – SOC/SIEM – uma explicação detalhada

O que é um indicador de ataque (IOA)

IoAs Existem alguns eventos que podem revelar um ataque ativo antes que os indicadores de comprometimento se tornem visíveis.

O uso de IoAs fornece uma maneira de mudar de limpeza/recuperação reativa para um modo proativo, onde os invasores são interrompidos e bloqueados antes de atingirem seu objetivo, como roubo de dados, ransomware, exploração, etc.

O foco da IOA consiste em detectar a intenção do que um invasor está tentando realizar, independentemente do malware ou explorações usado em um ataque.

Assim como as assinaturas AV, uma abordagem de detecção baseada em IOC não consegue detectar as ameaças crescentes de intrusões livres de malware e explorações de dia zero. Como resultado, as soluções de segurança da próxima geração estão a migrar para uma Abordagem baseada em IOA

10 Indicadores de Ataque (IoAs)

As seguintes atividades de ataque mais comuns poderiam ter sido usadas, individualmente ou em combinaçãopara diagnosticar um ataque ativo:

1) Hosts internos com destinos ruins

Hosts internos se comunicam com conhecidos destinos ruins ou para um país estrangeiro onde você não conduz negócios.

Exemplo de HP ArcSight Dashboard que mostra os hosts do cliente se comunicando com Feeds (IP, Domínio, Url) do site “ransomwaretracker.abuse.ch”.

[Ransomware Hunter is available as free a free package included at HPE Protect724 from SOC Prime]

Exemplo de inteligência global contra ameaças da McAfee

2) Hosts internos com portas não padrão

Hosts internos se comunicam com hosts externos usando portas não padrão ou incompatibilidades de protocolo/portacomo o envio de shells de comando (SSH) em vez de HTTP e tráfego HTTPS pela porta 80.443a porta da web padrão.

Exemplo de host interno usando 21(FTP), 445(SMB), 137(NETBIOS-NS), 135(RPC) para Internet

3) Servidores públicos/DMZ para hosts internos

Servidores públicos ou hosts de zona desmilitarizada (DMZ) se comunicam com hosts internos. Isso permite saltar de fora para dentro e para trás, permitindo a exfiltração de dados e acesso remoto a ativos como RDP (Remote Desktop Protocol), Radmin e SSH.

Nós recomendamos:  OilRig: Backdoor C#/.NET nunca visto para atacar uma ampla gama de indústrias

Exemplo de relatório que monitora o tráfego Top 10 da zona “DMZ” para a zona “Interna/Cliente”.

A partir deste relatório, o Analista de Segurança deve investigar nos Servidores Destacados que se comunicam com Hosts internos via RDP(TCP/3389), SSH(TCP/22)

4) Detecção de malware fora do horário comercial

Alertas que ocorrem fora do padrão horário de funcionamento comercial (à noite ou nos finais de semana) pode sinalizar um host comprometido.

Exemplo de alertas IPS sobre horário de folga (feriado)

5) Varreduras de rede por hosts internos

Varreduras de rede feitas por hosts internos que se comunicam com vários hosts em um curto espaço de tempo podem revelar um invasor se movendo lateralmente dentro da rede.

Esses incidentes são detectados nas defesas da rede do perímetro, como firewalls e IPS. Você deve escolher Zona/Interface em Somente “Interno” para “Interno”.

Para o Futuro, você deve se concentrar desde “Interno” para “DMZ” também. Pode ser uma “ameaça interna” ou “hosts comprometidos” que precisam de mais informações de suas redes (reconhecimento)

Exemplo de relatório de varreduras de rede que filtra da zona “Interna” para a zona “Interna”

6) Vários eventos de alarme de um único host

Vários eventos de alarme de um host único ou eventos duplicados em várias máquinas na mesma sub-rede durante um período de 24 horas, como falhas repetidas de autenticação. ISSO É COMUM CASO DE USO.

Exemplo de painel que monitora “falhas de login de usuário” de hosts únicos

Observação: alguns eventos de falha de login de aplicativos de e-mail em celulares podem gerar eventos mais de 500 eventos/minuto.

Nós recomendamos:  Como ocultar o status online em Facebook? Para que você fique offline e privado.

Encontrei este caso quando a senha de uma conta de usuário expirou, mas eles não alteraram a nova senha em seus dispositivos.

7) O sistema está reinfectado com malware

Após a limpeza do host infectado, um sistema é reinfectado com malware dentro 5-10 minutos, reinfecções repetidas sinalizam a presença de um rootkit ou comprometimento persistente. Este incidente pode ser detectado em eventos de proteção do Endpoint Security ou antivírus.

Este é um exemplo de painel de Maleware.

Detecção: Você deve criar pelo menos 3 regras do SIEM e segui-las conforme

  1. A regra alerta quando encontra um host infectado “Adicionar à” Lista de hosts infectados atuais e lista histórica de hosts infectados (armazene pelo menos 1 semana)
  2. A regra alerta quando o malware é limpo do Host infectado “Remover para” Lista de hosts infectados atuais
  3. A regra alerta quando encontra um host infectado que é “Lista histórica de hosts infectados” dentro de um intervalo de tempo específico. QUE OS SISTEMAS DEVEM VERIFICAR/INVESTIGAR MALWARE NOVAMENTE!!!

8. Login múltiplo de diferentes regiões

Uma conta de usuário tentando fazer login em vários recursos em poucos minutos de/para uma região diferente.

Isto é um sinal de que credenciais do usuário foram roubados ou que um usuário está fazendo alguma maldade.

Um exemplo de A regra correlacionada é que as soluções ideais podem variar com base nas condições da sua rede e na política de segurança.

Esta regra detecta um evento na categoria de normalização “Login”, com um Resultado do Evento igual a “Sucesso” com múltiplas localizações geográficas de origem, dentro de um intervalo de tempo especificado, e os eventos são agrupados por usuário de origem.

9. Hosts internos usam muito SMTP

Protocolos de e-mail como SMTP (Simple Mail Transfer Protocol), POP3 ou IMAP4 devem ser monitorados. Alguns malwares usarão essa porta para enviar informações a um servidor suspeito ou hacker.

Nós recomendamos:  Mensagens do Google para enviar textos de reação semelhantes ao iMessage, como "Gostou de uma foto"

Exemplo de um Cliente infectado que usa SMTP(TCP/25)

10. O interno hospeda muitas consultas ao DNS externo/interno

Muitas organizações possuem servidores DNS internos para armazenar registros em cache e servir Serviço DNS para hosts internos. Configuração DHCP é definido como Servidor DNS Primário para o servidor DNS Interno.

Se você descobriu que alguns hosts internos consultam DNS externo, como 8.8.8.8e 8.8.4.4 (DNS do Google)você deve tentar verificar malware nesses clientes.

Em alguns Incidentes descobriu-se que o consultas de host interno muitas solicitações ao servidor DNS interno (> 1.000 eventos/hora)

Fonte e crédito originais: Sittikorn Sangrattanapitak, CISSP

Leia também:

  1. Sistema de prevenção de intrusões (IPS) e sua função detalhada – SOC/SIEM
  2. Sistema de detecção de intrusão (IDS) e sua função detalhada – SOC/SIEM

Recomendado:

Table of Contents