Por que os hackers adoram registros

Por que os hackers adoram registros. A adulteração de logs é uma parte quase inevitável de um comprometimento de sistema.

Por que e como os cibercriminosos visam os logs e o que pode ser feito para protegê-los?

Um arquivo de log de computador é um registro de ações realizadas em ou por um aplicativo dentro de um computador. Eles são importantes para ver o que está acontecendo no sistema, seja um defeito de design ou uma atividade maliciosa. Inicialmente, esses logs foram analisados manualmente (e de forma ineficiente). Hoje, o processo é automatizado por outros aplicativos, especialmente softwares de segurança que monitoram atividades anômalas que possam indicar o início ou o andamento de um ataque.

Embora importantes para a operação da TI empresarial, os logs não são diretamente relevantes para os negócios da empresa. Como resultado, o seu valor é muitas vezes ignorado. Eles não são automaticamente considerados parte das “joias da coroa” da empresa que devem ser protegidas e geralmente são arquivos de texto simples de leitura/gravação com pouca segurança.

Isto é um erro, uma vez que a totalidade dos registos contém – ainda que de forma fragmentada – um registo completo da infraestrutura de TI e da sua utilização. Esta realidade não está perdida para os agressores criminosos.

Conteúdo e atração

O conteúdo do arquivo de log pode conter inúmeras atrações ou capacidades para os invasores, incluindo: uma ajuda para reconhecimento, PII e outros dados regulamentados, um meio de ocultação e cobertura de rastros e um método para interrupção e extorsão.

Reconhecimento . Os logs contêm dados sobre tudo o que acontece na infraestrutura, o que, por sua vez, pode revelar comportamentos, defesas e uso de produtos com vulnerabilidades conhecidas. Eles podem fornecer informações sobre configurações de infraestrutura e software, presença de senhas padrão, credenciais de usuário e possíveis abordagens para escalonamento de privilégios. Em resumo, os logs podem ajudar a mapear e facilitar o caminho dos invasores para conteúdo corporativo valioso.

PII . Os logs não são naturalmente considerados repositórios de informações confidenciais. “Na realidade”, comenta Rob Gurzeev, CEO e cofundador da CyCognito, “eles contêm muitas PII e outros dados confidenciais. Eles sabem quem um executivo está se reunindo, com quem o executivo pode estar desenvolvendo uma parceria, os números de telefone e outras informações de identificação pessoal de outros executivos e pessoas com quem fazem negócios… Eles podem conter informações confidenciais sobre grandes negócios e fusões e aquisições que grandes organizações possam estar trabalhando sobre. Portanto, é uma parte da organização que muitas pessoas talvez não levem a sério ou considerem como o ponto clássico de ataque – mas se você tiver acesso aos logs, o conteúdo será incrivelmente valioso para um invasor.”
Furtividade e cobertura de rastros . Os logs são a janela do sistema. Mas os logs não são inteligentes. Eles registram o que está acontecendo sem saber por que está acontecendo. Usamos software separado, automatizado e cada vez mais assistido por IA – como SIEMs avançados – para interpretar as atividades que são registradas nos logs. Mais especificamente, esta automatização procura diferenciar entre atividades esperadas e inesperadas; o último indicando potencialmente atividade maliciosa. Os registos são parte fundamental da nossa visibilidade e posterior defesa, desde que sejam precisos.

“Os invasores perseguem os registros para encobrir seus rastros”, diz Tom Corn, CPO da Ontinue. “Essa é a chave para a persistência. Em um ataque Living off the Land, você deseja o maior tempo de permanência possível. Isso significa, baixo e lento, e cobrir seus rastros. Muitos logs não são somente leitura; portanto, os invasores encontram os logs e os alteram.”

Se você puder adulterar os registros, poderá limitar ou impedir a visibilidade dos defensores. “Você não apenas se esconde dos alarmes automatizados existentes, mas também esconde como está conduzindo um ataque”, explica Chris Cooney, defensor do desenvolvedor na Coalogix. “Isso é importante. Como membro do Blue Team, você precisa saber quais vetores e quais vulnerabilidades os invasores estão tentando explorar para poder bloqueá-los. Se você nem consegue ver isso, as coisas ficam realmente assustadoras para a equipe de segurança, porque você realmente precisa dessa visibilidade para poder proteger seu perímetro e seu sistema.” Portanto, a adulteração de log pode ser usada para fins furtivos durante um ataque.

