Ransomware vs EDR: Inside the Mind of Attackers

Só um pouquinho deix. Tá bom. Muito obrigada pela sua palestra, Andrei. É, em alguns minutos o Zosiel vai entrar, tá bom? Com a com a palestra HSare versus EDR. Inside the Mind of Attackers.

[Música]

o nome, eu não pedi. Aí eu fui no miojo porque no miojo

Top.

Som. Boa tarde, pessoal. Boa tarde. E [ __ ] tudo bom? Uh! É isso, gente. Se comportem, gente. Uma boa tarde. Vou est falando aqui de Hans versus ZDR. Só pra gente entender aqui um pouquinho do nível do conhecimento da galera. Quem aqui já atuou em algum ataque de Hansware? Levanta a mão. Show. Quem aqui sabe o que é um huner? Levanta a mão. Quem aqui não sabe [ __ ] nenhuma? Pode levantar a mão também, não tem problema não. Vamos embora, gente. Bora lá, então. Vamos começar a brincadeira aqui. Qual que é o meu disclaim aqui? Nada dos que eu estou falando aqui representa a minha empresa. São só análises bllshits que eu mesmo

falo. Beleza? Então é de total minha responsabilidade análise que eu vou apresentar aqui. Show. Qual que é o meu propósito dessa talk? Como é que isso tudo aqui? Como que eu cheguei nisso aqui, cara? Eu queria simplesmente montar um MER para fazer um tradulator com o meu time, mas aí com o passar do tempo eu vi que dava para levar a brincadeira para um outro caminho que era bypassar ferramentas. Ah, pera aí, deixa eu fazer um negócio importante aqui, senão eu perco tempo, né? Então bora lá. Eu vou correr um pouquinho com os slides, galera. Por quê? Porque eu tenho aproximadamente sete pox para mostrar para vocês de ferramentas diferentes, que é a parte que

provavelmente todos estão interessados em ver, que é o pau torando em cima de alguma ferramenta. Então, se eu correr um pouquinho com slide, por favor, tenha caridade com este mero palestrante. Beleza? Bora lá. Então, o que que eu vou falar aqui? Para quem não sabe nada, eu vou dar um overview do que que é um hunwer. Vou falar um pouquinho de detecção, prevenção de ferramentas, de huners customizados. Vou falar de persistência, vou mostrar um casos, os casos de estudo, conclusões e recomendações. Beleza? Bora lá. Quem é esse animal que está falando com vocês aqui? Esse monte de bochete? Eu sou formado em sistema de formação, sou pós-graduada em computação forense. Sou especialista em forense, resposta

incidente, apaixonado por desenvolvimento de Mauri. Inclusive fiz uma palestra sobre Maury para Macos na Apple Red Team Village, que eu convido quem não pôde participar ou ver qualquer palestra esse ano que esteja lá ano que vem, que nós estamos trazendo coisas inovadoras aí nessa área que quase não é tão falada aqui no Brasil. Sou fã de música Chaves de Chapolim, que eu acho que é a parte mais importante desse slide. Tem algumas algumas certificações de Red Team, que eu também já atuei como. Então, bora lá. Isso aqui são algumas alguns dos eventos que eu já fiz contribuição pelo país. Eu gosto muito de falar de MA, de Hanswer, de bypass ou de gaps de ferramenta. Então, isso aqui

é um pouco da minha história aqui na comunidade. Hansor overview. Que que é um Hanser? Para quem não sabe nada de Hanser, o Hansler nós estamos falando de um tipo de maer ou vírus, como se falava antigamente, que é o quê? Ele simplesmente vai criptografar os seus arquivos, vai sequestrar os seus dados e vai ali te pedir uma extorção, vai te pedir um valor, vai te pedir alguma coisa, o atacante vai exigir alguma coisa de você. Beleza? Resumidamente é isso. Era como se o cara zipasse os seus dados e que ele vai fazer? Ele vai chegar para você, como é que é seu nome, mano? Lucas, olha só, zipei todos o file server a sua empresa, meti uma senha, só

que eu sou o dono da senha, irmão. Então assim, você quer de volta, me pague. Exatamente. E aí tipo isso, como é que isso funciona? Quais são as features básicas de um hans? Para quem não sabe o que que é um hans? Normalmente ele vai ter a em criptação vai ter o vazamento de dados através de uma comunicação externa para um file serve. Ele vai criar um Redmi ou vai deixar alguma mensagem na sua área de trabalho. É o temor de qualquer profissional de TI achar isso na área de trabalho de um usuário. Pelo menos para mim é, não sei para vocês, porque eu sei que o meu dia ali ou meus próximos dias acabaram, eu

