Por Caique Barqueta: Como forma de propagar a segurança cibernética e manter toda a comunidade de tecnologia do Brasil informada sobre os principais acontecimentos, apresentamos neste artigo os principais dados coletados sobre ataques potencialmente direcionados aos coletores existentes da ISH Tecnologia no Brasil.
O principal foco é apresentar quais são os serviços mais visados por atores de ameaças, estatísticas de ataques, credenciais utilizadas para ataques de força bruta e quaisquer outras informações relevantes para o mercado no período do mês de junho de 2024.
Os indicadores de comprometimento e os indicadores de ataques podem ser obtidos através dos feeds proporcionados pela equipe de Inteligência de Ameaças da ISH Tecnologia, conhecida como Heimdall.
Estatísticas coletadas
Nesta seção, abordaremos diferentes tópicos sobre os tipos de informações e dados coletados, com o objetivo de auxiliar na maturidade cibernética.
Países que mais direcionaram ataques
Dentre os dados coletados, podemos mencionar e classificar, através de um ranking, os países que mais direcionaram requisições aos nossos coletores externamente em junho.
e atividades nos coletores
Credenciais utilizadas para fins de Brute Force
Outro dado relevante coletado que pode auxiliar as organizações é a constatação de que atores de ameaças externos frequentemente exploram serviços que possuem configurações de contas de acesso padronizadas, como o uso simples de “admin” (usuário) para acessar diversas ferramentas.
Confira alguns dos principais usuários e senhas utilizados para acessos:
Informações relacionadas a ataques DDoS
Outra informação relevante são os indicadores coletados sobre ataques direcionados a portas específicas, especialmente a porta 53, utilizada pelo serviço de DNS (Domain Name Server). Frequentemente, esta porta é alvo de ataques de negação de serviço, podendo resultar na indisponibilidade de serviços.
Apenas para a porta 53, foram identificados mais de 470 mil ataques originários de diversos países, os quais foram classificados da seguinte forma:
e atividades direcionadas a porta 53
O maior pico de ataques à referida porta ocorreu por volta das 12:00 horas (BRT) do dia 17 de junho, resultando em mais de 43.000 requisições. O país mais ativo foi a China, responsável por 41 mil dessas requisições.
Informações relacionadas a ataques na porta 22
Uma das portas mais visadas por atores de ameaças é a porta 22, que utiliza o protocolo SSH (Secure Shell), permitindo administração remota de sistemas, execução de comandos em servidores, entre outros.
Somente para esta porta, foram registrados mais de 200 mil ataques, com os países responsáveis listados abaixo:
e atividades direcionadas a porta 22
Além dos países, apresentamos também os top 5 ASN (Autonomous System Number) provenientes e identificados pelos endereços IP responsáveis pelos ataques aos coletores, conforme listado abaixo:
Informações relacionadas a ataques nas portas 445 e 1433
Outro protocolo frequentemente visado por atores de ameaça é o da porta 445, correspondente ao protocolo SMB (Server Message Block), que permite o compartilhamento de arquivos, impressoras e outros recursos.
Para lembrar vulnerabilidades desse protocolo, podemos mencionar a falha do EternalBlue (MS17-010), amplamente explorada por ransomwares como WannaCry e NotPetya. Apenas nesta porta, foram registradas mais de 400 mil atividades.
Outra porta relevante é a porta 1433, utilizada pelo Microsoft SQL Server para comunicações SQL. Esta porta é frequentemente utilizada por administradores de bancos de dados para acessar seus servidores SQL.
Um dos principais pontos aqui é a captura das autenticações tentadas pelos atores de ameaça para acessar o serviço de SQL, com descrição dos usuários e senhas a seguir:
Informações relacionadas a ataques a serviços ICS/SCADA
Coletamos também informações de serviços industriais, concentrando-se principalmente em antecipar alguns dos principais ataques realizados por atores de ameaças direcionados a indústrias e sistemas específicos.
Entre os países dos endereços IP responsáveis pelos ataques mais frequentes, estão listados no top 10:
a sistemas ICS/SCAD
Nesta categoria, estão incluídos serviços como o protocolo SNMP (porta 161), Microsoft RPC (porta 1025), padrões para sistemas de controle e supervisão em redes de energia elétrica e sistemas SCADA (porta 2404 – Protocolo IEC 60870-5-104), e dispositivos que utilizam LON para comunicação (porta 10001), como automações prediais e industriais.
