Estamos num momento histórico em que a tecnologia digital faz parte da vida cotidiana. Isso significa que os computadores também fazem parte de crimes, tanto físicos como virtuais. 

No caso da cibersegurança no Brasil, que ainda está a desenvolver-se, a imaturidade e falta de conformidade na cibersegurança resulta em um volume elevado de ataques que conseguem penetrar as defesas tradicionais de perímetro das organizações.

A análise pós-ataque é importante para as empresas, não só com o intuito de reduzir o impacto da ameaça cibernética, mas também para extrair evidências e remover vulnerabilidades, códigos maliciosos e outros resquícios do incidente. A forense digital é a metodologia que, baseada em técnicas rigorosas, principalmente para coleta de provas digitais confiáveis e com peso jurídico em tribunais.

As técnicas tradicionais de investigação e forense digital centram-se principalmente nos endpoints e nos servidores. No entanto, os recentes avanços nos meios e plataformas digitais têm vindo a aumentar a necessidade de aplicação de técnicas de investigação forense digital a outros subdomínios. Estes incluem dispositivos móveis, bancos de dados, redes, nuvem e a Internet das coisas (IoT) em geral.

Surge então uma pergunta: O que todos estes subdomínios têm em comum? Todos utilizam prioritariamente as redes para a comunicação! Ou seja, todos utilizam os mesmos protocolos de comunicação. Devido ao fato da padronização dos pacotes de rede, utilizar PCAPs (do inglês packet capture, captura de pacotes) como base para investigações forense se destaca pela sua objetividade. 

O desafio em trabalhar com PCAPs para a forense digital é o alto custo de armazenamento envolvido. Armazenar o tráfego bruto da rede, mesmo em ambientes de pequeno porte, rapidamente acumula grandes quantidades de dados. O Zerum Lynx™ trabalha com uma arquitetura de ETL de última geração e conta com dispositivos de armazenamento NVMe para superar os gargalos de utilizar PCAPs e entregar todo o potencial forense de análise dos dados da rede.

Para exemplificar a capacidade do Zerum Lynx™ e da análise de tráfego de rede aplicada  na perícia de crimes digitais, será utilizado um tipo clássico de ataques: Injection. 

No terceiro lugar da OWASP TOP10 de 2021, as injeções de código malicioso em requisições HTTP continuam sendo um risco para aplicações web, mesmo com a ampla divulgação de boas práticas para evitar vulnerabilidades que possibilitem o ataque.

Uma captura de pacote oferece a possibilidade de analisar a injeção de código malicioso e atribuir à tentativa endereços MAC e IP de fonte e destino. Rastrear a rota  do pacote com o payload possibilitam contextualizar a tentativa e eventualmente identificar o atacante.

Exemplo de payload em uma requisição POST do protocolo HTTP:

POST /echo/post/form HTTP/1.1

Host: sitevulneravel.com.br

Content-Type: application/x-www-form-urlencoded

Content-Length: 58

find("(&(cn=*)(cn=*))(|(cn=*)(userPassword=*))")

Este comando tenta obter uma uma lista de todos os usuários através de uma consulta LDAP.  Por meio de outras combinações de comandos e caracteres especiais, é possível montar injeções de código maliciosas que exploram as fragilidades dos sistemas em que os resultados obtidos dependem da criatividade e do conhecimento dos atacantes.

Detectar injeção de código apenas com o monitoramento de flows, como IPFIX, NetFlow ou sFlow é inviável, devido à falta de visibilidade sobre o payload. O Zerum Lynx™ utiliza Deep Packet Inspection para analisar todo o pacote, contextualizando a detecção do código malicioso. A riqueza de detalhes e de metadados permite aos analistas conduzirem um processo rigoroso de forense digital, conforme as metodologias científicas para colherem evidências do tráfego bruto da rede. 

Contar com uma solução de NDR como o Zerum Lynx™ faz toda a diferença para não só detectar e responder a um ataque, mas também para a fase de remediação do incidente. A rastreabilidade profunda que o NDR agrega às equipes de cibersegurança permite identificar e remover as vulnerabilidades exploradas pelo atacante.

---

---

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

---

📝 Para saber mais, entre em contato através do formulário abaixo.