não vou ter vida, não vou ter nada. troca o papel de parede e cria uma persistência para ele poder tá continuar ali dentro do ambiente te monitorando, entendendo o que que você tá fazendo e te chantageando. Beleza? E um pouquinho do modos operantes, como é que isso tudo começou no mercado? Normalmente o carinha criptografava seus dados, ia lá e fazia uma extorsão. Chegava: "O Walter, olha só, peguei seus dados, mano. Então, ou você me paga ou você não vai ter os dados de volta". Beleza? Até então o que que acontecia? A galera tinha backup e aí o cara falava: "O quê? Caguei, não quero saber. Tenho backup, volto com backup, sigo minha vida". Beleza, beleza. Mas aí como todo

atacante, né? Os caras vão melhorando, né? Vão profissionalizando a parada. Que o cara falou: "Pô, só estou que vai me dar dinheiro, já que o cara tem backup, eu não tô ganhando nada com isso. Que que eu vou fazer? Eu vou expor o cara". Aí, que que começaram a fazer? Olha só, ô Lucas, peguei os dados de empresa, irmão. Você não vai me pagar não? Não, não vou não. Beleza, vou jogar na internet. Aí a NPD e qualquer outro regulatório vai te encher o saco e te infernizar pelos próximos dias e ainda vai te multar por isso. E o que que acontece? Se a empresa tem ação, se ela tem marca, tem tudo, tudo isso pese em

cima da empresa. Ou seja, você tá falando que você tá jogando o nome da empresa na lama, cara. Então é muito pesado. E a última forma que é a mais interessante agora eles fazem tudo isso que eu expliquei. E se mesmo assim você recusar com a exposição, falar: "Não, os dados que estão ali, como é que é seu nome, mano?" Té. Ô, Té, peguei seus dados aí, Té? os dados que estão aqui não faz estrago nenhum, não vai impactar a imagem da minha empresa, não vai baixar a ação da minha empresa, deixa ele botar na internet. Aí ele não se contentando, o que que ele fala? Ô ANPD, olha só, o T ele teve vazamento de

dados, ele foi invadido, ele avisou a vocês. Aí eu ai, como é que é? Como assim, Té? Você não me avisou isso aí. Que que acontece? Pau quebra, entendeu? e o cara vai ter um inferno de semana de novo, certo? Esse é o modo novo. E alguns casos famosos que aconteceram ultimamente, tem vários, eu só peguei alguns aqui. Teve o do Clop que aconteceu no aplicativo Movit, teve o do Black Cat Hunter, entendeu? Que também aconteceu no grupo Shell do Shell. Teve o do Lock Beach 3.0, todo mundo aqui já deve ter ouvido falar do Lockbit, que é um dos grupos mais famosos. Inclusive, não sei se vocês viram, eles tiveram aí recentemente isso, até um colega meu,

ele fez o repost de um outro profissional que eu não não lembro o nome aqui agora, mas eles tiveram as contas deles vazadas. A Lock Bit teve as contas deles vazadas. Os caras que atacam tiveram vazamento nas contas deles que eles usam para fazer todo o trabalho deles de Hansel. É, não tá fácil para ninguém, mano. O negócio tá brabo. Então, aí teve o Royal e o Country Hanser, que foi na Câmara Municipal de Dallas. Beleza? Falando um pouquinho de detection e prevention tools. Quando a gente fala de detection e prevention tools, a gente hoje acontece muito da galera falar de EDR ou ADI, que nada mais é que Point detector response. Que que é isso, cara? É uma

ferramenta que ela tá o tempo todo monitorando o comportamento da máquina, seja ela um servidor ou um usuário final. Então ela vai tá trabalhando com várias coisas, inclusive o monitoramento contínuo e a coleta de dados. E o que que isso implica, cara? Implica em análise de processos das atividades processos. Se teve mudança no file system, cara, teve atividade de rede anômula, cara. Por que ele monitora isso, cara? Teve e atividade de usuário em comum. Ou seja, vamos supor que o, como é que é seu nome, irmão? O André. André foi lá e falou: "Ah, ganhei uma máquina da TI, vou tentar subir para de mim aqui nesse negócio. Vou tentar botar meu usuário como local de mim". Aí o que

que acontece? O EDR vai lá e ô, dá um grito pro Ct, ó, Cert, André tá fazendo cagada aqui, irmão. Bora ficar esperto que o cara tá fazendo alguma coisa fora da curva aqui. E aonde que a galera do Sortém na situação? Outra forma importante, trade detection, ou seja, essas mesmas ferramentas, elas trabalham com assinatura, sim como alguns antivírus antigos. Então, eles não trabalham só com monitoramento e comportamento, eles também usam isso como artifício para poder melhorar ali o alcance de monitoramento, beleza? Então, ele faz o monitoramento contínuo e fica avaliando comportamentos, entendeu? Baseado em machine learning. Vai entendendo ali, cara. Beleza. A máquina do André, o André normalmente, cara, e que o André acessava? Ah, vamos supor que o André do

