Escolar Documentos
Profissional Documentos
Cultura Documentos
ameaças cibernéticas
Aula 1 – Tipos de ataques
Aula 4 – Malwares
Aula 01
Tipos de ataques
Introdução ao ataques cibernéticos
O que são Ataques Cibernéticos?
• Phishing.
• Injection.
• Malware.
Fonte: imagem - Freepik.com.
• Engenharia social.
• DDoS.
• MiTM.
Importância do tema
• Defesa em profundidade.
https://github.com/gophish/gophish
Como funcionam os ataques de phishing
Christopher Hadnagy.
armadilhas.
A seguir...
• Ataques Man-in-the-Middle.
• Implementação de VPNs.
Alvo
Atacante
DDoS – Distributed Denial of Service
Alvo Alvo Alvo Alvo
Atacante
Cenários de ataques
[INFO] PID=14919
[INFO] t50 5.8.7b successfully launched at Tue Jan 12 10:08:56 2024
Impacto e Estratégia de mitigação
• Balanceamento de Carga.
Atores de ameaças
Hackers
#ficadica
Documentário: Hackers: Criminosos e Anjos
Black Hat & White Hat
• Conhecidos por diversos nomes, como grupos de Fonte: imagem de Macrovector no Freepik.com
• Grupos de Ameaças.
• Software e Ferramentas.
• Campanhas Atribuídas.
https://attack.mitre.org/groups/
A seguir...
• Explorar motivações
Definição de APTs:
• Utilizam a estrutura MITRE ATT&CK para execução e análise. Fonte: imagem de macrovector official no Freepik.com
E1 - Reconhecimento
exfiltrar dados.
Desafios e Impactos das APTs
• Estratégias de defesa.
Estudo de caso – APTO10
Introdução ao Ataque APT10 – Stone Panda
https://attack.mitre.org/
E1 - Reconhecimento
• Estabelecimento de Canal C2
• Uso do RAT (Remote Access Trojan) chamado RedLeaves
para criar um canal de comando e controle.
• Funções do Canal C2
• Emissão de comandos remotos aos sistemas
comprometidos. Fonte: AdobeStock
• Objetivos da Exfiltração
• Roubo de informações sensíveis e propriedade intelectual.
• Acessar dados críticos para fins de espionagem ou
vantagem competitiva.
• Desafios para a Segurança
• Dificuldade em detectar a exfiltração devido ao uso de
ferramentas legítimas.
Conclusão e Defesa contra APTs
• Ameaças Internas:
• Contexto da ameaça:
• Incidente envolvendo um funcionário insatisfeito em uma
grande corporação tecnológica.
• Sabotagem de operações e comprometimento de
informações confidenciais.
• Métodos utilizados: Fonte: ícone de Freepik.com. Acesso em 06 de
• Operação de Sabotagem:
• Consequências da sabotagem:
operacional.
• Impactos abrangentes:
4. Exfiltração (Exfiltration).
Fonte: AdobeStock
Monitoramento
sistema.
Engenharia social
Introdução a Engenharia Social
Engenharia Social
Christopher Hadnagy.
• Phishing.
• Pretexting.
Fonte: Email pishing. Disponível em
• Baiting. https://as1.ftcdn.net/v2/jpg/04/74/33/90/1000_F_474339043_QzXUc0
C7swuLQE0X4odISvMDsCC6Mscl.jpg. Acesso em 05 de dezembro
de 2023
https://owasp.org/www-community/attacks/Qrljacking
A seguir...
• Conscientização do usuário.
segurança.
não autorizados.
• Narrativa enganosa.
• Identidade falsa.
• Objetivos diversificados.
• Atualizações de senha.
search&related_id=6260326>. Acesso em 05 de dezembro de 2023
• Emergências fabricadas.
• Personificação de autoridades.
Evitando Baiting e Pretexting
• Desconfiança saudável.
• Verificação de fontes.
• Educação e treinamento.
• Políticas de Segurança.
Fonte: Conceito engenharia Social. Disponível em
https://as1.ftcdn.net/v2/jpg/06/17/46/30/1000_F_617463050_MaIqbjI9I30m637HuUaCb00BSE8AQZ
• A excelência do conhecimento.
