O Diário

de Analistas de Plantão

Autor: Hector Carlos Frigo

Hector Carlos Frigo

  • O XDR pode errar, o analista não!

    Nos últimos dias, fui bombardeado com alertas que indicavam a detecção de um potencial software malicioso em diversos ambientes distintos, pelos quais sou responsável. Até então, mais um dia normal na vida de um analista de SOC. Porém, desta vez, algo estava diferente: coincidentemente, todos os alertas estavam correlacionados e apresentavam os mesmos indicadores e…

  • Incidente como presente de Natal?

    O período de festas está se aproximando e, com ele, o tão esperado “recesso de fim de ano”, época muito aguardada por trabalhadores que buscam aproveitar esse momento para passar tempo com a família e descansar. Como sempre, nem tudo são flores. Sendo assim, nesta minha abordagem, gostaria de levantar alguns alertas que devem ser…

  • Fique atento as configurações de BIOCs

    Recentemente, me deparei com um incidente gerado após a detecção de um BIOC, o qual possuía o seguinte título: “Windows LOLBIN executable connected to a rare external host”. O incidente informava a detecção de uma conexão externa suspeita realizada por um processo nomeado como “sc.exe”. Isso me levou a pensar que o alerta estava fazendo…

  • Indicators of Compromise (IOCs) possuem data de validade?

    Recentemente, venho trabalhando com a coleta e identificação de IOCs (Indicators of Compromise), analisando indicadores dos mais diversos tipos que, de alguma forma, foram ou estão sendo associados a atividades maliciosas ou ilícitas no ambiente digital. artefatos esses que podem ser endereços IP, domínios, hashes, chaves de registro e até e-mails. Essa coleta é importante,…

  • Detectando Técnicas de Persistência em Endpoints Windows

    Comprometer um sistema não se trata apenas da quebra de uma credencial ou o upload de um malware em um endpoint, agentes de ameaça pensam muito além do acesso inicial, ele ou ela farão de tudo, a fim de alcançar seu objetivo final, podendo ser um vazamento de dados, roubo de propriedades intelectuais, ou em…

  • O Poder do SSL Deep Inspection nas Investigações de exfiltração de Dados

    Nos últimos meses temos recebido inúmeros alertas relatando possíveis vazamentos de dados, por se tratar de um tópico extremamente sensível, podendo comprometer operações do cliente e com alto potencial de afetar diretamente sua propriedade intelectual, aos poucos começamos a desenvolver técnicas que otimizaram nosso tempo de resposta, nos ajudando a detectar, qual volume de dados…

  • Políticas de Endpoint irão salvar seu ambiente!

    Recentemente participei da investigação de um incidente interessante que poderia ter levado a um fim extremamente desastroso. Recebemos diversos alertas que relatavam uma atividade suspeita realizada por um usuário desorientado, ao conectar um dispositivo removível desconhecido em sua estação de trabalho, e em seguida, tentar executar um arquivo suspeito presente no mesmo. A ação foi…

Posts de outros autores:

  • Regularização falsa: golpe de phishing usa CNH como isca

    Na tarde de hoje, meu pai me encaminhou um e-mail sobre a suposta regularização de uma infração em sua CNH. O remetente se identificava como “Regularize CNH”, mas o endereço era claramente incomum para algo que alegava ser do gov.br: store+79974727929@g.shopifyemail.com: Ao inspecionar melhor o conteúdo, o botão verde que prometia “resolver o problema” levava…

    Mario Lúcio Collinetti Junior

  • Phishing: Polícia Civil do Amapá

    Recentemente recebemos um report de um cliente onde havia recebido um e-mail originado da Polícia Civil do Amapá. O remetente referência uma pessoa chamda Nashya Ribeiro com o e-mail: nashyaribeiro@policiacivil[.]ap[.]gov[.]br. O e-mail gera urgência determinando um prazo de 1 dia informando que os detalhes da solicitação se encontram no PDF Passando por uma pesquisa rápida…

    João Fuzinelli

  • Conhecendo o MITRE | ATT&CK.

    Embora ter ferramentas de proteção são importantes, entender a mentalidade do atacante, como conhecer quais as táticas e métodos utilizados por ele durante um ataque, também é fundamental para os profissionais de cibersegurança. Por que utilizar o MITRE ATT&CK? O que é? Criado pela MITRE, o ATT&CK é um framework, uma base de conhecimento global…

    João Paulo Gonsales