Recentemente, me deparei com um incidente gerado após a detecção de um BIOC, o qual possuía o seguinte título: “Windows LOLBIN executable connected to a rare external host”.
O incidente informava a detecção de uma conexão externa suspeita realizada por um processo nomeado como “sc.exe”. Isso me levou a pensar que o alerta estava fazendo referência ao software nativo e amplamente conhecido do Windows, responsável pelo gerenciamento de serviços, “Service Control” e que o mesmo estaria sendo utilizado para realizar conexões com servidores de “Command and Control“, uma vez que entendo não ser nada comum esse processo realizar conexões externas.
Bom… neste caso, a realidade era bem diferente. Ao aprofundar as investigações, identifiquei que o software nomeado como “sc.exe” e responsável por realizar a conexão externa nada tinha a ver com o processo nativo do Windows “Service Control”. Inclusive, era assinado por outro fabricante. Da mesma forma, realizei todas as verificações necessárias para me certificar de que a conexão detectada não apresentava qualquer risco para o ambiente.
Foi então que me veio a ideia: o fator que levou a essa detecção foi a existência de uma regra de BIOC configurada especificamente para detectar conexões realizadas por processos que possuem como fator de validação apenas “nomes conhecidos do sistema operacional Windows”. Porém, ao surgir um software de terceiros que possui o mesmo nome que um desses processos, a BIOC irá disparar sem qualquer validação prévia, aumentando a chance da geração de falsos positivos…
Ou seja, não seria mais prático e acertivo, adicionar também como um dos requisitos de validação para o disparo desta BIOC a verificação da “Assinatura Digital“? A fim de certificar que apenas processos do sistema Windows sejam responsáveis pela “Trigger” desta regra.
Graduado em Análise e Desenvolvimento de Sistemas pela Universidade Paulista, e Pós-graduando em “Defensive Cyber Security” pela FIAP, atua como N1 no time de SOC da CYLO, é responsável por realizar a primeira análise e resposta de incidentes cibernéticos, realizou capacitações no campo de SOC/CSIRT, tendo como destaque os treinamentos promovidos pela CERT.BR em conjunto com a instituição Carnegie Mellon University “Foundations of Incident Management” e “Advanced Topics in Incident Handling”