SlideShare uma empresa Scribd logo

Treta Hunting - Cris Barbosa

Transferir como PPTX, PDF
Test Girls
Test Girls

O documento discute threat hunting, incluindo conceitos como a pirâmide de dor e técnicas de ataque iniciais como password spraying. Ele também descreve o processo de threat hunting, começando com a formulação de hipóteses, testes de injeção de ameaças e análise de logs para validar a visibilidade de ameaças. O documento fornece um exemplo de como detectar password spraying usando logs do Active Directory.

Tecnologia
1 de 23
09/10/2018 #AdaOpenLace THREAT TRETA HUNTING Cris Barbosa Analista de Segurança da Informação
#AdaOpenLace CENÁRIO
#AdaOpenLace CENÁRIO IDS IPS ANTI-MALWARE FIREWALLCONTROLE DE ACESSO NAC CRIPTOGRAFIA DE DISCOCOFRE DE SENHAS PROXY
#AdaOpenLace OBJETIVO
#AdaOpenLace OBJETIVO Como? • Criando hipóteses de ataques que estejam acontecendo no ambiente • Analisando logs, buscando ameaças no ambiente • Automatizando a detecção sempre que possível O principal objetivo do time de Threat Hunting é detectar ameaças que evadem as ferramentas de segurança. 5
#AdaOpenLace CONCEITOS
#AdaOpenLace PYRAMID OF PAIN Indicators of Compromise File Hashes IP Addresses Domain Names Network/Host Artifacts Tools TTPs 7
#AdaOpenLace PYRAMID OF PAIN Threat Hunting T e c h n i q u e s Initial Access Execution Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Collection Exfiltration Command and Control Mitre CKC Indicators of compromise 8
#AdaOpenLace O PROCESSO
#AdaOpenLace HIPÓTESES 1. Quais logs podem ser gerados com essa técnica? 2. Quais logs eu já tenho? 3. De que forma posso detectar esse ataque? 4. Como posso melhorar a assertividade? 10
#AdaOpenLace AÇÃO
#AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel Pentest Threat Injection backlog de hipóteses desenvolvimento teste Descarte Incorporação SOC Internalização CICLO DE VIDA DA HIPÓTESE 1
#AdaOpenLace EXEMPLO: PASSWORD SPRAY Testar um pequeno conjunto de senhas prováveis para vários usuários. Conceito Tentativas de login no AD Informações necessárias Muitas tentativas de login no AD a partir das mesmas origens, para muitos usuários diferentes. Como detectar Premissa: ataque de força bruta Um usuário, várias senhas joana@hotmail.co m Senha1 Senha 123 niverdamamãe verde verde2 verde3 verde123 Verde123! Empresa: Lanchonete Verde 13
#AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 14 SourceIP values(TargetUserNam e) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105 #AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 12 SourceIP values(TargetUserName) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105 #AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 12 SourceIP values(TargetUserName) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105
#AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel Pentest Threat Injection backlog de hipóteses desenvolvimento teste Descarte Incorporação SOC Internalização CICLO DE VIDA DA HIPÓTESE 1
#AdaOpenLace THREAT INJECTION 16
#AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel THREAT INJECTION backlog priorização ataque análise da resposta feedback assessment da visibilidade novas correlações planos de ação relatórios 1
#AdaOpenLace ENTRADA: MITRE ATT&CK + VISIBILIDADE Data Sources Númeo de técnicas Network intrusion detection system 12 Process monitoring 365 User interface 10 File monitoring 220 Network device logs 10 Process command-line parameters 187 Email gateway 9 Process use of network 101 Kernel drivers 9 Packet capture 89 Host network interface 9 API monitoring 72 Services 7 Netflow/Enclave netflow 71 Detonation chamber 6 Authentication logs 66 Mail server 6 Windows Registry 64 Named Pipes 6 Network protocol analysis 52 Environment variable 5 Binary file metadata 46 MBR 5 DLL monitoring 30 BIOS 4 Windows event logs 27 Web logs 3 SSL/TLS inspection 27 DNS records 3 (blank) 23 Asset Management 3 Malware reverse engineering 22 Browser extensions 3 Loaded DLLs 21 Digital Certificate Logs 3 Anti-virus 21 Web application firewall logs 3 System calls 19 Access Tokens 2 Data loss prevention 18 VBR 2 Application Logs 14 PowerShell logs 1 Windows Error Reporting 12 WMI Objects 1 Web proxy 12 Sensor health and status 1 Third-party application logs 12 EFI 1 18
#AdaOpenLace CONCLUSÃO 19
#AdaOpenLace FLUXO COMPLETO HIPÓTESE • Assumir a presença do atacante DESENVOLVIME NTO • Correlação de logs com o intuito de encontrar ameaças PHASE OUT • Passar a regra para produção INJEÇÃO DE AMEAÇA • Testar o real nível de visibilidade para aquela técnica
#AdaOpenLace MODELO DE MATURIDADE Hunt Evil: Your Practical Guide to Threat Hunting SQRRL 2
#AdaOpenLace PERGUNTAS?
#AdaOpenLace OBRIGADO!

