FIRST Fortaleza 2023.

Criado em 05 de Outubro, 2023

2023   ·   First   ·   Events

Compartilho minha recente participação no FIRST (Forum of Incident Response and Security Teams) Regional Symposium Latin America & Caribbean realizado pelo LACNIC, que aconteceu nos dias 4 e 5 de outubro em Fortaleza.

Este evento foi uma verdadeira imersão em segurança cibernética, um fórum de discussão para compartilhar informações sobre vulnerabilidades, incidentes, ferramentas e todas as outras questões que afetam a operação das equipes de segurança e resposta a incidentes, proporcionando dois dias de aprendizado intenso e inspirador.

Participei de um treinamento de Resposta a Incidentes (IR) para Ransomware, nossa tarefa era proteger uma máquina contra ataques de ransomware e manter seus serviços funcionando.

Cada equipe recebeu uma máquina virtual Linux para simulação. Durante o laboratório, enfrentamos diversas situações desafiadoras e participamos de discussões acaloradas. No entanto, com o tempo limitado para proteger a máquina, nossa VM acabou sendo comprometida e nossos serviços web ficaram indisponíveis. (Esta parte era prevista do laboratório)

Foi um momento crítico, mas o cenário do treinamento evoluiu, e agora enfrentamos o desafio de recuperar os arquivos criptografados. Através da análise dos registros (logs), conseguimos identificar o possível responsável pelo ataque. Descobrimos que o usuário comprometido havia executado um binário, e este binário ainda estava presente na máquina.

Após várias tentativas, surgiu uma sugestão que se revelou surpreendente: verificar o manual do binário. Para nossa surpresa, constatamos que o mesmo programa responsável pela criptografia dos arquivos também continha uma função de descriptografia.

Conseguimos com sucesso descriptografar os arquivos e restaurar os serviços. Na segunda parte do laboratório, tivemos que fazer um relatório público abrangente sobre os acontecimentos.

A experiência foi notavelmente realista, uma vez que recebemos a máquina sem qualquer informação prévia, exceto que estaríamos lidando com um incidente de ransomware. Embora nossa equipe tenha sido formada na hora, conseguimos prontamente dividir as funções. Enquanto uma parte se concentrou no fortalecimento da segurança (hardening), a outra procurou ativamente por possíveis indicadores de comprometimento.

Aprofundamos nossa análise além do esperado do desafio e identificamos que a ferramenta utilizada no exercício era o https://github.com/hazcod/ransomwhere Uma prova de conceito de Ransomware.

Ao final, não apenas recuperamos a máquina comprometida, mas também produzimos um relatório abrangente que documentou todas as ações tomadas, os aprendizados adquiridos e as estratégias implementadas. Essa experiência ressaltou a importância da preparação e colaboração eficaz em situações de segurança cibernética.


    Gostou de Ler este Artigo?

    Aqui estão alguns artigos relacionados que você pode gostar de ler:

  • CyberDefenders Qradar101 Write up.
  • FIRST Fortaleza 2023.
  • Exposing Local Applications with FNLocalCloud.
  • APTs or UAPs?
  • FnStegoCrypt - Encrypted Data in Images
  • Script for enabling Windows Audit and Sysmon.
    • para selecionar para navegar esc para fechar voltar um nível