Juntando o quebra cabeças e entendendo a anatomia
Cruzamento do endereço IP suspeito, identificado como maior gerador de conexões, com as informações de inteligência da plataforma https://virustotal.com e o desenvolvimento de pensamento analítico sobre os ativos que compõe o cenário.
Análise de reputação do endereço IP identificado:
VirusTotal confirmou a ligação da reputação desse CIDR do endereços IP com casos de malware, incluindo domínio maliciosos que estes IPs já foram vinculados, e através de informações indexadas em uma terceira plataforma de inteligência, apontada nos indicadores, que ao ser consultada detalhou ainda mais, como sendo um "malware" ligado a uma "Botnet".
Que tipo de dispositivo da rede originou tais requisições e quais as características sistêmicas desse dispositivo?
Dispositivo identificado, conforme a gestão de ativos, incluindo sua localização, como uma TvBox MXQ-PRO 4K, confirmado de forma presencial e visual. O dispositivo possui sistema operacional Android na versão 10.1.
Com o conjunto de informações que temos até aqui, existe algo em fontes abertas que pode refinar ainda mais nossa detecção?
Recapitulando através de palavras-chave, quais as informações que temos até aqui?
MALWARE + ANDROID + TVBOX + BOTNET
O que podemos fazer com estas palavras-chave? Busca em fontes abertas na internet, como por exemplo o próprio buscado do Google, e.... INFORMAÇÕES VALIOSAS!
Com as informações obtidas em fontes abertas, foi possível identificar precisamente que o modelo da TvBox que estamos analisando, e confirmar que ele possui ligação com a Botnet "ANDROID BADBOX 2.0", pois pertencia a um grupo de dispositivos sabidamente comprometidos, com estudo detalhado por pesquisadores de segurança da informação:
https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/
Como este dispositivo pode operar de maneira maliciosa para comprometer a infraestrutura onde estava inserido?
-
Indicadores de RECONHECIMENTO do ambiente detectados:
-
Indicadores de EVASÃO de defesas detectados:
- Durante a detecção e contenção, pode haver a alteração dos Indicadores de Comprometimento (IoC) de rede que identiicam o servidor de Comando e controle do Malware (Ip, geolocalização, ASN, Domínios, etc), como no exemplo abaixo, mas não se limitando apenas a estes:
- DE:
- DE:
- Durante a detecção e contenção, pode haver a alteração dos Indicadores de Comprometimento (IoC) de rede que identiicam o servidor de Comando e controle do Malware (Ip, geolocalização, ASN, Domínios, etc), como no exemplo abaixo, mas não se limitando apenas a estes:
-
- PARA:
- PARA:
-
- Uso de um único dispositivo, com permissionamento excessivo, para se deslocar lateralmente na rede interna, utilizando protocolos autorizados para mascaramento e despertar alertas.
- Dispositivos TvBox podem ser conectadas a um servidor de conteúdo para apresentação de propagandas ou conteúdos internos, nesse cenário, os dispositivos comprometidos, mantém o envio das requisições ao servidor de conteúdo que originalmente teriam permissão, mascarando o tráfego sobre protocolos legítimo, porém, se comparado com o tráfego legítimo, tem quantidades anormais de conexões.
- Este host interno (servidor de conteúdo), teria um cenário de vulnerabilidades em aplicações, serviços, e permissões excessivas no acesso à rede privilegiada, que permitiriam aos dispositivos maliciosos executar comandos através dele e a partir daí analisar e comprometer outros dispositivos da infraestrutura em outras redes internas (técnica de pivoting).
- Uso de um único dispositivo, com permissionamento excessivo, para se deslocar lateralmente na rede interna, utilizando protocolos autorizados para mascaramento e despertar alertas.
-
-
- Em mais uma ação de evasão, para não ser detectado, o malware evitaria o tráfego para outras sub-redes, que seria inspecionado pelo firewall, e compromete serviços da mesma vlan onde está inserido, pois nesse cenário o tráfego ocorreu de host para host de uma mesma sub-rede, sem troca de rede.
- A detecção de explorações nesta camada de rede, poderia ser realizada com ferramentas de Endpoint Detection and Response (EDRs), eXtended Detection and Response (XDRs) com agentes de resposta ativa, Host-based Intrusion Detection System (HIDS) ou ferramentas que monitorem o tráfego, e os hosts dentro de uma mesma sub-rede, através de agentes com resposta ativa.
-
-
-
Indicadores de COMPROMETIMENTO do ambiente detectados:
- Hosts que estiverem dentro da mesma sub-rede iniciam tentativas de conexão com IPs identificados como maliciosos.