RESPOSTA INCIDENTE BRUTE FORCE

Departamento: Segurança Digital

ATTACK
Data do incidente: 12/07/23
Página: 1 de 10

Autores: Gustavo Mariano / Pedro Fejes

Objetivo

Documentar a tratativa que realizamos tomando as ações de contenção e mitigação do incidente

de relacionado a tentativas de ataque de Força Bruta na aplicação MS 365

2. Detecção
Recebemos as detecções de diversos alertas na ferramenta do RIS
3. Análise e investigação

Iniciamos o processo de análise e investigação primeiramente na ferramenta azure AD, onde

conseguimos detectar nos logs de entrada de usuário diversas tentativas de ataques de brute
force direcionado para o usuário: will.orias@bpbungebio.com.br. Os ataques estavam sendo
enviado de diversas localidades e IP’s diferentes, e estava se tornando recorrente por diversos
dias.

Analisando os detalhes das atividades de entrada conseguimos identificar que o atacante não
conseguiu efetuar a descoberta da senha utilizando de seus métodos de ataques.
Aprofundando mais na investigação, nós analisamos as políticas de acesso condicional
relacionado a métodos de autenticação MFA aplicadas para este usuário e conseguimos
identificar que não havia aplicado métodos de autenticação utilizáveis como camada de proteção
para este colaborador.

Analisando as atividades de usuário observado na organização podemos identificar a

proporção do total de atividades de login do usuário por localizações diferentes.
4. Contenção

Iniciamos o processo de contenção e mitigação do incidente tomando as seguintes

ações:

• Bloqueio de IP dos atacantes nas ferramentas Defender, Trend Micro e Firewall.

• Desabilitamos o usuário do colaborador no AD local

• Solicitação de reset de senha no Azure AD

• Revogação de todas as sessões abertas

• Forçado o recadastramento do MFA

• Aplicado dentro da política para o usuário a exigência do MFA como ‘’imposto’’
5. Erradicação

Esta fase tem como objetivo eliminar completamente a causa raiz deste incidente de brute force, sempre
que possível, eliminando completamente o invasor do ambiente e impedindo que novos ataques sejam
realizados (utilizando os mesmos métodos e meios utilizados pelo atacante).

Os processos desta fase são:

• Realizar um filtro completo checando se houve mais relatos de tentativas de ataques de brute force
no ambiente utilizando o mesmo comportamento partindo das mesmas origens e com os mesmos
destinos e se é possível cruzar as informações e relacioná-los
• Alimentar as principais ferramentas de segurança com os IOC’s (indicadores de comprometimento)
com as informações e dados coletados durante a investigação como por exemplo IP’s maliciosos,
domínios, e-mail e hashes.

6. Recuperação

Esta fase tem como objetivo restaurar os serviços, configuração e nível de controles/ recomendáveis.

Os processos desta fase são:

• Analisar e restaurar os serviços que possam ter sofrido alguma indisponibilidade devido ao
bloqueio do domínio.
• Se for necessário, efetuar os testes com os usuários da organização para garantira normalização
do ambiente.

7. Lições Aprendidas e Documentação do incidente

Em caso de incidentes confirmados, após toda a contenção e mitigação, todo o fluxo do processo deverá
ser documentado em relatório evidenciando todas os processos de contenção tomadas pelos times
envolvidos.