Também pode ser usado para furtividade após o ataque. É possível causar tanta bagunça nos registros que a visibilidade é perdida por semanas.

“Um invasor pode comprar semanas antes que a vítima, enquanto tenta consertar a bagunça, até saiba que foi atacada. No momento em que a vítima faz as coisas funcionarem – e essa é uma operação dolorosa porque os dados são perdidos e o registro está com sérios problemas – o ataque está completo e o invasor já se foi.” Nesse caso, a adulteração de log pode apoiar o ataque furtivo e ajudar a cobrir rastros após o ataque.

Perturbação e extorsão . Os registos são atrativos para ambas as categorias primárias de agressores: criminosos com motivos financeiros e estados-nação com motivos políticos. Para este último, o controle dos registros ajuda no reconhecimento e na furtividade para tempos de permanência mais longos e melhor posicionamento para possíveis interrupções. Da mesma forma, ajuda gangues criminosas, mas também fornece uma rota adicional mais direta para extorsão.

“Você poderia espalhar informações pessoais privadas por todos os registros de alguém e, de repente, eles estariam violando uma série de exigências regulatórias”, explica Cooney. “O dano financeiro pode ser enorme, e isso acontece apenas com a falsificação dos registos. Você faz isso com uma ou duas empresas e depois vai para uma terceira e diz: ‘Ei, estou prestes a torná-lo extremamente incompatível com algumas das estruturas regulatórias mais caras do mundo.’ Pode ser muito difícil impedir isso e muito difícil limpar os registros – então, se isso acontecer, o elemento ransomware será muito real.”

Métodos de adulteração

O método mais comum de adulterar arquivos de log é corromper o conteúdo injetando ações falsas ou enganosas. No entanto, a estrutura que gerencia os arquivos também pode ser atacada, os arquivos podem ser roubados ou podem ficar expostos à Internet.

Log4j

Log4j é uma estrutura de registro de código aberto amplamente utilizada. Log4Shell era uma vulnerabilidade crítica (CVE-2021-44228) no Log4j versão 2. A vulnerabilidade envolvia abuso da API Java Naming and Directory Interface, um recurso projetado para permitir que os desenvolvedores recuperassem objetos ou recursos externos. JNDI foi habilitado por padrão no L4J versão 2.

“O Log4j v2 monitorou os logs em busca de uma instrução de pesquisa JNDI”, explica Cooney. “Este é um recurso útil em aplicações dinâmicas complexas que podem incluir diferentes módulos para diferentes usuários em tempo real.” No entanto, não é vital para logs – e sua presença no código, independentemente de estar habilitado – seria desconhecida para muitos desenvolvedores de log.

Veja como isso foi explorado. “A exploração era simples”, continua Cooney: “um ataque de execução remota de código que seria automático se o invasor pudesse injetar uma pesquisa JNDI nos logs. Isso poderia ser feito tentando fazer login em um sistema com um nome de usuário falso ‘JNDI, colchetes, blá, blá’ que continha um local externo contendo código malicioso.” O login falharia, mas a tentativa seria registrada e a consulta JNDI chamada de dentro dos logs.

“Tudo o que um invasor precisaria fazer seria inserir o padrão de pesquisa JNDI nos logs, e o L4J responderia buscando e executando código Java aleatório de um endereço IP aleatório, porque é para isso que foi projetado”.

A Apache Software Foundation produziu rapidamente uma correção, cerca de quatro dias após tomar conhecimento da falha. Mas naquela época já era uma vulnerabilidade de dia zero facilmente explorável há pelo menos duas semanas. E permaneceu uma vulnerabilidade de n dias até que as empresas a corrigissem. Isto não tem sido fácil devido à grande difusão do L4J.