Recomendados

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Kleitor Franklint Correa Araujo
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 

Recomendados

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de SegurançaAlefe Variani
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Kleitor Franklint Correa Araujo
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)debian-rs
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Autenticação
AutenticaçãoAutenticação
AutenticaçãoRigo Rodrigues
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Dicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigosDicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigosJoubert Guimarães de Assis "RedRat"
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07Roberto Castro
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Desenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend FrameworkDesenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend FrameworkFlávio Lisboa
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
teste de invasão
teste de invasãoteste de invasão
teste de invasãoClaudio Francisco Joaquim Joaquim
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de RedeMarcelo Piuma
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testPaulo Renato Lopes Seixas
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 

Mais conteúdo relacionado

Mais procurados

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)debian-rs
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPhillipe Martins
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Desenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend FrameworkDesenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend FrameworkFlávio Lisboa
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 

Mais procurados (16)

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)Uso de ferramentas OpenSource para Análise Forense (pós mortem)
Uso de ferramentas OpenSource para Análise Forense (pós mortem)
 
Pentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFehPentest Invasão e Defesa - AnonFeh
Pentest Invasão e Defesa - AnonFeh
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Autenticação
AutenticaçãoAutenticação
Autenticação
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
Dicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigosDicas de segurança para o PHP e seus amigos
Dicas de segurança para o PHP e seus amigos
 
Pentest
Pentest Pentest
Pentest
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
 
Desenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend FrameworkDesenvolvendo Código Seguro com Zend Framework
Desenvolvendo Código Seguro com Zend Framework
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com Nmap
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 

Semelhante a Treta Hunting - Cris Barbosa

Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testPaulo Renato Lopes Seixas
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?Symantec Brasil
 
Overview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaOverview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaLucas Monzo Nichele
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesAlisson Fuckner
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...Alcyon Ferreira de Souza Junior, MSc
 

Semelhante a Treta Hunting - Cris Barbosa (20)

Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software Livre
 
Backtrack: Solucão open source para pen test
Backtrack: Solucão open source para pen testBacktrack: Solucão open source para pen test
Backtrack: Solucão open source para pen test
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux Audit
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
 
Overview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK TecnologiaOverview Kaspersky - CGK Tecnologia
Overview Kaspersky - CGK Tecnologia
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSP
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
 

Mais de Test Girls

Test Girls - Workshop Testes de Performance
Test Girls - Workshop Testes de PerformanceTest Girls - Workshop Testes de Performance
Test Girls - Workshop Testes de PerformanceTest Girls
 
Workshop de Testes com Cypress
Workshop de Testes com CypressWorkshop de Testes com Cypress
Workshop de Testes com CypressTest Girls
 
[English][Test Girls] Zero to Hero: Start Test automation with Cypress
[English][Test Girls] Zero to Hero: Start Test automation with Cypress[English][Test Girls] Zero to Hero: Start Test automation with Cypress
[English][Test Girls] Zero to Hero: Start Test automation with CypressTest Girls
 
