Para defender sua organização contra ameaças cibernéticas, você precisa de uma imagem clara do cenário atual de ameaças. Isto significa expandir constantemente o seu conhecimento sobre ameaças novas e contínuas.
Existem muitas técnicas que os analistas podem usar para coletar informações cruciais sobre ameaças cibernéticas. Vamos considerar cinco que podem melhorar muito suas investigações de ameaças.
Girando em endereços IP С2 para identificar malware
Os endereços IP usados pelo malware para se comunicar com seus servidores de comando e controle (C2) são indicadores valiosos. Eles podem ajudar não apenas a atualizar suas defesas, mas também a identificar infraestruturas e ferramentas relacionadas pertencentes a atores de ameaças.
Isso é feito usando o método pivotante, que permite aos analistas encontrar contexto adicional sobre a ameaça em questão com um indicador existente.
Para realizar a dinamização, os analistas usam várias fontes, incluindo bancos de dados de inteligência de ameaças que armazenam grandes volumes de dados recentes sobre ameaças e oferecem recursos de pesquisa.
Uma ferramenta útil é Menace Intelligence Lookup de ANY.RUN. Este serviço permite pesquisar seu banco de dados usando mais de 40 parâmetros de consulta diferentes, como:
- Indicadores de rede (endereços IP, nomes de domínio)
- Caminhos do registro e do sistema de arquivos
- Nomes de ameaças, nomes de arquivos e hashes específicos
ANY.RUN fornece dados associados aos indicadores ou artefatos em sua consulta, juntamente com sessões de sandbox onde os dados foram encontrados. Isso ajuda os analistas a identificar um determinado indicador ou sua combinação para um ataque específico, descobrir seu contexto e coletar informações essenciais sobre ameaças.
Para demonstrar como funciona, vamos usar o seguinte endereço IP como parte de nossa consulta: 162(.)254(.)34(.)31. No seu caso, o indicador inicial pode vir de um alerta gerado por um sistema SIEM, um feed de inteligência sobre ameaças ou uma pesquisa.
 |
| A guia de visão geral mostra os principais resultados de nossa pesquisa |
O envio do endereço IP para o TI Lookup nos permite ver instantaneamente que seu IP foi vinculado a atividades maliciosas. Também nos permite saber que a ameaça específica usada com este IP é AgentTesla.
O serviço exibe domínios relacionados ao indicador, bem como portas utilizadas por malware ao se conectar a este endereço.
 |
| Regra Suricata IDS vinculada ao IP consultado indica exfiltração de dados by way of SMTP |
Outras informações disponíveis incluem arquivos, objetos de sincronização (mutexes), ASN e regras Suricata acionadas que foram descobertas em sessões de sandbox envolvendo o endereço IP em questão.
 |
| Regra Suricata IDS vinculada ao IP consultado indica exfiltração de dados by way of SMTP |
Também podemos navegar até uma das sessões sandbox onde o IP foi detectado para ver todo o ataque e coletar informações ainda mais relevantes, bem como reexecutar a análise da amostra para estudá-la em tempo actual.
Teste o TI Lookup para ver como ele pode melhorar suas investigações de ameaças. Solicite um teste gratuito de 14 dias.
Usando URLs para expor a infraestrutura dos agentes de ameaças
Examinar os domínios e subdomínios pode fornecer informações valiosas sobre URLs usados para hospedar malware. Outro caso de uso comum é a identificação de websites usados em ataques de phishing. Os websites de phishing geralmente imitam websites legítimos para induzir os usuários a inserir informações confidenciais. Ao analisar esses domínios, os analistas podem descobrir padrões e descobrir uma infraestrutura mais ampla empregada pelos invasores.
 |
| URLs que correspondem à nossa consulta de pesquisa para a infraestrutura de hospedagem de carga útil da Lumma |
Por exemplo, sabe-se que o malware Lumma usa URLs que terminam em “.store” para armazenar cargas maliciosas. Ao enviar este indicador ao TI Lookup junto com o nome da ameaça, podemos ampliar os domínios e URLs mais recentes usados nos ataques do malware.
