A plataforma Axur agora conta com uma solução de Threat Hunting. Isso proporciona um mecanismo de busca muito poderoso para encontrar ameaças à sua organização com base em dados expostos coletados pelo nosso sistema.

Criminosos estão constantemente invadindo sistemas corporativos e de usuários finais, compartilhando esses dados com outros agentes de ameaças. Esses dados podem ajudar os atacantes de diversas maneiras:

• Credenciais vazadas podem levar os agentes de ameaças diretamente ao ambiente de tecnologia corporativa. As credenciais vazadas podem incluir tokens de sessão que ignoram a autenticação multifator.
• A reutilização de senhas permite que os atacantes acessem sistemas corporativos usando senhas que foram vazadas para diferentes serviços ou sistemas.
• Dados pessoais expostos podem ser utilizados em ataques de phishing ou para coagir funcionários a fornecer suas senhas ou desativar a MFA.
• Cartões de crédito expostos podem ser usados para pedidos fraudulentos em lojas online, deixando os comerciantes vulneráveis a estornos e reclamações de clientes.
  
  

As organizações podem detectar ameaças proativamente a partir de dados expostos. Ao estender investigações em andamento com uma verificação de exposição ou criar um processo rotineiro para consultar esses dados, é possível detectar riscos e mitigá-los antes que um incidente se materialize, evitando que incidentes em andamento se agravem.

Os dados de ameaças também podem ser inestimáveis para a coleta de inteligência de segurança, como ao analisar pedidos suspeitos de um cliente ou para a segurança de fornecedores. Durante auditorias de segurança, as informações sobre ameaças e exposição podem ajudar a identificar a fonte de um vazamento e confirmar se sua empresa foi violada.

O cenário atual de cibersegurança é muito desafiador, por isso é essencial aprimorar os processos com dados e inteligência de ameaças. Com o Axur Threat Hunting, estamos oferecendo uma ferramenta muito poderosa para melhorar o uso de dados de ameaças em qualquer aspecto da cibersegurança.

Axur Threat Hunting: visão geral

Em essência, nossa solução de Threat Hunting funciona como um mecanismo de busca que permite investigar incidentes envolvendo credenciais expostas, cartões de crédito, URLs e domínios e anúncios e busca paga.

O Threat Hunting é sobre identificar pontos de dados específicos que podem indicar riscos, ameaças ou até mesmo incidentes que já possam estar em andamento.

Para começar a pesquisar, é necessário selecionar um dos bancos de dados para consulta:

• Credenciais – credenciais expostas são provenientes de vazamentos de dados publicados e logs de malware infostealer que são rotineiramente compartilhados por cibercriminosos na Deep & Dark Web, bem como em fóruns de vazamento de dados e outros canais.
• Cartões de crédito – Este banco de dados contém informações relacionadas a cartões de crédito expostos.
  
• URLs e Domínios – Este banco de dados permite buscar ameaças de phishing e sites maliciosos, identificando atividades suspeitas na web.
• Anúncios e Busca Paga - Busca anúncios maliciosos em redes sociais (atualmente disponível para Facebook, Instagram e Threads). 

O próximo passo é inserir os parâmetros e operadores de pesquisa.

Os parâmetros permitem consultar pontos de dados específicos com base nos critérios escolhidos. Por exemplo, você pode verificar se um determinado usuário teve suas credenciais expostas ou buscar todos os cartões de crédito com um BIN especificado.

Existem muitos parâmetros de pesquisa disponíveis para que você possa encontrar os dados relevantes para você. Alguns exemplos estão disponíveis na própria página do mecanismo de busca, mas existem ainda mais parâmetros para consultas avançadas.

Alguns dos parâmetros disponíveis incluem:

• Credenciais: nome de usuário, nomes de domínio, senha (ocultada), fonte do vazamento.
• Cartões de crédito: número do cartão, número de identificação do banco (BIN), nome do titular, data do vazamento, data de validade.
• URLs e Domínios: marcas imitadas, logotipos de empresas, datas de detecção, referências de domínio, portas abertas e registros DNS.
• Anúncios e Busca Paga: plataforma do anúncio, status de verificação do perfil, título suspeito, descrição interpretada via IA a partir de imagens e atributos.

Os operadores funcionam da mesma forma que em qualquer mecanismo de busca convencional. Você pode combinar vários parâmetros com "OU" para que qualquer resultado que corresponda a um dos critérios seja retornado, ou usar "E" para que os resultados sejam retornados apenas quando corresponderem a dois ou mais critérios.

