Recentemente o IPS detectou diversos alertas suspeitos, onde alguns dispositivos, móveis estavam se conectando à botnets. Bom… no mínimo preocupante. A botnet? Sality botnet. Isso já pareceu estranho, pois todos os artigos encontrados na internet referentes à essa bonet, são datados de 10 anos atrás ou mais ainda mais antigos que isso. Mas é aquele negócio, melhor um falso positivo investigado do que um positivo não investigado, correto?
Todas as conexões que o IPS pegou (e algumas outras não alertadas pelo sistema) eram destinadas à porta 7500 UDP. O endereço? Tencent e Zenlayer, duas empresas de cloud. O maior problema ao realizar essas investigações é a teimosia do ser humano, e aqui não foi diferente. Bati cabeça com os endereços de destino e portas usadas, nenhum resultado. Afinal, os endereços não são maliciosos.
Ao parar e descansar um pouco, as sinapses voltaram a ocorrer, descansar a mente também ajuda a assimilar a informação. Se não encontrei nada referente à essas portas, hora de olhar outros logs, por exemplo, application control. E lá estava uma nova informação relevante, “Call of Duty Mobile”, apesar de ainda não ter certeza do que estava ocorrendo, pelo menos não é algo malicioso (ufa).
Agora a pesquisa ficou mais fácil, fazer a verificação dos endereços e portas utilizadas pelo jogo. E lá estava, as informações coincidem com todas as comunicações observadas no alerta.
Já cheguei até aqui, então vamos fazer a prova final? Instalar no próprio celular e avaliar as conexões de rede através do firewall (de quebra ainda tira um lazer). Pronto, paranoia controlada, todas as conexões “suspeitas” estão sendo realizadas pelo jogo.
Por fim, fica aquele questionamento “excesso de zelo” ou “perca de tempo”? Em um ambiente crítico, onde uma pequena falha pode levar à danos irreparáveis, com certeza é melhor prezar pelo excesso de zelo. Nunca assuma nada, sempre investigue.
Graduado em Ciências Biológicas, descobri que minha mãe estava certa e voltei para a área de tecnologia. Realizei a segunda graduação em Análise e Desenvolvimento de Sistemas, e iniciei minha carreira como Analista de Suporte, prestando suporte técnico à infraestrutura de TI com ênfase em tecnologias Microsoft.
Atualmente trabalho com resposta a incidentes, análise de ameaças, monitoramento de ambientes e mitigação de riscos em infraestruturas corporativas.