Na segurança da informação, é importante entender como funcionam os diferentes tipos de detecção e em que eles se diferenciam. Assim, o Red Team sabe o que precisa driblar durante um teste, e o Blue Team consegue melhorar a forma de identificar e responder a possíveis invasões.
Importante destacar que a detecção por si só não torna o ambiente seguro, mas ela é o primeiro passo para identificar e mitigar um possível incidente. Dessa forma, regras, assinaturas e ferramentas precisam de ajustes, refinamento e tuning.
Sobrecarregar o time de resposta de alertas apenas vai diminuir a possibilidade de detectar um real incidente.
Segue abaixo informações referentes aos tipos de detecção:
Signature-Based Detection
Essa detecção tem como intuito identificar processos maliciosos com base em assinaturas já conhecidas de malwares ou pacotes, ou seja, o antivírus ou ferramenta de análise de pacotes identifica um hash, uma string ou um padrão de tráfego já presente em um banco de dados, que é atualizado constantemente com base em novos samples e padrões. Esse tipo de detecção é utilizado pelas seguintes ferramentas:
- IDSs
- IPSs
- antivírus
- NGFW
- WAF
Se:
- O hash SHA256 de um arquivo for igual a
“d2d2d2aa11b22c333dd444ee5556ff778899aabbccddeeff0011223344556677”,
Então:
- Marque como malware “Trojan.XYZ”.
Esse tipo de detecção não identificaria um ataque 0-Day.
Behavior-Based Detection
Essa detecção busca padrões de atividades maliciosas no sistema, como por exemplo, um arquivo que realiza a alteração do registro startup para criar persistência ou quando um binário acessa diversos outros arquivos e muda a extensão de todos, sendo um behavior de ransomware.
Se um processo:
- abrir mais de 100 arquivos em menos de 1 minuto,
- modificar ou renomear extensões de arquivos para ".encrypted",
- e tentar apagar shadow copies do sistema (ex: usando vssadmin)
Então:
- Gerar alerta de possível ransomware ativo.
||
Se um binário:
- usar API como URLDownloadToFileA, WinHttpSendRequest ou InternetOpenUrl
- gravar um arquivo executável no disco (CreateFile + WriteFile)
- e executar esse arquivo (CreateProcess)
Então:
- Gerar alerta: "Possível downloader ou dropper detectado"
Esse tipo de detecção pode pegar ataques 0-day caso o padrão do ataque esteja dentro do padrão definido em algum alerta.
Anomaly-Based Detection
Essa detecção é baseada em “tirar uma foto” (baseline) de tudo que é normal dentro do ambiente e gera detecções em desvios que não são necessariamente maliciosos. Diferente da behavior, ela não tem como foco ações maliciosas já conhecidas, como por exemplo, uma tentativa de persistência em registro ou task, mas sim, comportamentos de usuários ou sistemas que fogem do padrão do ambiente.
- UEBA - user entity behavior analytics: Abordagem que usa machine learning para identificar desvios de comportamento padrão de usuário e entidades (estações, servidores, aplicações) para identificar um possível comportamento malicioso.
Pode gerar falso-positivo, tendo em vista que em grandes empresas, desvios podem ocorrer por conta de mudanças e problemas, como por exemplo, o alto número de logons com falha no ambiente AWS por conta de um problema de acesso à console.
Se:
- Usuário do comercial realiza uma conexão RDP
- Ele nunca realizou isso antes
Então:
- Alerta um desvio que pode indicar um comprometimento
||
Se:
- Um usuário de marketing realiza apenas cerca de 10mb de upload por dia
- Ele gera um upload de 5gb
Então:
- Alerta um desvio que pode indicar uma tentativa de Data Exfiltration
Heuristic-Based Detection
Essa detecção faz a mensuração de comportamentos suspeitos de toda a estrutura de um binário para identificar com base em uma análise estática, se o processo pode, ou não, ser um malware. Essa análise estática pode realizar uma correlação entre entropia do arquivo, APIs chamadas durante a execução e injections para dar um score do quão suspeito esse binário pode ser.
Diferente da detecção puramente comportamental, a heurística pode analisar o arquivo antes ou durante a execução, mas sem depender apenas de assinaturas fixas.
rule Heuristic_Suspicious_Packer
{
meta:
description = "Detecta binários com seções empacotadas e chamadas suspeitas"
severity = "medium"
strings:
$s1 = "VirtualAlloc"
$s2 = "WriteProcessMemory"
$s3 = "CreateRemoteThread"
condition:
filesize < 1MB and
uint16(0) == 0x5A4D and // MZ header
any of ($s*) and
(pe.sections[0].entropy > 7.0 or pe.sections[1].entropy > 7.0)
}
Condições da detecção em yara:
Se o arquivo for pequeno
Tiver cabeçalho válido de PE (executável)
Tiver funções suspeitas
seções com entropia muito alta (indicando empacotamento/ofuscação)
Trend-Based Detection
Essa detecção busca identificar desvios comportamentais ao longo do tempo, ou seja, olha um longo período através de dashboards e indicadores para identificar se há algum comportamento suspeito. Não busca eventos ou anomalias pontuais, mas sim observa a evolução dos dados ao longo de um período. Dessa forma, pode gerar falso-positivo baseado em desvios ocasionados por mudanças, atualizações ou expansão empresarial, que pode gerar mais tráfego e por consequência, indicadores maiores.
Se:
- Upload de dados para a internet subiu gradativamente ao longo de 10 dias
Então:
- Gerar alerta: possível exfiltração de dados em andamento com aumento gradual
Tabela sumarizada:
| Tipo de Detecção | Como Funciona | Exemplo | Vantagens | Desvantagens |
|---|---|---|---|---|
| Signature-Based | Baseado em assinaturas fixas | Hash de um malware conhecido | Rápido e eficaz contra ameaças conhecidas | Ineficaz contra ataques 0-Day |
| Behavior-Based | Busca por padrões de comportamento | Ações de ransomware | Pode detectar ataques 0-Day | Pode gerar falsos positivos |
| Anomaly-Based | Identifica desvios do normal | Usuário de marketing fazendo upload grande | Identifica comportamentos incomuns | Alto índice de falsos positivos |
| Heuristic-Based | Analisa a estrutura do binário | Entropia e chamadas de API | Pode detectar malwares desconhecidos | Pode gerar falsos positivos |
| Trend-Based | Analisa tendências ao longo do tempo | Aumento gradual de upload | Útil para identificar exfiltrações lentas | Pode ser afetada por mudanças normais |