financeiro, o André acessava, sei lá, o banco X Y Z e tal. De repente, do nada, o André resolve começar a baixar a torrente. Aí a máquina, opa, pera aí, tem alguma coisa errada, tem alguma coisa desto disso aqui. Isso aqui não é o comportamento padrão do André, beleza? E aí a gente tem também o que a gente chama de dentro de track detection, que é os IOCs, indicadores de comprometimento. O que que é isso? Cara, peguei um IP malicioso, isso é um IOC. Ou seja, eu tenho um IP ali, sei lá, de um C2 do vagabundo. Eu tenho, sei lá, o payload que ele largou na minha máquina. E isso gera uma coisa que a gente chama

de hash, que é um código hexadecimal, que ele é uma identidade daquele arquivo ali para você cadastrar nas suas ferramentas de segurança. Então, com isso, o que que acontece? Você consegue se antever a possíveis ataques futuros. Por exemplo, quando acontece um ataque lá na China, sei lá, ou em qualquer outro canto, que os caras de, sei lá, de qualquer outra ferramenta sai falando, cara, monta o artigo e fala: "Olha, analisamos o grupo XYZ, tá aqui os Iocos do grupo, o sample, qual é o executável que o cara usa, o nome do executo, isso entra aqui, ó, para você criar mecanismos de melhoria dentro do seu ambiente." Beleza? E também tem uma coisa interessante que algumas ferramentas elas trazem a

análise da causa raiz. Que que é isso? É quando, por exemplo, o, como é que é seu nome, moça? A Carla. Carla foi lá sem querer, clicou num fishing. Aí esse fishing baixou um negócio e tal. Lá lá lá lá. Ele fez toda uma coisa, fez toda uma mágica antes de comprometer a máquina da Carla. Aí o que que vai acontecer? Ele vai montar uma cadeia dos eventos desde cara. A Carla abriu o e-mail, ela clicou no link, esse link baixou um payload, foi executado o negócio, como é que isso foi executado? Foi em memória, foi escrito em disco, não foi? Então ele vai montar toda essa linha do tempo do ataque. Para quê? para você entender

como é que foi o modus operand que que tava acontecendo ou do que que aconteceu mesmo que ele tenha bloqueado a ação. E alertas em real time, que é uma parte também muito interessante quando a gente fala de EDR, que é o quê? você tentar se anteceder a situação, ou seja, quando ele vê alguma coisa, ele tem ações de ou monitoramento ou de bloqueio. Então ele vai te alertar e claro, você tendo um monitoramento contínuo, com um time de C search bem estruturado ou um time de sock bem estruturado, você vai conseguir jogar isso aqui para um CN e jogar isso depois para uma ferramenta de ticket manager da vida e conseguir tratando essas situações com antecedência.

E normalmente algumas dessas ferramentas trazem um contexto do problema. Algumas trazem os TTPs, as táticas técnicas e procedures usados durante aquele ataque. Então faz com que você consegue mapear o que que o vagabundo tava tentando fazer dentro do seu ambiente. Beleza? E aí vem a parte de response que é importante também. Que que acontece? Fiz tudo isso. Beleza? Mas aí, será que o LR toma uma ação? Toma. Alguns tomam, alguns isolam a máquina, o servidor, isola a conta do usuário, corta a rede, aí só deixa a comunicação da máquina estritamente com o end point, com a console da end point, para fazer com que o vagabundo não consiga fazer mais absolutamente nada dentro do seu ambiente. Show. E alguns

conseguem fazer remediação, eles conseguem voltar às vezes a máquina para um ambiente em que ela não estava comprometida. Tranquilo? Tô correndo um pouco pra gente poder chegar a tempo na parte interessante que vocês vão gostar, que senão ficar só passando slide, vocês vão me matar depois. Só para vocês entenderem um pouquinho do fluxo, isso aqui é como funciona. Começa aqui, ó, monitoramento contínuo. Aí ele faz coleta ali de informação, faz o track detecction. Se tem algum alerta, ele avisa, tem a parte de resposta e voltamos a estacaz. Então ele fica o tempo todo na máquina ali no servidor, no ambiente, fazendo todo esse monitoramento e tentando entender o que que tá acontecendo para ele poder saber

se ele tem que te alertar, se ele tem que tomar uma ação, se é alguma coisa conhecida ou não, se não é também, entendeu? Se é baseado em algum IOC, se é baseado em algum TTP que ele já mapeou para aquele tipo de mal. Então tem tudo isso e um pouco da cyber kill chain. Deixa eu só molhar isso aqui. Só para vocês entenderem, guarda isso aqui na cabeça de vocês que lá na frente eu vou mostrar o palorano. Vocês vão me perguntar alguma coisa em cima disso. Isso aqui é basicamente a cadeia de como que um ataque funciona. Hoje você tem a parte de reconhecimento, o cara se arma, se prepara para integrar, entregar ali o