Principais comandos executados
Outro detalhe importante são as informações e comandos potencialmente utilizados por atores visando interagir com sistemas. Também há a identificação dos comandos utilizados e repassados em conexões e requisições provenientes de endereços IP potencialmente maliciosos, os quais estão listados a seguir:
Arquivos identificados e capturados por coletores
Além dos comandos, foi possível identificar uma lista de arquivos e indicadores relacionados a possíveis arquivos maliciosos para fins de garantia de backdoors e criptomineradores, sendo que um dos arquivos em questão, foi possível identificar que seria manifestação da conhecida Botnet MIRAI.
possível identificar que seria manifestação da conhecida Botnet MIRAI.
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | c58b0c5c4b79f38024640017c85cb29b |
| sha1: | 004fd9713962de7a245388f084e5ba1f9c137512 |
| sha256: | 2497ed422b8667ae58fe7fa22acf5761632e433d48504e5083c8b7c95d3420ff |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | b901d69f8fa11394a64ae1cc0b6d7497 |
| sha1: | 3d9400a9ec4cce61a6b6807d953f483a048e571c |
| sha256: | 39065179218c0180437d69a220df7714ab6b065aec7b7837d4dd85c6199e888a |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | e99f9382de93223afbbaef8ec64a250b |
| sha1: | 3550280d650b9b8a2faf99714f7cb77ad1811341 |
| sha256: | 47b268c21591069bfe4099833ad66b8138a53ab2dcb866e040d466aee1f8624c |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 244dab3dede7bd0c1fea893fec36a1d5 |
| sha1: | 2891062b32a865055ed9317897b271dd548f3a9d |
| sha256: | 4b8d9950fd27cb8021d03ad980248bf0a7b8a276bbb3fa2083402f531b6209b1 |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 50d98cac2b0ad85fc7f6ded000ea0ea3 |
| sha1: | 2737299e0391e1892b48f90aae625752b2de1b9f |
| sha256: | a843ac9c087f399fbf8ef10fec872a732c9cf97c2cd249566a6133a2cebdc0c1 |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 3bd757f9d88773d7130598701bbb8cae |
| sha1: | 40b9328b7c5e59440c8b3ff140598aa81554efd4 |
| sha256: | ea9f3911ff2884621874c1e98b5dc9139964adeab333b92816eb5c307d73a67f |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 6ea9618ee8fb18c097e023704172a104 |
| sha1: | 771e2940413db535ecef22d1f6c44fa0fbeaa6f5 |
| sha256: | 88dc89bf303026c3ea273d879148e308a503cb211538f4cc47b667cf9f43bebb |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | b99d23a829926888e7be575ed96c6a51 |
| sha1: | e50343b161af02e1523ee382ca29bb9af430ae10 |
| sha256: | 8fc5d13238daba3a4986d674ad885f81850c67000c7f4f57df707f5d810ad241 |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 5d48c415e18f49f27e5e038ad59f5997 |
| sha1: | 61447991965ddae6159dc993987c5b9329a8e101 |
| sha256: | 9ef2ef02376445bf4c145820c0c81f2bbe0b96f2017278562e0bd259bf7bd061 |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 2e4ac48e6a716e4ebb19942a6e1ba71c |
| sha1: | 0b5f3da0ad9c3f30a5eee4f266b28f71dc5c1f50 |
| sha256: | 19a06de9a8b66196fa6cc9e86824dee577e462cbeaf36d715c8fea5bcb08b54d |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | 07db7c34621453db287722245085c5b4 |
| sha1: | 9d4f2640b89c148e70953d49eb6d7d1867c182d2 |
| sha256: | ab897157fdef11b267e986ef286fd44a699e3699a458d90994e020619653d2cd |
| Indicadores de compromisso do Trojan Minerador (Cripto) | |
| md5: | ad7e6d767dbecea73c431c59870d969d |
| sha1: | 3943d4264c4bc1dcff12cca5550e0cea96c219a4 |
| sha256: | 0a544f1dc2b259d9960e70b2b8a140bc2622cd66f7344c31087348609ac98f43 |
| Indicadores de origem | |
| URL | http[:]//93[.]123.85.120/fenomenal[.]sh |
Recomendações de segurança
A ISH Tecnologia, com base nas informações divulgadas neste boletim, apresenta as mitigações e recomendações a seguir:
- Proteção contra os ataques na Porta 53 (DNS)
Validação de Resposta DNSSEC: Utilize DNSSEC (DNS Security Extensions) para validar respostas ao DNS e garantir que o tráfego de DNS não foi alterado ou envenenado.