Toda ferramenta poderosa como o nosso Threat Hunting tem alguma complexidade, mas isso não é um problema aqui. O AI Query Builder pode ajudar você a construir sua consulta, mesmo que não esteja familiarizado com os parâmetros ou operadores necessários. No prompt de IA, você pode descrever o que está procurando e a IA criará a consulta apropriada. Você também pode ajustar a consulta gerada antes de executá-la.

O AI Query Builder é uma ótima ferramenta tanto para novos usuários quanto para os experientes. Ele também funciona para explorar as possibilidades disponíveis dentro do Threat Hunting e para aprender novos parâmetros com os quais você ainda não esteja familiarizado. Novos membros da equipe podem se atualizar rapidamente usando o AI Query Builder e aproveitar muitas das funcionalidades do Threat Hunting imediatamente.

Quando e como o Threat Hunting pode ajudar

Nem todas as organizações usarão o threat hunting da mesma forma. Existem muitas situações em que os dados que disponibilizamos em nossa plataforma podem ser aproveitados para ajudar a explicar uma tentativa de intrusão ou encontrar a causa raiz de um incidente, mas muitos casos de uso não envolvem ameaças diretas — como ao realizar avaliações de risco para um fornecedor ou contrato.

Aqui estão alguns exemplos:

Analisando riscos

Nosso Threat Hunting funciona como um mecanismo de busca, portanto, você pode usar os dados que disponibilizamos para muitas tarefas de análise de risco.

• Fornecedor ou cliente: Você pode encontrar dados ou exposições de credenciais relacionadas a fornecedores ou clientes. Isso pode ser usado ao integrar fornecedores, em auditorias ou ao calcular o risco para um contrato.
• Aplicações e plataformas: Existem muitas plataformas, aplicativos ou ofertas de Software como Serviço (SaaS) que não oferecem contratos individuais para cada cliente. O threat hunting ajuda a abordar isso ao descobrir vazamentos de dados e exposições, fornecendo insights valiosos para a avaliação de riscos.
• Cartões de crédito: Mesmo quando um número de cartão de crédito não está disponível, você pode buscar cartões de crédito expostos com base no nome do titular. Isso pode ser usado por lojas online para liberar ou bloquear transações suspeitas.
• Anúncios: Permite identificar anúncios fraudulentos veiculados por perfis falsos ou não verificados, um vetor crítico para phishing e fraudes, ajudando a mapear campanhas ativas e mitigar o uso indevido da marca em canais pagos.

Encontrando a origem de uma violação

As informações dos usuários geralmente são armazenadas por muitos serviços. Muitos desses dados são duplicados, e os usuários podem reutilizar senhas. Quando ocorrem vazamentos, os usuários podem reclamar com você, acreditando que foi a sua empresa que sofreu uma violação.

Os dados do Threat Hunting podem ajudar a descobrir a verdadeira fonte do vazamento.

Alguns parâmetros que podem ser úteis para isso são:

• user=email@dominio.exemplo.com ou user=nome_de_usuario
  Retorna todos os vazamentos de credenciais conhecidos relacionados ao endereço de e-mail ou ID de usuário. Os resultados podem conter informações indicando a fonte do vazamento (um malware infostealer, um vazamento de dados, etc.).
• password=senha
  Retorna todos os vazamentos com a senha especificada. Pode detectar casos de reutilização de senhas.

Detectando fraudes e tentativas de phishing

Algumas empresas enfrentam ataques complexos de phishing ou sites falsos, muitos dos quais não utilizam explicitamente o nome da marca no domínio ou no conteúdo. Nossa plataforma resolve isso ao detectar até as ameaças mais ocultas.

Com a busca por "URLs & domínios" ou "Anúncios e Busca Paga", os usuários podem realizar investigações personalizadas que identificam páginas maliciosas com base em pesquisas de conteúdo específicas, mesmo que a marca não seja mencionada diretamente.

Você pode investigar ameaças de phishing usando diversos parâmetros, como:

• Imitação de marca por elementos visuais: identifique sites que imitam marcas conhecidas ou exibem logotipos específicos. Por exemplo, detecte níveis variados de imitação de "NomeDaMarca" ou encontre sites que exibam o "LogoDaMarca".
• Tipo de conteúdo e solicitações de dados sensíveis: pesquise sites de phishing por tipo de conteúdo, como páginas de login, páginas de erro ou sites de e-commerce. Você também pode identificar aqueles que solicitam informações sensíveis, como senhas ou dados de pagamento.
• Análise de domínio e ciclo de vida: investigue domínios com base nas datas de criação ou expiração, ou filtre os resultados por datas de detecção recentes para focar em novas ameaças.
• Referências e atributos de URL: examine URLs ou referências específicas e filtre por atributos de domínio, subdomínio ou domínio de topo (TLD) para refinar sua busca.
• Conteúdo HTML: busque termos específicos presentes no código das páginas detectadas — como e-mails, números de telefone ou CNPJs — para localizar campanhas falsas baseadas em dados conhecidos.
• Indicadores de rede e rastreamento de origem: identifique ameaças analisando portas abertas ou rastreando suas origens, como coletores ou fontes de inteligência de ameaças.
• Ameaças específicas de idioma e região: restrinja suas investigações a determinados idiomas ou regiões para identificar campanhas de phishing mais localizadas

