You are on page 1of 21

Análise e Detecção de Phishing com Splunk

Allan de Lima Araújo

Orientador: Vinicius Cardoso Garcia


Roteiro
Motivação
Objetivos
Fundamentação Teórica
Crimes Cibernéticos.
Phishing
Hunting
MITRE ATT&CK
Splunk
Metodologia
Hunting
Conclusão
Trabalhos Futuros
Motivação
● Evidência encontrada antes do trabalho.
● Aumento de ataques de Phishing nos últimos anos.
Objetivos
● Promover o entendimento sobre que se deve tomar cuidado ao usar a
internet, não clicar em qualquer link que aparece durante a navegação.
● Mostrar ameaças simples que podem ocorrer no dia a dia.
Fundamentação Teórica
● Crimes Cibernéticos.
● Phishing
Fundamentação Teórica
● Hunting
○ Processo manual e Iterativo
○ TTPs (Tactics, Techniques and Procedures)
Fundamentação Teórica
● MITRE ATT&CK

Táticas Técnicas

T1193 Spearphishing Attachment


T001 Initial Access
T1192 Spearphishing Link

T009 Collection T1114 Email Collection


Fundamentação Teórica
● Splunk
Metodologia
● Coleta de dados
○ 10 máquinas de usuários distintos
○ Exportação de logs de diversos dispositivos
○ Script para coletar e-mails
● Splunk
○ Indexação dos dados
Hunting
● Hipótese Inicial: Existe algum processo estranho?
Hunting
● Correlação de eventos 4688
Hunting
● Comunicação Externa
Hunting
● Busca E-mail
Hunting
● E-mail 1
Hunting
● E-mail 2
Hunting
● Confirmando que o Squid detectou a comunicação
Hunting
● Acesso a dominio estranho (dispora.bekasikota)
Hunting
● Procurando “dispora.bekasikota” no e-mail
Conclusão
● Curto tempo do trabalho
● 10 usuários dos quais foram coletados os logs
○ 7 tiveram contato com algum tipo de phishing
■ sendo 3 deles por execução de arquivos maliciosos e scripts.
Trabalhos Futuros
● Realizar uma análise semelhante com outros dispositivos
● Decodificar os artefatos encontrados em phishings.
www.cin.ufpę.br www.cịn.ufpe.br

www.cin.ufpe.br www.çin.ufpe.br