Bug Bash - Uma estratégia colaborativa de testes - Raquel Doná
Bug Bash - Uma estratégia colaborativa de testes - Raquel DonáBug Bash - Uma estratégia colaborativa de testes - Raquel Doná
Bug Bash - Uma estratégia colaborativa de testes - Raquel DonáTest Girls
 
Qualidade - end to end - Camila de Mauro
Qualidade - end to end - Camila de MauroQualidade - end to end - Camila de Mauro
Qualidade - end to end - Camila de MauroTest Girls
 
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina Stoll
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina StollTestes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina Stoll
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina StollTest Girls
 
The future is female - Carine Roos
The future is female - Carine RoosThe future is female - Carine Roos
The future is female - Carine RoosTest Girls
 
Carreira dentro da área de testes - Nhaiara Moura
Carreira dentro da área de testes - Nhaiara MouraCarreira dentro da área de testes - Nhaiara Moura
Carreira dentro da área de testes - Nhaiara MouraTest Girls
 
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina Neri
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina NeriComo funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina Neri
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina NeriTest Girls
 
Engenharia do chaos - Ana Genari
Engenharia do chaos - Ana GenariEngenharia do chaos - Ana Genari
Engenharia do chaos - Ana GenariTest Girls
 

Mais de Test Girls (10)

Test Girls - Workshop Testes de Performance
Test Girls - Workshop Testes de PerformanceTest Girls - Workshop Testes de Performance
Test Girls - Workshop Testes de Performance
 
Workshop de Testes com Cypress
Workshop de Testes com CypressWorkshop de Testes com Cypress
Workshop de Testes com Cypress
 
[English][Test Girls] Zero to Hero: Start Test automation with Cypress
[English][Test Girls] Zero to Hero: Start Test automation with Cypress[English][Test Girls] Zero to Hero: Start Test automation with Cypress
[English][Test Girls] Zero to Hero: Start Test automation with Cypress
 
Bug Bash - Uma estratégia colaborativa de testes - Raquel Doná
Bug Bash - Uma estratégia colaborativa de testes - Raquel DonáBug Bash - Uma estratégia colaborativa de testes - Raquel Doná
Bug Bash - Uma estratégia colaborativa de testes - Raquel Doná
 
Qualidade - end to end - Camila de Mauro
Qualidade - end to end - Camila de MauroQualidade - end to end - Camila de Mauro
Qualidade - end to end - Camila de Mauro
 
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina Stoll
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina StollTestes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina Stoll
Testes de acessibilidade, o que são? - Camila Marinho Garcia e Cristina Stoll
 
The future is female - Carine Roos
The future is female - Carine RoosThe future is female - Carine Roos
The future is female - Carine Roos
 
Carreira dentro da área de testes - Nhaiara Moura
Carreira dentro da área de testes - Nhaiara MouraCarreira dentro da área de testes - Nhaiara Moura
Carreira dentro da área de testes - Nhaiara Moura
 
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina Neri
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina NeriComo funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina Neri
Como funciona uma empresa de tecnologia sem QAs nas equipes? - Sabrina Neri
 
Engenharia do chaos - Ana Genari
Engenharia do chaos - Ana GenariEngenharia do chaos - Ana Genari
Engenharia do chaos - Ana Genari
 