maler, faz a exploração, instala alguma coisa, abre comunicação, comando controle, ou seja, ele se comunica com o teu ambiente e fica ali com a persistência e depois ele começa as ações dele, os objetivos dele. Basicamente todos os ataques hoje seguem essa sequência. e customização de huner. Aqui entra onde veio o meu desafio. O que que aconteceu? Eu queria criar huners e eu queria criar de uma forma que fosse confortável para mim. Então o que que eu escolhi? Eu escolhi o Python como linguagem, script binário. Aí por que Python? Porque era uma linguagem que eu já tinha mais familiaridade. Podia fazer em GO, podia, podia fazer em C, podia, podia fazer C mais, podia. Enfim, mas eu

escolhi Python e Java, mas Java não é a linguagem que eu gosto. Já deixo bem claro aqui aos amantes do Java. Eu só usei porque foi um meio que eu identifiquei de bypassar um problema que eu preciso e lá na frente vai fazer sentido. Então o que que eu fiz? Eu criei uma um método, uma função de criptografia, fiz, comecei eh varrendo alguns diretórios específicos dentro dos sistemas operacionais que eu testei e depois parti para um full scan. Comecei com Redmi para deixar uma mensagenzinha pro pra máquina e depois comecei trocando papel de parede. Aqui eu vou apresentar um hans que ele consegue ser eficaz tanto em Linux, macOS e Windows. Então eu precisei estudar a persistência

de macOS, precisei estudar um pouco mais de como eu exploraria isso dentro do registro e no Chrome Tab, basicamente, que já era uma coisa que eu também já tinha familiaridade. Aí por usar Python e usar Java? Uma a dependência de sérios vários aplicações. Aí você fala: "Zel, mas por que que você usou Java?" Cara, quando você abre o teu banco lá, o que que você tem que instalar? Fala para mim que que vocês instalam. Vocês instalar pytho. É mentira. Tudo mentiroso. É Java, cara. Você vai instalar qualquer coisa de banco hoje, ele vai te pedir para você instalar o bendito do quê? Do Java. É incrível. Aí por que que eu parti pro Java? Porque

teve um determinado ponto da minha pesquisa que vocês vão ver lá na frente que eu empaquei, eu não conseguia baipar a ferramenta. Aí eu tava numa palestra do Samuel Pires, que é um brother nosso de comunidade, um cara muito [ __ ] editing que eu respeito para [ __ ] E o Samuel, cara, ele fez um bipass, uma ferramenta que ele usou Java. Aí ele fez uma coisa tão simplista que eu fiquei assim, não simplista no sentido dele, o trabalho dele foi simples, mas a forma como ele pensou, falei: "Cara, tinha pensado nisso". Aí eu perguntei: "Pô Samu, por que que você chegou nessa conclusão?" Falou: "Zel, todo mundo tem Java na máquina". Aí na hora eu falei:

"Pô, verdade." Falou: "Cara, quando você vai usar o seu banco?" Ele fez a mesma pergunta que eu acabei de fazer para vocês. Que que você tem que instalar? O Java. Você vai instalar às vezes alguma aplicação de alguma coisa? O que que você vai ter que instalar? O Java. Então é uma linguagem que já vai tá ali em qualquer máquina às vezes de usuário final por caso, principalmente o financeiro. Por quê? porque o cara usa usa aplicações de financeiro que vai pedir que precise do Java. Aí falou: "Beleza, então foi por isso, extremamente usado por desenvolvedores." Por que que eu coloquei isso? Porque, por exemplo, eu vou mostrar uma abordagem do ponto de vista de um

insider. O que que eu conseguiria fazer dentro de uma máquina de um desenvolvedor, por exemplo. Por quê? Porque normalmente o cara pega, sai instalando tudo, não se preocupa com segurança. E antes que qualquer desenvolvedor se sinta ofendido, eu também sou desenvolvedor. Então assim, eu sei o que que eu tô falando. Eu de vez em quando faço isso também. Então assim, estuala, sai colocando aí, às vezes não não se preocupa com a parte de segurança e acaba abrindo muita brecha. Desenvolvimento rápido e extremamente popular, que foi o que eu falei do caso do Java e do Python. E a parte de persistência, falando um pouco de persistência, eu vou dar um banho de loja para quem não conhece

absolutamente nada de Macos. Eu falei disso aqui lá em cima mais cedo. O McOS hoje ele é dividido em três domínios. Você tem ali o local domain, que é onde tem toda a parte de aplicações, bibliotecas e a parte de desenvolvimento. O system, que é onde fica a parte propriamente dita do sistema operacional, a parte de uses, que é onde ali é a parte realmente do usuário final. Quando você compra o MacBook e cria sua continha, é ali que vai ficar seus dados todos. Aí, beleza. D aqui, o que que é importante a gente entender, cara? Como é que é estruturada a pasta de usos? Hoje ela é estruturada assim, application desktop documentos library. Prestem atenção nisso aqui,

