Nos últimos dias, fui bombardeado com alertas que indicavam a detecção de um potencial software malicioso em diversos ambientes distintos, pelos quais sou responsável. Até então, mais um dia normal na vida de um analista de SOC. Porém, desta vez, algo estava diferente: coincidentemente, todos os alertas estavam correlacionados e apresentavam os mesmos indicadores e comportamentos, mesmo ocorrendo em ambientes distintos e sem qualquer relação entre si.
Ao analisar a origem desse suposto arquivo malicioso, por meio de pesquisas, cheguei à conclusão de que o executável estava relacionado a um serviço da Microsoft Store presente em endpoints Windows 10 e Windows 11, o que justificava o fato de diversos ambientes não correlacionados apontarem o mesmo EXE como suspeito.
Nesse momento, considerei duas possibilidades. A primeira, e mais crítica: a Microsoft teve essa aplicação comprometida e estaria, involuntariamente, distribuindo malware para o mundo inteiro o clássico “Supply chain attack”. Se fosse esse o caso, “fujam para as colinas!“. A segunda hipótese era a existência de alguma característica ou comportamento potencialmente legítimo do software que estivesse sendo identificado como disruptivo pelo XDR.
Com isso em mente, a melhor abordagem foi buscar outras fontes de dados, a fim de entender se essas detecções já eram conhecidas pela comunidade, vendors e demais analistas. Assim eu fiz. Após alguns minutos de pesquisa, observei que outros analistas, que operavam soluções de XDR alternativas, enfrentavam o mesmo problema, um número considerável de alertas indicando que o software da Microsoft estava sendo reconhecido e classificado como malware. A princípio, isso é um fator preocupante, pois aumenta a probabilidade de o arquivo ser realmente malicioso. No entanto, ao me aprofundar ainda mais, identifiquei em um fórum oficial da Microsoft a provável justificativa para o motivo de as soluções de segurança estarem realizando essa detecção, segundo o próprio vendor.
O arquivo executável passou a apresentar uma estrutura de código com seções de alta entropia e uso de packers, recurso comumente empregado em softwares maliciosos, pois é utilizado para proteger o código da aplicação e dificultar a engenharia reversa por parte dos analistas de Malware. colher as informações oficiais do fabricante foram um ponto chave para a finalização destes alertas.
Após a resolução de todas as questões relacionadas a esses incidentes e a classificação deles como falso positivo, surge a pergunta: O XDR errou? Apesar de a resposta parecer óbvia, vale analisar os fatos. A ferramenta foi criada para identificar comportamentos e ações suspeitas em qualquer executável, independentemente de assinatura digital, hash ou processo pai. Sua principal função é atuar como uma sirene para o analista. Essencialmente, ela não valida se a atividade representa um incidente real, pois, embora possua estratégias de mitigação associadas, essa não é sua função principal.
A decisão final sempre será do analista. Mesmo em cenários de automação utilizando SOAR, este fato se aplica, afinal, é o analista quem cria o playbook a ser executado. Portanto, nunca confie 100% na ferramenta, independentemente de sua classificação ou ranking no mercado. A máquina não faz nada por si só; ela apenas executa exatamente aquilo para o qual foi projetada. O bom analista é, e sempre será, aquele que reconhece isso e busca desenvolver as habilidades técnicas necessárias para absorver todas as informações fornecidas pelas ferramentas e, somente após uma análise minuciosa, identificar se determinado incidente é ou não verdadeiro.
Graduado em Análise e Desenvolvimento de Sistemas pela Universidade Paulista, e Pós-graduando em “Defensive Cyber Security” pela FIAP, atua como N1 no time de SOC da CYLO, é responsável por realizar a primeira análise e resposta de incidentes cibernéticos, realizou capacitações no campo de SOC/CSIRT, tendo como destaque os treinamentos promovidos pela CERT.BR em conjunto com a instituição Carnegie Mellon University “Foundations of Incident Management” e “Advanced Topics in Incident Handling”