• Soluções antiphishing.
Fonte: ícone de Freepik.com. Acesso em 06 de
dezembro de 2023
• Firewalls.
• Simulações de Phishing:
• Aprimoramento contínuo.
Malwares
Tipos de Malwares
Tipos de malware
Várias formas:
1. Vírus:
2. Worms Fonte: Malwares em
<https://as2.ftcdn.net/v2/jpg/04/63/54/27/1000_F_463542729_pTBUhiQcD
cpJiB1O1xgH9kk4rk2lcS5X.jpg> Acesso em 07 de dezembro de 2023
3. Trojans
4. Ransomware
5. Bots
Objetivo Comum
https://github.com/jgamblin/Mirai-Source-Code
A seguir...
void scanner_init(void){
...
// Set up passwords
add_auth_entry("\x50\x4D\x4D\x56", "\x5A\x41\x11\x17\x13\x13", 10);
// root xc3511
add_auth_entry("\x50\x4D\x4D\x56", "\x54\x4B\x58\x5A\x54", 9);
// root vizxv
add_auth_entry("\x50\x4D\x4D\x56", "\x43\x46\x4F\x4B\x4C", 8);
// root admin
add_auth_entry("\x43\x46\x4F\x4B\x4C", "\x43\x46\x4F\x4B\x4C", 7);
// admin admin Fonte: AdobeStock
add_auth_entry("\x50\x4D\x4D\x56", "\x1A\x1A\x1A\x1A\x1A\x1A", 6);
// root 888888
add_auth_entry("\x50\x4D\x4D\x56", "\x5A\x4F\x4A\x46\x4B\x52\x41", 5);
// root xmhdipc
add_auth_entry("\x50\x4D\x4D\x56", "\x46\x47\x44\x43\x57\x4E\x56", 5);
// root default
add_auth_entry("\x50\x4D\x4D\x56", "\x48\x57\x43\x4C\x56\x47\x41\x4A", 5);
// root juantech
...
}
https://github.com/jgamblin/Mirai-Source-Code
O processo de infecção
• Iniciação do scanner:
C2
Fonte: AdobeStock
Estabelecimento da comunicação com o C2
main.c
static void resolve_cnc_addr(void)
{
struct resolv_entries *entries;
table_unlock_val(TABLE_CNC_DOMAIN);
entries = resolv_lookup(table_retrieve_val(TABLE_CNC_DOMAIN, NULL));
...
...
printf("[main] Received %d bytes from CNC\n", len);
if (len > 0)
attack_parse(rdbuf, len);
...
Propagação
direta.
Natureza autossustentável
scanner.c
// Loop principal que gera e envia pacotes TCP SYN
while (TRUE)
{
...
for (i = 0; i < SCANNER_RAW_PPS; i++)
{
...
iph->daddr = get_random_ip();
... Fonte: AdobeStock
• Benefícios da Divisão
• Facilita a organização e manutenção do código.
• Otimiza a execução do botnet em ambientes variados.
https://github.com/jgamblin/Mirai-Source-Code
Componentes chave do código
C&C/C2:
• main.go – ponto de entrada no binário do servidor.
• admin.go - interface de administração.
• clientList.go - lista de bots alocados para um determinado ataque.
• attack.go - responsável por lidar com a solicitação de ataque iniciada
pelo servidor C&C/C2. Fonte: AdobeStock
Bot:
• main.c – ponto de entrada na execução do bot.
• scanner.c – varredura de endereços IP em busca de outros dispositivos.
• killer.c - mata vários processos em execução no bot.
• attackudp.c – implementa ataques a serem realizados por um bot IoT.
Componentes chave do código
attack.go
var attackInfoLookup map[string]AttackInfo = map[string]AttackInfo {
...
"udp": AttackInfo {
0,
[]uint8 {2, 3, 4, 0, 1, 5, 6, 7, 25},
"UDP flood",
},
...
}
Fonte: AdobeStock
var flagInfoLookup map[string]FlagInfo = map[string]FlagInfo {
...
"len": FlagInfo {
0,
"Size of packet data, default is 512 bytes",
},
...