porque isso aqui vai fazer diferença lá na frente para vocês entenderem onde eu criei a persistência. E music, picture, public e sites, o moves também aí. Beleza? Que que é o launch D, que é o que eu tava falando com vocês lá atrás da persistência? Cara, ele é um aonde você consegue colocar as coisas para botar, eu vou falar de uma de um jeito mais simplío, de um de uma forma que você consegue colocar as coisas para botar no seu SO. Vamos falar: "Cara, quero criar um negócio para botar no meu SO. É no launch D que você vai conseguir fazer isso. Ah, consigo criar qualquer coisa para botar ali, cara. Se você souber como criar o arquivo, inserir

ele, sim, você consegue. Então foi onde eu falei: "Opa, aqui é meu caminho para persistência". Então já achei um buraco para mim poder enfiar o meu mal. Aí beleza. E qual que é a parte boa? Ele não requer permissão, cara. Se você, por exemplo, eu invadi a máquina do, como é que é seu nome, mano? do Diego. Tô na máquina do Macos do Diego. Aí já tô com a conta do Diego e falou: "Cara, quero criar uma persistência ali no launch de a conta do Diego já com a conta do Diego eu preciso fazer isso. Eu não preciso ser rute, não preciso subir nada, não preciso fazer nada, mano. Eu vou lá e escrio um arquivo e pá, e chorou o bebé

e segue o jogo." Beleza? Aí, aonde foi que tava o pulo do gato disso aqui? Nisso aqui, ó. Liberty Laou Engines. Que que eu descobri que com o passado do tempo, como é que a Apple tirou esse diretório Laents da criação, só que eu criando ele na mão, ele continuava funcionando. Então o que que aconteceu? Eu falei: "Opa, se eu crio o diretório, eu posso fazer o quê?" Botar o que eu quiser ali para persistir. Bora testar. Funcionou? Funcionou. Poderia fazer nesses outros aqui, poderia também, mas qual que era a diferença? Esse aqui, ó, tá no meu home, irmão. Eu não preciso de permissão de nada. Se eu cai dentro da máquina do cara, acabou, velho. Eu só vou lá e crio

o diretório, crio um script que crio o diretório, jogo ali o arquivo no padrão de persistência de boot que ele precisa e tá feita a minha persistência. Beleza? 20 minutos. Bora lá. Aí, isso aqui é um padrão de arquivo de persistência. como que eu crio aí? Ele tem normalmente ali um padrão de contrad.playist. Aqui eu criei botei um nickname meu e passo ali o o diretório que eu quero que ele busque a persistência minha. Show. Aí no registro do Windows, no Windows eu tinha várias opções. Eu optei por usar o registro, o auto room do registro e persisti como tesquec schedule, ou seja, criei uma tarefa agendado e fiz uma inserção no registro. Coisa básica que

meio mundo já tá acostumado a ver por aí num monte de ataque. Aí aqui fica o diretório que eu usei. Foi aqui que eu coloquei a minha persistência no Windows e foi aqui que eu criei a minha tarefa agendada. Beleza? Bora pro Linux. No Linux eu também tinha essas várias opções aqui, mas eu queria fazer do jeito mais simples possível para mim ver se eu ia ser efetivo ou não no ataque. E aí eu usei a persistência de agendamento de tarefa usando Chrome Tab. Show. Criei uma tarefa. Isso aqui um exemplo de Chrome Tab. Fui lá, inseri uma tarefa aqui no final da linha e segue o jogo. Beleza, agora bora pro pro quebra-puc. Tá, tá lig Ah, tá ótimo. Show.

Vou dar um contexto básico aqui só para vocês entenderem. Esse aqui é um huner em formato de script que eu criei no Python. Que que acontece? Antes que alguém faça qualquer pergunta, isso não tem absolutamente nada a ver com politicagem. Eu só botei o hino nacional para que vocês olhassem ali e entendessem que tem um texto legível ali. Beleza? para vocês verem que o arquivo tá íntegro e depois ele não vai estar mais. O que que ele vai fazer? Ele vai varrer todos os arquivos doc X PDF XLS. Ele vai pegar, vai transferir isso para uma, para uma VPS minha, para um C2 meu, vai criptografar tudo, vai criar persistência, vai trocar o papel de parede, vai deixar

