Threat Hunting – Como os frameworks podem

te ajudar a criar cenários e detectar ameaças

Rodrigo ”Sp0oKeR” Montoro

@spookerlabs

Quem sou eu ?

Agenda

• Motivação

• Threat Hunting

• Cyber Kill Chain ™

• ATT&CK (Mitre)

• Cenário / Caçando

• Conclusão

Motivação

• Conhecimento dos atacantes

• Superfície de ataque

• Dificuldade para mapear as ameaças

• Demora detectar os invasores

O que é Threat Hunting ?

Primeiramente o que não é!

• Utilizar Threat Intel

• Resposta a incidentes

• Instalar ferramentas e esperar alertas

• Análise forense

Threat Hunting

Hipóteses

• Indicadores de Comprometimentos (IoC)

• Táticas, Técnicas e Procedimentos (TTP)

• Time Ofensivo (Red Team)

• Experiência / Maldade / Feelings

Fontes de dados

• Netflow

• Firewall

• Eventos sistema (EventID, AuditD)

• Logs Aplicações

• Algo que gere informação interessante

Antes ...

Tudo junto e misturado ...

Em Fases

Aprofundando em uma fase

Cyber Kill Chain ™

Sobre Cyber Kill Chain ™

• Criado Lockheed Martin

• Dividido em 7 etapas

• Detecção fases iniciais é melhor

• Reanalisar não detecção fases anteriores

Reconhecimento Municiamento Entrega Exploração Instalação

Comando

e

Controle (c2)

Ações

Objetivos

E-mails

Domínios

Usuários

Vagas

Serviços expostos

Vazamentos

Ferramentas

Phishing

Payloads

Malwares

E-mail

Websites

Wifi

Dispositivos

Móveis

Humana

Software

Hardware

Cliente/Servidor

0day

Backdoors

Webshells

Serviços

Covert

Channels

Updates

Elevação

privilégio

Movimento lateral

Roubo dados

Destruir sistemas

Modificar dados

Coletar usuarios

Cyber Kill Chain ™

ATT&CK (Adversarial Tactics,

Techniques & Common

Knowlodge )

ATT&CK

Sobre ATT&CK

• Framework criado pelo Mitre

• Técnicas usadas após exploração

• 10 táticas / 130+ técnicas

• Foco comportamento não em ferramentas

• Pesquisa constante (último update abril)

Táticas

PersistencePrivilege

Escalation

Defense

Evasion

Credential

AccessDiscovery

Lateral

MovementExecution Collection Exfiltration

Command and

Control

Técnicas

Cenário / Caçando

Exemplo cenário

ATT&CK

Algumas Análises Matrix

Auto Análise

Ofensivo (Teste de invasão)

Defesa (SIEM Octopus)

Ferramentas Perímetro

Conclusões

• Frameworks facilitam a criação de cenários

menores

• Entenda os atacantes

• Valide suas proteções

• Não espera alguém te avisar da invasão

• Sempre ache o Wally!

OBRIGADO!Rodrigo Montoro

rodrigo@clavis.com.br

@spookerlabs / @ClavisSecurity