This post is also available in: Português
O fato de os cibercriminosos estarem sempre se reinventando tem um motivo forte: eles precisam evoluir o tempo todo para evitar serem pegos. Nesse contexto, com o intuito de se livrar dos rastros, muitas ferramentas/recursos utilizados por estes indivíduos são descartáveis. Em torno de 95% dos malwares são gerados automaticamente para produzir binários exclusivos que são usados apenas uma vez e depois abandonados. Isso torna a maioria das técnicas antivírus praticamente inúteis.
Para se defender, então, é preciso compreender as Táticas, Técnicas e Procedimentos do Atacante (TTPs, na sigla em inglês). Os TTPs descrevem como os golpistas virtuais orquestram, executam e gerenciam seus ataques. Assim, são definidos como padrões de atividades ou métodos associados a um ator de ameaça específico ou grupo de atores de ameaça. Ou seja, o foco é no estilo e comportamento, e não tanto nas ferramentas.
A análise dos TTPs auxilia nas operações de resposta e segurança cibernética, articulando como os cibercriminosos realizam ataques. Isso inclui uma triagem rápida e contextualização de um evento ou incidente, correlacionando-o a TTPs de atores ou grupos conhecidos potencialmente relacionados a um ataque. Outra característica é apoiar o processo investigativo, fornecendo caminhos prováveis para pesquisa e foco, com base em padrões anteriores usados – bem como dar apoio à identificação de possíveis fontes ou vetores de ataque. Outro benefício é apoiar a resposta a incidentes e os processos de identificação e mitigação de ameaças, ajudando a identificar quais sistemas podem estar comprometidos.
Para melhor compreensão do que abrange a análise de TTPs, pode-se pensar no seguinte exemplo: um alvo recebe um anexo de e-mail hostil contendo uma exploração de dia zero e carga útil para instalar um novo malware desconhecido – mas usando TTPs semelhantes. Assim, os TTPs ajudam a compreender o que os crackers querem exatamente. Os alvos em potencial também podem ser identificados com base nos alvos anteriores, o que ajuda a determinar os futuros alvos.
E mais: consegue-se também descobrir qual o vetor comum de ataque – por exemplo, um e-mail com um anexo do Office contendo um primeiro estágio de ataque com carga útil, como um downloader. Isso ajuda a se posicionar para ataques contínuos da campanha, como revisar e alterar a política relacionada ao Windows Data Execution Prevention (DEP); uso do Sandboxes como uma camada de aplicativo virtualizada para o endpoint na abertura de arquivos suspeitos; e revisão das possíveis soluções de proteção de endpoint.
Esse hiperfoco em alvos de campanha conhecidos e potenciais ajuda a equipe de TI e de segurança a se proteger de maneira pró-ativa contra ataques, minimizando danos e permitindo investigações adicionais.
Cooperação
Quando um incidente acontece, os TTPs relacionados ajudam a estabelecer uma atribuição potencial e uma estrutura de ataque. Isso auxilia a identificar se dados valiosos serão prováveis vetores e cargas úteis, considerando ainda infraestrutura de comando e controle (C2). Por exemplo, se já se sabe que o ataque geralmente envolve dados C2 codificados em base64 dentro de um servidor remoto, a equipe de resposta a incidentes pode procurar especificamente por esse tipo de informação, que de outra forma poderia sequer ser considerada.
É algo que demonstra como os TTPs podem ajudar a contextualizar as ameaças e permitir pesquisas e respostas rápidas. Os TTPs pós-incidente impulsionam a pesquisa estratégica e a resposta, sendo essenciais para o processo de inteligência de ameaças cibernéticas. Lições aprendidas e pesquisas adicionais sobre a campanha e dados de ataques relacionados ajudam a amadurecer uma compreensão dos TTPs, permitindo a implementação de medidas e controles mais pró-ativos para ataques futuros usando esses padrões.
Alguns cibercriminosos, por exemplo, podem usar a mesma carga útil em várias campanhas, enquanto outros alteram drasticamente a carga útil principal a cada nova operação. Compreender os TTPs de um determinado cibercriminoso ajuda as equipes de segurança a se protegerem melhor contra ameaças específicas.
Entretanto, os TTPs vão muito além da investigação de incidentes. Muitas vezes os cibercriminosos realizam o reconhecimento antes de executar um ataque, algo que nem sempre é relatado devido à falta de visibilidade – ou capacidade de detecção. Assim, a pesquisa sobre atores de ameaças também revela TTPs adicionais que podem ser úteis. Pode-se então descobrir exploits e outras ferramentas de ataque que são compartilhados ou vendidos em fóruns clandestinos e em grupos privados na dark web. Saber quais ferramentas estão sendo usadas e como estão sendo aproveitadas e desenvolvidas pode ajudar a fortalecer as defesas.
Exemplo: se um cracker sabe que cinco tentativas malsucedidas de login em um servidor gera um alerta para os times de segurança, ele pode usar uma ferramenta configurada para tentar apenas quatro logins de força bruta na área de trabalho remota antes de iniciar uma nova sessão, evitando assim a detecção. Para combater esse TTP, a equipe de segurança pode diminuir o limite de tentativas erradas de login, configurando para que três delas resultem em um alerta no SIEM.
Nesse contexto, os TTPs podem ajudar com risco preditivo ou emergente, como o compartilhamento de exploits de dia zero em um fórum sendo integrado a um bot. Esse tipo de informação baseada na dark web TTP é útil para auxiliar decisões baseadas em ações, como prioridades de patch e patch de emergência. Do mesmo modo, a pesquisa detalhada em cargas úteis e logs também revela TTPs de interesse – como etapas ou ações executadas por atores ou código em uma rede ou exfiltração de dados. Essas informações podem então ser usadas para aumentar a visibilidade, registrar ou mitigar ameaças.
TTPs é um conhecimento valioso
Compreender os TTPs é importante para diversas áreas de pesquisas focadas e específicas. Por exemplo, uma unidade que se concentra na exploração de vulnerabilidades dependerá fortemente dos TTPs técnicos relacionados a explorações e cargas úteis – em termos de como eles contextualizam e categorizam os ataques – bem como a forma como a abordagem é mapeada. O mesmo serve para uma unidade que se concentra na pesquisa e resposta de malware.
Para comparar os TTPs e aproveitá-los no processo de inteligência de ameaças cibernéticas, eles devem ser armazenados de maneira eficiente e aplicável. Isso geralmente inclui um conjunto de dados interconectados com correlação cruzada em uma plataforma de inteligência de ameaças, facilitando a orquestração de pesquisa e resposta em uma empresa. Também deve envolver analistas de ameaças dedicados e experientes que construam um entendimento sobre os cibercriminosos, campanhas e TTPs associados em respostas reativas e estratégicas após um incidente.
Assim, recomenda-se que as principais ameaças enfrentadas por uma empresa tenham prioridade na pesquisa sobre TTPs, como ataques convencionais ou direcionados que ameaçam seu sistema. Empresas de menor porte podem se beneficiar estrategicamente com a terceirização de tais pesquisas e respostas, para alavancar uma equipe interna para aplicação de TTPs em uma prática de inteligência contra ameaças cibernéticas.
This post is also available in: Português