Em um blog de 15 de maio de 2024 , CyCognito relatou: “Embora CVE-2021-44228 tenha sido identificado pela primeira vez em 2021, algumas organizações ainda não corrigiram esta vulnerabilidade de execução remota de código (RCE). CyCognito descobriu que 2% das organizações ainda possuem ativos vulneráveis ao Log4J.”

A ameaça do Log4J não corrigido permanece; o perigo de que algo semelhante possa ocorrer novamente em software de código aberto está sempre presente.

Logs expostos e roubados da Internet

Quando a empresa de Gurzeev integrou uma empresa de pagamentos da Fortune 100 como cliente, descobriu um registro do Bash exposto na Internet.

“Acredito que o arquivo histórico do Bash contém dezenas de credenciais MySQL da empresa em questão e de muitas outras empresas”, explica ele. “Se os invasores tivessem acesso a ele, e talvez já o tivessem feito antes de encontrá-lo, cada um deles poderia ter resultado em uma violação.”

O perigo deste cenário é que o atacante tenha todas as cartas. “Se eu obtiver, digamos, 40 credenciais do arquivo de histórico bash para bancos de dados MySQL nesta e em outras empresas, posso agora lançar imediatamente ataques contra os bancos de dados e roubar informações. Ou eu poderia simplesmente me conectar como administrador dos bancos de dados. Eu poderia fazer isso agora ou gradualmente. Eu poderia esperar algumas semanas e fazer isso às 4h da manhã em um fim de semana.”

Expor um log na internet é entregar seu conteúdo de bandeja ao invasor. Mas os logs podem ser exfiltrados e roubados com relativa facilidade, uma vez que nem sempre são protegidos de forma adequada.

A exfiltração de log é incomum por dois motivos. Em primeiro lugar, um invasor capaz de roubar um log já estaria dentro da rede e teria maior probabilidade de adulterá-lo em vez de roubá-lo. Em segundo lugar, o valor para um invasor é que os dados de log sejam atuais. Uma vez roubado, o instantâneo torna-se ‘histórico’ e dados como credenciais podem ter sido alternados.

“Os registros são valiosos – extremamente valiosos. Então, sim, isso pode acontecer”, diz Cooney. “Mas, para ser honesto, se eu fosse um invasor e chegasse ao ponto em que pudesse retirar arquivos arbitrários do servidor, estaria indo direto para chaves de acesso, senhas, nomes de usuário e varredura de portas para procurar outros servidores e seja lá o que for. Eu tentaria colocar minhas garras no maior número possível de servidores naquele momento.”

Mas isso não significa que a exfiltração não possa ser feita – e o conteúdo ainda pode ser valioso para os corretores de acesso ao submundo. Chris Morgan, analista sênior de inteligência sobre ameaças cibernéticas da ReliaQuest, observa que sua empresa “observou fontes de log sendo anunciadas com grande frequência em locais de criminosos cibernéticos, como carrinhos de venda automática (AVC), que em essência atuam como um eBay para a cibercriminalidade”.

Por manipulação

“Os logs geralmente não são bem protegidos porque precisam ser abertos para gravação de diversas fontes”, comenta Pieter Arntz, analista de malware da Malwarebytes. “Além disso, eles geralmente estão em texto simples, sem nenhuma criptografia em jogo.”

Isso os deixa abertos à manipulação maliciosa. “Os invasores normalmente visam os logs explorando vulnerabilidades, usando credenciais roubadas ou comprometendo contas com acesso a arquivos de log”, explica Gareth Lindahl-Wise, CISO da Ontinue. “Eles podem injetar entradas falsas, excluir logs específicos para apagar rastros ou modificar detalhes como carimbos de data/hora e endereços IP. Às vezes, eles chegam ao ponto de desativar os serviços de registro para impedir que qualquer atividade seja registrada.”

E eles podem reativar o registro assim que a atividade maliciosa for concluída, acrescenta Tim Callan, diretor de experiência da Sectigo. A aparência de que nada aconteceu não prova que nada aconteceu.