}
• Segurança e anonimato
• Comunicação projetada para ser segura e anônima.
• Utiliza técnicas avançadas para evitar detecção.
• Protege contra análise por pesquisadores de segurança e
autoridades.
Registro na Botnet
• Registro inicial
• Primeiro passo após infecção: registro na botnet.
• Comunicação com o servidor C&C/C2 essencial para integração.
• Integração à rede
• Permite que o dispositivo receba comandos do Mirai.
• Participação ativa nas operações e ataques da botnet. Fonte: AdobeStock
• Eficiência do processo
• Processo de registro demonstra a sofisticação da botnet.
• Novos dispositivos rapidamente assimilados.
• Contribui para fortalecer e expandir a rede maliciosa.
Distribuição e Execução de Comandos
• Instruções do Servidor C2
• Variedade de comandos
Fonte: AdobeStock
• Coordenação meticulosa.
ataques.
A seguir...
attack_udp.c
// Ataque que explora servidores DNS, enviando solicitações com o objetivo de
sobrecarregar o servidor com respostas.
attack.go
Responsável por analisar o comando de ataque e inicializar uma
estrutura Attack com os parâmetros especificados, incluindo os alvos.
func NewAttack(str string, admin int) (*Attack, error) {
...
// Parse targets
if len(args) == 0 {
return nil, errors.New("Must specify prefix/netmask as targets") Fonte: AdobeStock
....
prefix = cidrInfo[0]
if len(cidrInfo) == 2 {
...
netmask = uint8(netmaskTmp)
...
...
// Enfileira o comando de ataque para os bots
clientList.QueueBuf(buf, botCount, "") this.conn.Write([]byte("OK\r\n"))
...
Coordenação do ataque
api.go
Após a autenticação, o comando de ataque (parte do comando
recebido após a chave da API) é processado.
... // Processa o comando de ataque após a autenticação
cmd = passwordSplit[1] ... atk, err := NewAttack(cmd, userInfo.admin)
...
Uma vez que o comando de ataque é validado e processado, o próximo Fonte: AdobeStock
...
// Enfileira o comando de ataque para os bots
clientList.QueueBuf(buf, botCount, "") this.conn.Write([]byte("OK\r\n"))
...
Distribuição e sobrecarga
• Alguns destaques
• Importância de aprender sobre ameaças como o Mirai.
• Expansão do conhecimento em programação e redes.
• Entendimento aprofundado de tipos de ataques.
• Estratégias de fortalecimento contra ataques.
Recapitulando
Recapitulando
PROKISCH, C. A. Segurança digital prevenção e resposta a ataques cibernéticos. São Paulo: Editora Senac, 2023.
ZETTER, K. Countdown to Zero Day Stuxnet and the Launch of the World's First Digital Weapon. [S. l.]: Crown, 2014
GORDOVER, M. Throwback Thursday: Lessons Learned from the 2008 Heartland Data Breach in PROOFPOINT. 19 mar
2015. Disponível em: <https://www.proofpoint.com/us/blog/insider-threat-management/throwback-thursday-lessons-
learned-2008-heartland-breach>. Acesso em: 18 mar 2024.
VIJAYAN, J. Sony Pictures falls victim to major data breach in Computerworld. Disponível em: <
https://www.computerworld.com/article/2508871/sony-pictures-falls-victim-to-major-data-breach.html>. Acesso em:
18 mar 2024.
Referências
RAHMAN, M. H.; CASSANDRO, R.; WUEST, T.; SHAFAE, M. Taxonomy for Cybersecurity Threat Attributes and
Countermeasures in Smart Manufacturing Systems. Disponível em:
<https://arxiv.org/ftp/arxiv/papers/2401/2401.01374.pdf>. Acesso em: 18 mar 2024.
VENTURA, F. O maior ataque DDoS já registrado teve como alvo o GitHub in Tecnoblog. Disponível em:
<https://tecnoblog.net/noticias/maior-ataque-ddos-github/>. Acesso em: 18 mar 2024.
GAMBLIN, J. Mirai Source Code. Disponível em: <https://github.com/jgamblin/Mirai-Source-Code> . Acesso em: 18 mar
2024.