um Redm na área de trabalho e o EDR que está instalado ali não vai pegar nada. Então vou deixar vocês descobrindo qual é o ODR. Bora lá, ó. Tô mostrando, tô fechando os arquivos, ó, um Word funcionando e botei para executar, ó. E tá aí, ó. Tá rodando. Deixa eu ver aqui quanto tempo que esse bicho demona que eu dei uma editada ali, ó. transferiu, ó a transferência rolando e tá ali, ó, tá ali embaixo, ó. Já foi pra minha VPS, começou a criptografar os arquivos, ó, que eu botei a minha extensão. Eu botei meu nickname como extensão. Poderia botar qualquer coisa aqui, poderia. Botei pcom.br, botei lockbit, botei tudo que vocês possam imaginar e passou. Ó

lá, ó. Aí eu começo a tentar abrir os arquivos ó. E tá ali, ó. Ó. Beleza. E ó, continua criptografando. Ó a persistência ali, ó. Deixa eu dar um pause aqui rapidinho. Pera aí. Deixa eu voltar um pouquinho para vocês verem esse trecho que é interessante. Ai, aqui, ó. Ali ele criou a persistência dentro do diretório que eu falei com vocês, ó. Ó lá, ó. O launchente. Não existi o diretório. O que que o meu hun fez? Opa, não existe. Bora criar. Bora. Criei sem precisar subir permissão nem nada, porque não precisa. Ele rodou, foi lá e criou a persistência. Aí deixa eu botar para correr que a gente ainda tem 15 minutos. Eu quero aproveitar. Ó, tá

lá, ó. Ó, trocou o papel de parede, tá aí a mensagenzinha. E o bichão tá rodando ali, ó. C strike pai passado, sem esforço nenhum. Qual que é o pulo do gato aqui, gente? Eu poderia ter usado bibliotecas famosas. Poderia. Procurei não fazer isso. Por que que ele não pegou? Aí antes que venha, provavelmente vai vir essa pergunta no final. Se eu subi isso para ele subir. E qual que foi a o o o discurso? Ah, porque você não quebrou a kill chain? Falei, tá, então você tá me dizendo que se eu tiver um insider dentro da minha máquina com a sua ferramenta, vai passar aí pairou o silêncio e aí vocês entendam o que vocês quiserem. E foi isso. Esse é

o primeiro caso. Show. Bora lá para um segundo agora.

Esse aqui eu rodo ele num Linux. Eu vou fazer a mesma coisa, só que num cenário Linux. Mostro o arquivo, mostro tudo, executo, mostro que existe um agente ali rodando e ele também consegue ser eficaz. Beleza? Vou dar o play. Ver se rodou. Rodou. Beleza. Ó lá. Vou mostrar que o arquivo que tá ali, ó. Tá íntegro. Ó láó, tem um hinozinho bonitinho aí na tela de baixo. Deixa eu ver se na de baixo não, ó. Na de cima, ó. Boto para executar. Começou a executar. Ó lá, ó. Tá vazando o arquivo. Aqui embaixo eu mostro que tá na minha VPS, ó, e que o arquivo tá crescendo. Aí ó. Eu vou começar a monitorar os arquivos.

Ó, lá estão já sendo criptografado. Filé. E aqui tinha um agente rodando da trend também, ele não pegou. Aí você se pergunta, pô, mas por quê? Porque isso aqui foge a um comportamento padrão de assinatura. Assas ferramentas, por isso que eu coloquei como descrição da minha tal que ela se propõe a fazer coisas que integralmente na prática elas não conseguem fazer. Então, ou seja, tá trabalhando com comportamento aqui na opinião de vocês? Sim ou não? tá pegando comportamento. Não, porque se era para pegar um comportamento, você a de convic que você criptografo 900 arquivo em massa. Não é estranho? Uma máquina que não não exatamente, não é um comportamento para Ó lá, ó. E ó lá, ó. Persistência criada.

Tá lá tudo certinho, ó. Ó o arquivo criptografado, ó. Aí eu vou lá e olho o agente rodando. Show. Deixa pro final, mano. Pode ser. Só pra gente não perder, porque eu tenho muita coisa para mostrar para vocês. Senão agora,

ó, esse aqui, ó, é o mesmo conceito que eu mostrei do macOS, só que pro Windows. Deixa eu ver se ele tá passando. Show. Ó lá, ó. Mostro que o bichão tá rodando, ó. Tá lá os arquivos. Word Excel. Tá ali os processos, ó. Boto uma hora para rodar. Tá varrendo a máquina toda. Beleza. Ó lá. Tá varrendo tudo, procurando tudo. Daqui a pouco ele vai vazar pra minha VPS, vai filtrar os arquivos, ou seja, vai conseguir vazar. Lá, ó. Começou, transferiu. Vou paraa VPS para validar se tá lá, ó. Começou a transferência. Transferência ali, ó. monitorada no shark para mostrar que ele realmente se comunicou. Não tem nenhuma camuflagem aqui de informação. Ó, criptografia correndo na solta. Botei

XYZ. Poderia botar ponto André, poderia, poderia botar ponto Lucas, poderia, entendeu? Ó, tá lá persistente. Opa, pera aí que correu muito rápido. Calma, pera aí, pera aí. Acho que agora correu rápido demais.