Limitação de Taxa: Implemente limitações de taxa para consultas DNS para reduzir o risco de ataques de amplificação.
Servidores DNS Recursivos Seguros: Configure seus servidores DNS para permitir consultas recursivas somente de redes confiáveis.
Monitoramento e Análise de Tráfego: Monitore regularmente o tráfego de DNS para detectar padrões anormais que possam indicar um ataque.
- Proteção contra os ataques de Brute Force
Autenticação Multifatorial (MFA): Sempre utilize MFA para adicionar uma camada extra de segurança além das senhas.
Bloqueio de Conta e Delays: Configure sistemas para bloquear contas ou introduzir atrasos após várias tentativas de login falhadas.
Políticas de Senha Forte: Exija senhas complexas que combinem letras, números e símbolos para tornar as tentativas de brute force menos prováveis de ter sucesso.
Ferramentas de Detecção de Intrusão: Utilize ferramentas que detectem e alertem sobre tentativas de login suspeitas ou anormais.
- Proteção contra os ataques na porta 22 (SSH)
Chaves SSH ao Invés de Senhas: Use chaves SSH em vez de senhas para autenticação, pois elas oferecem uma segurança muito maior.
Alterar a Porta Padrão: Mude a porta padrão de SSH de 22 para outra menos óbvia, reduzindo a visibilidade aos scanners automáticos.
Lista de Controle de Acesso (ACL): Restrinja o acesso SSH apenas aos endereços IP necessários, minimizando a exposição. Fail2Ban ou Ferramentas Similares: Utilize ferramentas como Fail2Ban para bloquear automaticamente IPs que apresentam comportamentos suspeitos, como múltiplas tentativas falhas de login.
- Proteção contra os ataques na Porta 445 (SMB/CIFS)
Desativar SMBv1: Desative o SMBv1 e use versões mais seguras como SMBv2 ou SMBv3.
Firewall: Bloqueie o acesso à porta 445 para tráfego de entrada e saída de fontes não confiáveis na Internet. Permita apenas em redes internas seguras, se necessário.
VPN: Se o acesso remoto aos arquivos é necessário, use uma VPN segura ao invés de expor a porta 445 diretamente à internet.
Patches e Atualizações: Mantenha o sistema operacional e software associados atualizados para proteger contra vulnerabilidades conhecidas.
- Proteção contra os ataques Porta 1433 (Microsoft SQL Server)
Autenticação Forte: Utilize autenticação baseada em Windows ou autenticação SQL Server com senhas fortes e políticas de segurança rigorosas.
Firewall: Restrinja o acesso à porta 1433 a apenas IPs ou sub-redes confiáveis. Idealmente, o banco de dados não deve ser acessível diretamente da internet.
Encriptação de Dados: Ative a criptografia para conexões ao servidor SQL Server para proteger os dados em trânsito.
Auditoria e Monitoramento: Implemente auditoria para acessos e consultas ao banco de dados e utilize soluções de monitoramento para detectar atividades suspeitas.
- Proteção contra os ataques a sistemas ICS/SCADA
Segmentação de Rede: Separe fisicamente ou virtualmente as redes de ICS/SCADA do resto da infraestrutura de TI corporativa.
Controles de Acesso: Implemente controles de acesso baseados em funções com autenticação forte e gestão de privilégios mínimos.
Atualizações e Patches: Garanta que todos os dispositivos de ICS/SCADA estejam com o software atualizado e sejam regularmente revisados para corrigir vulnerabilidades.
Treinamento e Conscientização: Certifique-se de que o pessoal de ICS/SCADA esteja bem treinado em práticas de segurança cibernética e consciente das ameaças atuais.
Referências
- Heimdall by ISH Tecnologia