Digital Fraud, Data Leakage, Threat Intelligence

Data exfiltration: as técnicas utilizadas pelos cibercriminosos na captura de dados

Por Ricardo Maganhati Junior em
COMPARTILHAR

Vivemos em um tempo onde vazamentos de dados têm ocorrido com mais frequência. É uma batalha cibernética que ocorre tanto no âmbito da proteção quanto no do ataque. E é neste último que reside a maior parte do problema.

Pode parecer clichê no cenário de segurança, mas para se proteger e diminuir as chances de ter dados sensíveis expostos é necessário pensar com a cabeça do atacante. Precisamos entender que o atacante não é apenas aquele perfil externo de pessoa que quer ter acesso a dados sigilosos da empresa, mas também o funcionário da empresa – mais conhecido como insider.

No que diz respeito aos vazamentos de dados, eles podem ocorrer de forma intencional ou não. No caso dos insiders, algumas vezes eles não sabem que estão causando um vazamento de dados, possivelmente por conta de não saberem como agir em determinadas situações. Já no mundo externo, diga-se na Internet, a maioria dos vazamentos podem ocorrer de forma intencional, com objetivos claros e definidos.

E se eles puderem causar um vazamento e ainda não serem detectados? 

 

Data exfiltration: o processo de extração de dados


Anyways, atacantes em geral podem utilizar técnicas que os permitam passar despercebidos pelos sistemas de segurança, não denunciando assim a sua presença na rede e muito menos o pacote que “estão levando consigo”. Tecnicamente, nesse caso, podemos dizer que temos um data exfiltration em curso.

Mas será que sabemos realmente o que está acontecendo? Temos a certeza de que nossos sistemas estão minimamente seguros e de que nenhum vazamento de dados está ocorrendo (ou que já ocorreu)? O data exfiltration é um conjunto de técnicas utilizadas para despistar a captura de dados e que pode burlar muitos sistemas de cibersegurança.

Também sabemos que o maior risco para a segurança da informação nas empresas são as pessoas – e até mesmo os funcionários. Mas hoje focaremos aqui nos recursos tecnológicos que os atacantes utilizam.

DoH – DNS Over HTTPS

Como já mencionamos no post DNS Over HTTPS (DoH) e os problemas de segurança e privacidade, o DoH criptografa as consultas DNS de modo que o conteúdo dessas requisições não seja visto por terceiros. A ideia aqui é que o atacante utilize o DoH para realizar vazamentos de dados para servidores externos à organização por meio de consultas DNS, sem que as ferramentas de segurança saibam o que está ocorrendo.

Existem ferramentas como o DNSExfiltrator que utilizam DoH públicos por onde encaminham as requisições aos servidores de destino – que efetivamente receberão os arquivos e dados vazados.

TCP Data Exfiltration

Similar ao DoH, o TCP Data Exfiltration se conecta na porta de destino de um servidor malicioso para enviar os arquivos vazados de uma organização. Ferramentas como o DET (Data Exfiltration Toolkit) fazem isso de forma criptografada. Ao analisar o tráfego por meio do Wireshark podemos ver o tráfego, mas sem enxergar o conteúdo real.

Uma curiosidade é que o DET surgiu como uma PoC para identificar as fragilidades em soluções de DLP (Data Loss Prevention).

Tails

O Tails é um sistema operacional Linux com foco em segurança e privacidade. Ele proporciona privacidade porque utiliza todo um ambiente de ferramentas que ocultam a identidade de quem o estiver utilizando. Isso inclui um atacante instalá-lo em um pendrive e inseri-lo na USB do computador da empresa.

A partir do momento que tenha sucesso em executar o processo de boot por meio do pen drive, o atacante terá à sua disposição um sistema operacional que oculta a sua identidade e permite instalar outras ferramentas, como as que descrevemos antes.


Engenharia social

Não explicaremos todos os meandros da engenharia social, mas saiba que ela explora a fragilidade humana em diversos pontos. Um atacante pode:

  • Ligar para a empresa ou enviar um e-mail  fingindo ser o superior de um analista e assim ter conhecimento sobre informações sigilosas. Aqui já podemos ver que ocorreu um vazamento de dados;
  • Enviar um pen drive de presente para algum assistente do CEO. O assistente abrirá o conteúdo que está no dispositivo e assim criará um canal direto com o servidor do atacante. Dependendo da ferramenta que o atacante utilizou, este canal, que recebe o nome de shell reverso, poderá ser criptografado de forma a dificultar a detecção do conteúdo do tráfego;
  • Enviar links por e-mail que enganam o usuário, onde o mesmo entende erroneamente que está acessando um site legítimo e baixando aquele update para um software que a empresa utiliza.


Como impedir a ocorrência de vazamentos de  dados (ou ao menos minimizar a probabilidade)


Proteger a sua empresa contra vazamentos de dados envolve não somente o uso de tecnologias que ajudam no monitoramento de arquivos e de informações confidenciais, mas inclui também processos simples que impedem o uso descontrolado de dispositivos não autorizados em computadores da organização – bem como em campanhas de conscientização.

  • Ao utilizar soluções de DLP (Data Loss Prevention) é possível saber realmente se documentos sigilosos ou outra informação estão sendo enviados para um possível atacante. Paralelo a isso, essas soluções inspecionam o tráfego e assim podem impedir um possível vazamento de dados;
  • Soluções que gerenciam o uso de portas USB em computadores da organização podem impedir o vazamento de dados ao fazer com que dispositivos USB maliciosos não sejam reconhecidos pelo sistema operacional;
  • Talvez um dos itens mais importantes para a proteção das informações de uma organização é a conscientização. Treine seus colaboradores de forma que os conceitos de segurança da informação, bem como o modo de agir em determinadas situações, sejam fixados no entendimento de seus colaboradores.


Monitore possíveis vazamentos de dados

O monitoramento constante é essencial, pois permite que tenha uma visão de como a informação referente a sua organização é utilizada e compartilhada, permitindo que possa agir de forma proativa em qualquer situação. 

Nesse caso, é necessário que você possa monitorar os dados e informações presentes no perímetro interno (e-mails enviados, informações acessadas e disponibilizadas) da empresa e também fora dele, buscando  na internet e na deep e dark web por:

  • Informações financeiras (cartões de crédito, extratos, etc);
  • Documentos sigilosos;
  • Usuários e senhas;
  • Bancos de dados;
  • E outras tantas informações sensíveis!


Uma boa pedida para o monitoramento das suas bases de dados (como, por exemplo, credenciais) é o uso de honeytokens. Esses dados são “iscas” que você mesmo cria e só você ou sua equipe e seus fornecedores de segurança sabem quais são.

Com isso, ao descobrir algum vazamento de dados (ou algum trecho) contendo o honeytoken você ganha mais velocidade para saber outros detalhes como a fonte e a data do ataque – já que só você sabe detalhes dessa isca.

 

Monte uma estratégia sólida


Como pudemos ver, a ocorrência de vazamentos de dados e a proteção são compostas por diversos fatores. São peças de uma engrenagem que constituem o todo. Cabe aos responsáveis pela segurança da informação identificar as peças e orquestrar a proteção e o monitoramento das informações da organização. Planeje-se sempre!

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Ricardo Maganhati Junior

Profissional de Ethical Hacking e Cybersecurity formado pela UNICIV, com experiência em Pentest, resposta a incidentes, segurança digital e conscientização em segurança da informação. Além disso, gosto de escrever e repassar meu conhecimento para as outras pessoas. O conhecimento deve ser livre!