Aqui, ó. Deixa eu botar para correr na hora que ele botar, ó. Persistência criada no registro. Beleza? Aí, ó, papel de parede trocado, arquivos criptografado. Vou tentar abrir. Ó, aqui eu só dei um vacilo. Acho que na hora que eu editei o vídeo, eu cortei sem querer a parte do registro. Agora eu que me dei conta, mas enfim, não diminui a a ideia não. Aí beleza, ó, você vê que ele trocou o papel de parede. Para vocês, isso aqui é um huner, sim ou não? Então, foi o que eu afirmei, pagar strike na época. Eu falei: "Cara, como que isso não?" Hanser, mano, ele criptografa arquivos em massa, ele escreve no registro, escreve no no no

Tesk Schedu, ele vaza arquivo para fora. Aí você tá me falando que se o cara não quebrar a minha borda, você não, ele não vai pegar. Falei: "Cara, tem coisa errada. Aí é onde que eu falo? Tá monitorando o comportamento na opinião de vocês?" Sim ou não? Exatamente. Show. Aí, bora lá agora para mais um aqui. Deixa eu ver quantos minutos que eu tenho, pô. 9 minutos. Vai dar tempo de a gente mostrar tudo. Eu ver, deixa eu pegar.

Hã, é, é o deep. É o DIP, mano. Bora lá. Esse, ó, esse aqui é interessante. Bora lá, gente, pra gente não perder. Ah, tá. Pensei que você tava falando comigo. Foi mal, mano. Você fez gesso. Eu falei: "Oi, que que eu tô fazendo de errado? Tá me zoando, Tarcísio". Bora lá, gente. Bora lá. Aí que que acontece? Tem pros russos? Temos. Temos também Maurri pros russos. Aí, o que que aconteceu aqui, ó? É um exemplo que eu rodei no Caspesk. É um Caspesk Enterprise, mesma coisa, mesmo cenário, rodo, ele vai. Aí vocês vão ver que aqui eu vou ter uma leve esperança que falar, cara, alguém está trabalhando direito, mas não. Aí eu arrumo um jeito de

mostro, tá ali, boto para rodar. É um binário, ó lá, ó. Ó, é um XE, ó. Ó, eu compilei o código binário. Aí, beleza, ó monitoro. Falei, pô, não tá acontecendo nada, mano. Falei, como assim? Aí eu começo a ficar feliz. Falei: "Porra, os ru o povo do Vladimir tá tá trabalhando, irmão. Os cara tão além de guerra, os cara saca de de mal." Ó, aí começa, ó. Parou. Aí eu vou olhar na console, ó. Deixa eu dar um pause aqui. Tá ali, ó. Deixa eu voltar um pouquinho que ele marca. Tá ali, ó, o bloque. Eu falei: "Pô, mano, até que os vagabundos trabalham bem, velho." Falei: "Os caras estão fazendo um bom trampo". Aí fiquei

felizão. Falei: "Porra, top". Alguém me segurou. Falei: "Não era a ideia, fiquei triste, mas aí a tristeza durou pouco, né? Aí eu mostrei isso aqui, beleza". Aí ele mostra que não deu certo. Agora eu vou mostrar a mágica. Aí o que que eu fiz? Deixa eu ver se é isso aqui. Acho que é isso aqui. Vocês lembra que eu falei do Java? Nada como um bom e velho Java numa máquina, irmão. Ó lá, ó. Deixa eu, pera aí, deixa eu voltar aqui. Ó lá, ó. Ó o nomezinho que eu dei. Podia botar qualquer nome, irmão, mas eu só quis usar a ideia do Samuca, mano. Falei, mano, se o Samuca fez deu certo, vou testar a mesma parada e vai dar bom

também. Aí, o que que eu fiz? Botei para rodar, né, irmão? Aí ó ó ó a mágica acontecendo. Que que eu fiz de diferente? Só troquei a linguagem, mano. Só isso. Por que que ele pegou no Python e não pegou no Java na opinião de vocês? Não, pior que não, por causa da chamada de biblioteca. O Java chama criptográfica ou chama qualquer outro tipo de biblioteca de criptografia que para ele já é mapeado como algo malicioso. Aí ele falou: "Opa, pera aí, por que que esse cara tá chamando esse negócio aqui para bibli criptografar um monte de arquivo?" Tem coisa errada aí. Aí ele foi lá e catou meu script. Já o Java ele já não fez nada, entendeu? Ele

deixou passar. Bora lá para mais um. Deixa eu ver que horas são. Tenho 6 minutos ainda. Ó, esse aqui também é interessante, ó. Deixa eu ver isso aqui. Quantos minutos? Esse aqui é interessante que o que que acontece? Eu já vou dar um spoiler. Eu botei o nome do olha, presta atenção, ó, de trade. Beleza? Presta atenção. Aí, que que ele faz? Eu tento executar. Você vê que aqui, ó, só tem uma linha do bendito rodando. Deixa eu ver se ele tá tá andando vídeo. Não tô conseguindo ver. Deixa eu maximizar aqui. Ai, meu filho.