Treta Hunting - Cris Barbosa

  • 1. 09/10/2018 #AdaOpenLace THREAT TRETA HUNTING Cris Barbosa Analista de Segurança da Informação
  • 5. #AdaOpenLace OBJETIVO Como? • Criando hipóteses de ataques que estejam acontecendo no ambiente • Analisando logs, buscando ameaças no ambiente • Automatizando a detecção sempre que possível O principal objetivo do time de Threat Hunting é detectar ameaças que evadem as ferramentas de segurança. 5
  • 7. #AdaOpenLace PYRAMID OF PAIN Indicators of Compromise File Hashes IP Addresses Domain Names Network/Host Artifacts Tools TTPs 7
  • 8. #AdaOpenLace PYRAMID OF PAIN Threat Hunting T e c h n i q u e s Initial Access Execution Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Collection Exfiltration Command and Control Mitre CKC Indicators of compromise 8
  • 10. #AdaOpenLace HIPÓTESES 1. Quais logs podem ser gerados com essa técnica? 2. Quais logs eu já tenho? 3. De que forma posso detectar esse ataque? 4. Como posso melhorar a assertividade? 10
  • 12. #AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel Pentest Threat Injection backlog de hipóteses desenvolvimento teste Descarte Incorporação SOC Internalização CICLO DE VIDA DA HIPÓTESE 1
  • 13. #AdaOpenLace EXEMPLO: PASSWORD SPRAY Testar um pequeno conjunto de senhas prováveis para vários usuários. Conceito Tentativas de login no AD Informações necessárias Muitas tentativas de login no AD a partir das mesmas origens, para muitos usuários diferentes. Como detectar Premissa: ataque de força bruta Um usuário, várias senhas joana@hotmail.co m Senha1 Senha 123 niverdamamãe verde verde2 verde3 verde123 Verde123! Empresa: Lanchonete Verde 13
  • 14. #AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 14 SourceIP values(TargetUserNam e) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105 #AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 12 SourceIP values(TargetUserName) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105 #AdaOpenLace index=active_directory AND LogonType=3 AND (EventID=4625 OR EventID=4624) | stats count, dc(TargetUserName) as distinct_usrs, values(TargetUserName) by SourceIP | search distinct_usrs > 5 | fields SourceIP, values(TargetUserName), distinct_usrs EXEMPLO: PASSWORD SPRAY 12 SourceIP values(TargetUserName) distinct_usrs 10.0.0.1 Cris Paula Lucas Adriano Douglas Alan 6 10.0.0.2 Alvaro Bruno Camila George Fabio Cristiano … 105
  • 15. #AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel Pentest Threat Injection backlog de hipóteses desenvolvimento teste Descarte Incorporação SOC Internalização CICLO DE VIDA DA HIPÓTESE 1
  • 17. #AdaOpenLace Logs Mitre ATT&CK Artigos Threat Intel THREAT INJECTION backlog priorização ataque análise da resposta feedback assessment da visibilidade novas correlações planos de ação relatórios 1
  • 18. #AdaOpenLace ENTRADA: MITRE ATT&CK + VISIBILIDADE Data Sources Númeo de técnicas Network intrusion detection system 12 Process monitoring 365 User interface 10 File monitoring 220 Network device logs 10 Process command-line parameters 187 Email gateway 9 Process use of network 101 Kernel drivers 9 Packet capture 89 Host network interface 9 API monitoring 72 Services 7 Netflow/Enclave netflow 71 Detonation chamber 6 Authentication logs 66 Mail server 6 Windows Registry 64 Named Pipes 6 Network protocol analysis 52 Environment variable 5 Binary file metadata 46 MBR 5 DLL monitoring 30 BIOS 4 Windows event logs 27 Web logs 3 SSL/TLS inspection 27 DNS records 3 (blank) 23 Asset Management 3 Malware reverse engineering 22 Browser extensions 3 Loaded DLLs 21 Digital Certificate Logs 3 Anti-virus 21 Web application firewall logs 3 System calls 19 Access Tokens 2 Data loss prevention 18 VBR 2 Application Logs 14 PowerShell logs 1 Windows Error Reporting 12 WMI Objects 1 Web proxy 12 Sensor health and status 1 Third-party application logs 12 EFI 1 18
  • 20. #AdaOpenLace FLUXO COMPLETO HIPÓTESE • Assumir a presença do atacante DESENVOLVIME NTO • Correlação de logs com o intuito de encontrar ameaças PHASE OUT • Passar a regra para produção INJEÇÃO DE AMEAÇA • Testar o real nível de visibilidade para aquela técnica
  • 21. #AdaOpenLace MODELO DE MATURIDADE Hunt Evil: Your Practical Guide to Threat Hunting SQRRL 2

Notas do Editor

  1. NETWORK ATIFACTS - USER AGENTS