Juntando o quebra cabeças e entendendo a anatomia
Cruzamento do endereço IP suspeito, identificado como maior gerador de conexões, com as informações de inteligência da plataforma https://virustotal.com e o desenvolvimento de pensamento analítico sobre os ativos que compõe o cenário.
Análise de reputação do endereço IP identificado:
VirusTotal confirmou a ligação da reputação desse CIDR do endereços IP com casos de malware, através de inormações indexadas em uma terceira plataforma de inteligência, apontada nos indicadores, que ao ser consultada detalhou ainda mais, como sendo um "malware" ligado a uma "Botnet".
Que tipo de dispositivo da rede originou tais requisições e quais as características sistêmicas desse dispositivo?
Dispositivo identificado, conforme a gestão de ativos, incluindo sua localização, como uma TvBox MXQ-PRO 4K, confirmado de forma presencial e visual. O dispositivo possui sistema operacional Android na versão 10.1.
Com o conjunto de informações que temos até aqui, existe algo em fontes abertas que pode refinar ainda mais nossa detecção?
Recapitulando através de palavras-chave, quais as informações que temos até aqui?
MALWARE + ANDROID + TVBOX + BOTNET
O que podemos fazer com estas palavras-chave? Busca em fontes abertas na internet, como por exemplo o próprio buscado do Google, e.... INFORMAÇÕES VALIOSAS!
Com as informações obtidas em fontes abertas, foi possível identificar precisamente que o modelo da TvBox que estamos analisando, e confirmar que ele possui ligação com a Botnet "ANDROID BADBOX 2.0", pois pertencia a um grupo de dispositivos sabidamente comprometidos, com estudo detalhado por pesquisadores de segurança da informação:
https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/
Como este dispositivo pode operar de maneira maliciosa para comprometer a infraestrutura onde estava inserido?
-
Indicadores de RECONHECIMENTO do ambiente detectados:
-
Indicadores de EVASÃO de defesas detectados:
- Durante a detecção e contenção, pode haver a alteração dos Indicadores de Comprometimento (IoC) de rede que identiicam o servidor de Comando e controle do Malware (Ip, geolocalização, ASN, Domínios, etc), como no exemplo abaixo, mas não se limitando apenas a estes:
- DE:
- DE:
- Durante a detecção e contenção, pode haver a alteração dos Indicadores de Comprometimento (IoC) de rede que identiicam o servidor de Comando e controle do Malware (Ip, geolocalização, ASN, Domínios, etc), como no exemplo abaixo, mas não se limitando apenas a estes:
-
- PARA:
- PARA:
-
- Uso de um único dispositivo, com permissionamento excessivo, para se deslocar lateralmente na rede interna, utilizando protocolos autorizados para não levantar suspeitas.
- Dispositivos TvBox podem ser usadas conectadas a um servidor de conteúdo para apresentação de propagandas ou conteúdos internos, nesse cenário, os dispositivos comprometidos, mantém o envio suas requisições ao servidor desse serviço que originalmente teriam permissão, mascarando o tráfego, porém em quantidade anormais.
- Este host interno,
possuiateria um cenário de vulnerabilidades e permissões excessivas de acessos às redes, quepermitirampermitiriam aos dispositivos comprometidos executar comandos através dele e a partir daí analisar e comprometer outros dispositivos da infraestrutura em outras redes (técnica de pivoting).
-
- Uso de um único dispositivo, com permissionamento excessivo, para se deslocar lateralmente na rede interna, utilizando protocolos autorizados para não levantar suspeitas.
-
Indicadores de COMPROMETIMENTO do ambiente detectados: