O documento discute como frameworks como Cyber Kill Chain e ATT&CK podem ajudar a criar cenários e detectar ameaças. Ele explica o que é threat hunting, apresenta os principais frameworks e fornece um exemplo de como eles podem ser usados para analisar dados e validar defesas contra ameaças.

1. Threat Hunting – Como os frameworks podem
te ajudar a criar cenários e detectar ameaças
Rodrigo ”Sp0oKeR” Montoro
@spookerlabs

2. Quem sou eu ?

3. Agenda
• Motivação
• Threat Hunting
• Cyber Kill Chain ™
• ATT&CK (Mitre)
• Cenário / Caçando
• Conclusão

4. Motivação
• Conhecimento dos atacantes
• Superfície de ataque
• Dificuldade para mapear as ameaças
• Demora detectar os invasores

5. O que é Threat Hunting ?

6. Primeiramente o que não é!
• Utilizar Threat Intel
• Resposta a incidentes
• Instalar ferramentas e esperar alertas
• Análise forense

7. Threat Hunting

8. Hipóteses
• Indicadores de Comprometimentos (IoC)
• Táticas, Técnicas e Procedimentos (TTP)
• Time Ofensivo (Red Team)
• Experiência / Maldade / Feelings

9. Fontes de dados
• Netflow
• Firewall
• Eventos sistema (EventID, AuditD)
• Logs Aplicações
• Algo que gere informação interessante

10. Antes ...

11. Tudo junto e misturado ...

12. Em Fases

13. Aprofundando em uma fase

14. Cyber Kill Chain ™

15. Sobre Cyber Kill Chain ™
• Criado Lockheed Martin
• Dividido em 7 etapas
• Detecção fases iniciais é melhor
• Reanalisar não detecção fases anteriores

16. Reconhecimento Municiamento Entrega Exploração Instalação
Comando
e
Controle (c2)
Ações
Objetivos
E-mails
Domínios
Usuários
Vagas
Serviços expostos
Vazamentos
Ferramentas
Phishing
Payloads
Malwares
E-mail
Websites
Wifi
Dispositivos
Móveis
Humana
Software
Hardware
Cliente/Servidor
0day
Backdoors
Webshells
Serviços
Covert
Channels
Updates
Elevação
privilégio
Movimento lateral
Roubo dados
Destruir sistemas
Modificar dados
Coletar usuarios
Cyber Kill Chain ™

17. ATT&CK (Adversarial Tactics,
Techniques & Common
Knowlodge )

18. ATT&CK

19. Sobre ATT&CK
• Framework criado pelo Mitre
• Técnicas usadas após exploração
• 10 táticas / 130+ técnicas
• Foco comportamento não em ferramentas
• Pesquisa constante (último update abril)

21. Táticas
Persistence
Privilege
Escalation
Defense
Evasion
Credential
Access
Discovery
Lateral
Movement
Execution Collection Exfiltration
Command and
Control

22. Técnicas

23. Cenário / Caçando

24. Exemplo cenário

25. ATT&CK

26. Algumas Análises Matrix

27. Auto Análise

28. Ofensivo (Teste de invasão)

29. Defesa (SIEM Octopus)

30. Ferramentas Perímetro

31. Conclusões
• Frameworks facilitam a criação de cenários
menores
• Entenda os atacantes
• Valide suas proteções
• Não espera alguém te avisar da invasão
• Sempre ache o Wally!

32. OBRIGADO!
Rodrigo Montoro
rodrigo@clavis.com.br
@spookerlabs / @ClavisSecurity