Detectando hosts maliciosos com monitoramento de DNS

Horário: 16:20 as 17:10

Duração: 40 minutos (mais 10 minutos para perguntas e respostas)

Local: Sala de Palestras

Nível: Intermediário

Resumo

Em tempos de Bullet Proof hosting e Fast Flux Networks, onde os criminosos cibernéticos se defendem constantemente de investigadores (privados e/ou governamentais), técnicas de “desvio” de ações de segurança são continuamente empregadas. Uma das mais notórias e eficientes é a mudança de endereços de hospedagem de conteúdo malicioso.

Nesse sentido, cada vez mais se fazem necessárias técnicas de investigação e monitoramento ativo. A apresentação será sobre essa nova necessidade, a monitoração contínua e ativa de características dos servidores onde o conteúdo malicioso é hospedado, no intuito de acumular evidências que sejam elucidativas na resposta ao incidente.

Essa técnica de monitoração de DNS será extensivamente explicada, levando em consideração premissas de operação que conjecturem acerca de segurança operacional (OPSEC), inteligência e reconhecimento e indicadores de investigação como geolocalização.

Além da técnica, será apresentada ferramenta de autoria própria, EvilWatcher, escrita pelo autor e que empreende diversos modos de operação no afã de alcançar o objetivo previamente citado. Detalhes técnicos serão amplamente explorados.

O propósito do EvilWatcher é realizar um monitoramento ativo de hosts maliciosos, podendo gerar ínumeras informações para os usuários (Forças policiais/Peritos), estas informações são desde a geolocalização do host, ASN, outros registros DNS que existam em um dominio malicioso, etc. Com o tempo de uso é possível identificar por quais ASN e "locais" um conteúdo malicioso foi hospedado, gerando inclusive estatísticas e base de inteligência.

Palestrante

Thiago Bordini

COO da NBP Trust, pesquisado independente.

Palestrante em diversos eventos como H2HC, BSides, YSTS, CNASI, SegInfo, ValeSec dentro outras.

Professor universitário em diversas universidades de São Paulo