A abordagem para adulteração de log variará dependendo do alvo, do processo de log e dos TTPs do invasor. “Pode ser tão grosseiro quanto excluir um arquivo de histórico bash em um sistema Linux ou usar o PowerShell para remover eventos do sistema em um sistema Windows”, comenta Casey Ellis, fundador e diretor de estratégia da Bugcrowd. “Em ambientes mais complicados, pode envolver a identificação e a tentativa de comprometer um sistema de registro dedicado (e também a remoção dessas evidências).”

Defesa de registros

Evite a exposição na Internet . “Você precisa de um processo para garantir que nenhum arquivo de log seja exposto inadvertidamente à Internet”, diz Gurzeev. “Eles não são fundamentalmente diferentes de um banco de dados ou de qualquer outro arquivo. Os invasores não devem ter permissão para simplesmente acessá-los e/ou baixá-los.”
Testes de penetração e patches . “Certifique-se de que seus testes de penetração, testes de segurança de aplicativos e programa de gerenciamento de vulnerabilidades cubram todos os seus ativos; e você tem um processo que garante que você esteja pelo menos totalmente ciente do que não está cobrindo, porque é aí que há maior probabilidade de ser atacado e explorado”, continua Gurzeev. “A razão pela qual 2% dos sistemas Log4J ainda estavam vulneráveis quando fizemos nossa pesquisa recente foi porque a maioria dessas máquinas não é testada adequadamente, ou apenas uma vez a cada poucos anos. Os aspectos de cobertura e cadência dos testes de segurança de aplicativos e pentesting de gerenciamento de vulnerabilidades são extremamente importantes.”
Proteja a integridade dos logs. “Para evitar a adulteração de logs”, sugere Morgan, “as organizações podem implementar medidas como o uso de mídia de gravação única ou servidores de log seguros que permitem apenas operações de acréscimo. Além disso, o uso de técnicas criptográficas para assinar logs pode garantir sua integridade, permitindo que qualquer adulteração seja detectada por meio da verificação das assinaturas criptográficas. É crucial monitorar e auditar regularmente os registros em busca de quaisquer sinais de acesso não autorizado ou modificações.”

Jason Soroko, vice-presidente sênior de produto da Sectigo, sugere tratar cada registro de log como uma transação dentro de uma estrutura de dados com hash. “Por exemplo”, diz ele, “os logs de transparência dos certificados são baseados em uma estrutura de dados Merkle Tree – o que significa que as transações só podem ser inseridas, nunca modificadas, nunca excluídas. Qualquer tentativa de alterar dados após sua inserção resulta no conhecimento de que o log foi alterado.”

Lionel Litty, arquiteto-chefe de segurança da Menlo Security, sugere o uso de um proxy reverso no processo de registro. “Deve haver uma entrada de log no lado do cliente e no lado do servidor. Às vezes, um servidor pode não fornecer registro adequado. Nessas situações, o registro deve ser fornecido por um intermediário que não possa ser adulterado, como um proxy reverso.”

Lindahl-Wise resume as várias opções. “Para se defenderem contra a adulteração de logs”, diz ele, “as organizações devem usar soluções de log centralizadas que armazenem os logs de forma segura e inviolável. A implementação de controles de acesso rigorosos garante que apenas pessoal autorizado possa acessar e gerenciar logs. Usar logs imutáveis, que não podem ser alterados depois de gravados, é outra estratégia importante. Criptografar dados de log, tanto em repouso quanto em trânsito, realizar auditorias regulares e manter backups também são práticas essenciais. Mecanismos de monitoramento em tempo real e detecção de adulterações, como cadeias de hash ou assinaturas digitais, podem alertar as equipes de segurança sobre alterações não autorizadas. Por fim, separar funções no gerenciamento de logs ajuda a reduzir o risco de ameaças internas, garantindo a integridade dos logs e a eficácia do monitoramento de segurança.”

O primeiro passo deve ser o reconhecimento de que, embora os troncos possam não ser as jóias da coroa corporativa, quase sempre conterão um mapa e as chaves dessas jóias da coroa – e devem ser adequadamente protegidos.

Por: Kevin Townsend – colaborador sênior da SecurityWeek.

Veja também:

Por que os hackers adoram registros

Conteúdo e atração