Beleza. Aí ele tá lá. Eu executo. Deixa eu dar uma adiantada aqui pra gente ganhar tempo. Ó executei. Ele travou. Beleza, me bloqueou. Vai, filho. Vamos embora. Ó, show. Me travou. Aqui vai aparecer outra linha daqui a pouco. Ó lá, dois. Filé, me travou. Conseguiu ser eficiente. Esse aqui é o panda. Show. Aí parecia que tudo estava bonito, né? Até que não, né? Aí nós muda o nome, né, irmão? A gente é malandro. Ó lá. Aí eu botei para rodar com o nome vingador. Xr. E ó, tá lá, ó, mais um corpo estendido no chão, entendeu? Sucesso, pai. Cola em nós. E aí, ó. E tá rodando. Exato. Não, e não mudei nada, mano. Eu

só mudei o nome. Só mudei o nome de trad, entendeu? Ó, você vê que tá correndo ali, ó. Continua só os dois que ele tinha pego e tal. E acabou, ó. Ó lá, ó. Ó lá, criptografia correndo aqui do lado, ó. Ó lá, ó. Trocou, ó. Comunicação para fora acontecendo. Fez tudo, ó. criou persistência, trocou o papel de parede, ó. O Redm aí que vocês já tão cansados de ver já pela sex. Show. Beleza, bora voltar pro slide. A gente fechando já porque aí dá tempo paraas perguntas. Conclusão. O que que eu tenho que prestar atenção na cadeia de custódia quando eu estou analisando um rans? Isso aqui é fundamental. Que que eu tenho que prestar atenção

também? Descubra o paciente zero dentro do seu ambiente se você está atuando num incidente ransor. Isso aqui é primordial. E pelo amor de Deus, prestem atenção. Par em tudo que vocês estão fazendo até de tirar foto. Vocês ouvirem isso que o pai vai falar aqui agora. Nunca desligue a máquina. Tira o cabo de rede, mas não desliga a máquina. que você simplesmente destrói a possibilidade de se fazer um dump de memória e tentar entender o que que o infeliz fez dentro do seu ambiente. Então, nunca desligue a máquina, tira o cabo de ah, tá no Vem, vai lá e tira a interface de rede, mas deixa ela quieta lá que isso vai te ajudar na sua investigação. Outra coisa,

faça uma boa execução de de contenção, erradicação, cara. Se você quem é que é de blue team, só para eu saber. Se vocês não gostam de ser de ler log, vocês estão na profissão errada. Já fica a dica que, cara, ser bluetin é saber ler log, irmão. Não tem para onde correr. A tua vida é saber lelog. Outra coisa, encontre a persistência. Tudo isso que eu falei para vocês aqui, você acha vários livros de técnicas de regentin de persistência, que é as mesmas técnicas que os atacantes usam. Então você vai achar lá um mecanismo de de que vai te ajudar. Aí você tem que sempre ali lições aprendidas, fazer um bom har, treine o seu time, faça um checklist, faça trade

simulator. E aqui tá o material que eu usei para essa talk para quem quiser estudar mais. Tudo que eu falei, boa parte das coisas estão aqui, não é na minha cabeça. Beleza, o LAB tá aqui. Show. Foi isso aqui que eu usei no meu láb. Perguntas. Agora vocês podem perguntar e tá aqui meus contatos. Fala aí, mano. Não, apenas perce porque ele já tinha levantado a mão. Fala aí, mano. Tava no talo, mano. Mas hoje, cara, que empresa usa isso no talo? Me responde. Nenhuma. Não tem. Porque você para a empresa, sacou? Fala, mano. Você é quando você mudou o nome da aplicação, você simplesmente mudou o nome da aplicação e mudou de novo. Não, só mudei o nome da aplicação. Só

mudei o nome do executável. Eu não fiz mais nada. Executável e você fez depois não. O trat é o é o código. O binário é o código compilado. Aplicação chamada trad. Você botou ela antes da do pingador. Isso você rodar o vingador para ele pegar e ele também não pegaria. Não pegaria, entendeu? Só é isso. Obrigado, pessoal. Valeu pela atenção. Espero que vocês tenham gostado. Fui. Muito obrigada pela apresentação, Zziel. Foi incrível.

E agora?

Vai