Identificando ameaças por TTPs MITRE específicos
A estrutura MITRE ATT&CK é uma base de conhecimento abrangente de táticas, técnicas e procedimentos do adversário (TTPs). Usar TTPs específicos como parte de suas investigações pode ajudá-lo a identificar ameaças emergentes. Construir proativamente o seu conhecimento sobre as ameaças atuais contribui para a sua preparação contra possíveis ataques no futuro.
 |
| TTPs mais populares nos últimos 60 dias exibidos pelo Portal de Inteligência de Ameaças da ANY.RUN |
ANY.RUN fornece uma classificação ao vivo dos TTPs mais populares detectados em milhares de amostras de malware e phishing analisadas na sandbox ANY.RUN.
 |
| Sessões de sandbox que correspondem a uma consulta com um MITRE TTP junto com uma regra de detecção |
Podemos escolher qualquer um dos TTPs e enviá-lo para pesquisa no TI Lookup para encontrar sessões sandbox onde suas instâncias foram encontradas. Conforme mostrado acima, combinar T1552.001 (Credenciais em Arquivos) com a regra “Roba credenciais de navegadores da Net” nos permite identificar análises de ameaças envolvidas nessas atividades.
Coletando amostras com regras YARA
YARA é uma ferramenta usada para criar descrições de famílias de malware com base em padrões textuais ou binários. Uma regra YARA pode procurar strings ou sequências de bytes específicas que sejam características de uma família de malware específica. Esta técnica é altamente eficaz para automatizar a detecção de malware conhecido e para identificar rapidamente novas variantes que compartilham características semelhantes.
Serviços como o TI Lookup fornecem YARA Search integrado que permite fazer add, editar, armazenar e usar suas regras personalizadas para encontrar amostras relevantes.
 |
| A pesquisa usando uma regra XenoRAT YARA revelou mais de 170 arquivos correspondentes |
Podemos usar uma regra YARA para XenoRAT, uma in style família de malware usada para controle remoto e roubo de dados, para descobrir as amostras mais recentes dessa ameaça. Além dos arquivos que correspondem ao conteúdo da regra, o serviço também oferece sessões de sandbox para explorar esses arquivos em um contexto mais amplo.
Descobrindo malware com artefatos de linha de comando e nomes de processos
Identificar malware por meio de artefatos de linha de comando e nomes de processos é uma técnica eficaz, mas incomum, já que a maioria das fontes de inteligência sobre ameaças não oferece tais recursos.
O banco de dados de inteligência de ameaças da ANY.RUN se destaca por obter dados de sessões de sandbox ao vivo, oferecendo acesso a dados reais de linha de comando, processos, modificações de registro e outros componentes e eventos registrados durante a execução de malware na sandbox.
 |
| Resultados do TI Lookup para a linha de comando e pesquisa de processos relacionados ao ladrão Strela |
Como exemplo, podemos usar uma string de linha de comando utilizada pelo ladrão Strela junto com o processo web.exe para acessar uma pasta em seu servidor remoto chamada “davwwwroot”.
O TI Lookup fornece vários exemplos, arquivos e eventos encontrados em sessões de sandbox que correspondem à nossa consulta. Podemos usar as informações para extrair mais insights sobre a ameaça que enfrentamos.
Integre a pesquisa de inteligência de ameaças de ANY.RUN
Para acelerar e melhorar a qualidade dos seus esforços de pesquisa de ameaças, você pode usar o TI Lookup.
Experimente o TI Lookup e veja como ele pode contribuir para suas investigações de ameaças com um teste de 14 dias →
A inteligência de ameaças do ANY.RUN é proveniente de amostras enviadas para a sandbox para análise por mais de 500.000 pesquisadores em todo o mundo. Você pode pesquisar neste enorme banco de dados usando mais de 40 parâmetros de pesquisa.
Para saber mais sobre como melhorar suas investigações de ameaças com o TI Lookup, assista ao webinar ao vivo do ANY.RUN em 23 de outubro, às 14h GMT (UTC +0).