Esses parâmetros permitem investigações direcionadas, revelando sites de phishing e atividades fraudulentas mesmo quando os indicadores são sutis.

Identificando anúncios fraudulentos

Perfis falsos e campanhas maliciosas usam anúncios pagos como vetor de ataque, explorando redes sociais e buscadores para promover golpes e páginas de phishing. Com a nova aba Anúncios e Busca Paga, o Threat Hunting permite mapear essas campanhas, identificar riscos e agir rapidamente.

A busca permite filtrar sinais usando parâmetros como:

• adPublisherPlatform=Facebook
  Retorna anúncios maliciosos veiculados em uma plataforma específica (ex.: Facebook, Instagram ou Threads).

• metaProfileVerificationStatus=NOT_VERIFIED
  Identifica anúncios promovidos por perfis falsos ou não verificados — comuns em campanhas fraudulentas.

• adTitle="oferta imperdível"
  Busca padrões suspeitos em títulos de anúncios, úteis para identificar golpes comuns.

• adDescription="..."
  Traz descrições interpretadas por IA, incluindo o texto contido nas imagens, permitindo detectar anúncios disfarçados ou criativos suspeitos.

Esses filtros ajudam sua equipe a monitorar riscos de phishing e fraude originados diretamente em campanhas pagas, um vetor crítico para que os golpes ganham alcance e credibilidade.

Refinando a detecção com cores predominantes

Além dos parâmetros tradicionais, o Threat Hunting permite agora buscas por cores predominantes, um recurso disponível tanto na aba de URLs & Domínios quanto em Anúncios & Busca Paga. Essa funcionalidade facilita a identificação de páginas falsas e anúncios fraudulentos que utilizam a identidade visual da sua marca, mesmo sem mencioná-la diretamente.

Parâmetros disponíveis:

• predominantColor=purple
  Busca resultados que apresentem a cor predominante roxa, útil para marcas ou instituições cuja identidade visual é reconhecível.

• predominantColorHex=#E50914
  Busca por cor específica usando valor hexadecimal.

• predominantColorRGB="[229, 9, 20]"
  Busca por cor específica via código RGB.

Esse recurso amplia a capacidade investigativa de equipes maduras, revelando tentativas sofisticadas de fraude baseadas em elementos visuais, um diferencial técnico raro no mercado, reforçando a sofisticação da ferramenta.

Investigando incidentes

Ao investigar um incidente de segurança, você pode utilizar o Threat Hunting para saber se os atacantes usaram informações expostas para realizar sua campanha. Você também pode identificar se um incidente tem o potencial de se espalhar para outras partes da rede (devido a credenciais ligadas, reutilização de senhas e outros riscos).

Aqui estão alguns parâmetros úteis para investigar incidentes de cibersegurança:

• emailDomain=suaempresadominio.exemplo.com
  Localiza credenciais expostas com o nome de domínio da sua organização. Você também pode usar o operador "OU" para incluir domínios adicionais.
• user=contacomprometida@suaempresadominio.exemplo.com
  Assim como acima, encontra quaisquer credenciais expostas pertencentes ao usuário especificado.
• password=senha
  Ao investigar tentativas de acesso falhas ou suspeitas, você também pode usar este parâmetro para descobrir se a senha usada na tentativa de acesso já foi vazada.
  

Vale destacar que, embora você possa consultar esses dados proativamente, a plataforma Axur pode alertar automaticamente sobre eventos de alto risco, como quando uma credencial corporativa pode estar comprometida. O Threat Hunting, como o nome sugere, se destaca quando você está ativamente tentando descobrir (ou "caçar") dados de ameaças e encontrar a causa raiz de um incidente.

Veja o Threat Hunting em ação

Se você quiser explorar mais a fundo, pode começar com nosso plano gratuito e experimentar o poder do threat hunting em primeira mão. Entre em contato conosco — estamos ansiosos para ajudar a proteger o seu negócio.