Analisando sites maliciosos com RIPE Atlas

• Datas relevantes: descoberta, criação de domínio, exclusão, etc.
• Domínio/s
• URL
• Endereços IP
• Código fonte
• Captura de tela ou vídeos do comportamento
• Contatos diferentes: registrante de domínio, proprietário do IP, CSIRT/CERT, etc.

Às vezes, os ataques de phishing ou sites maliciosos usam mecanismos que os tornam difíceis de remover, como o uso de CDN ou serviços de hosting com proteção de identidade para o proprietário do site ou acesso restrito ao phishing desde localizações geográficas específicas.

Ao denunciar um site malicioso, é recomendável incluir no relatório a localização geográfica de onde o conteúdo malicioso pode ser acessado. Isso é importante para que o receptor do relatório possa, de alguma forma, reproduzir o comportamento indesejável que estamos apontando no nosso relatório.

Existem várias maneiras de observar de que locais o conteúdo malicioso pode ser acessado. Poderiam ser usados ​​serviços VPN ou proxys, que fornecem um endereço IP do país onde queremos verificar o comportamento malicioso. Neste artigo, vamos aprofundar na forma de usar o RIPE Atlas para essa finalidade.

O que é o RIPE Atlas e como ele pode ajudar você?

O RIPE Atlas é uma rede de sondas distribuídas no mundo todo que medem continuamente a acessibilidade e o desempenho da Internet, fornecendo informações técnicas sobre seu funcionamento. Essa rede de sensores permite fazer medições personalizadas em destinos específicos. Os diferentes tipos de medições que podem ser feitas são:

• PING
• Traceroute
• DNS
• TLS
• HTTP (só análise de âncora)
• NTP

A seguir, vamos falar de uma característica interessante deste projeto: o acesso geográfico das diferentes sondas ao alvo desejado. Quer dizer, sabendo onde a medição foi feita, podemos determinar se o site é acessível ou não desde essa região do mundo. Com esta característica podemos identificar se o phishing tem um alvo geográfico destinado para seu ataque.

Uso do RIPE Atlas para analisar sites maliciosos

Para analisar sites maliciosos, temos 4 métodos: PING, Traceroute, DNS e TLS. Cada um deles tem suas vantagens e desvantagens.

Vamos considerar um site malicioso básico, composto por um domínio e, opcionalmente, uma rota simples. Por exemplo: http[s]://example.com/recurso_malicioso.

Para executar essas tarefas, você deve ter uma conta em https://atlas.ripe.net/. Após fazer login, acesse “Measurements” e depois “Create Measurement”, o que abrirá a seguinte página web:

Selecionar a ferramenta desejada: PING, Traceroute, DNS ou TLS. As especificidades de cada método serão explicadas a seguir.

As sondas desejadas são selecionadas, procurando uma distribuição geográfica uniforme. A seleção pode ser feita de forma manual em um mapa ou aleatoriamente. Por padrão, uma única medição é definida, mostrando abaixo o custo em créditos.

Após a criação da telemetria, as sondas começarão a realizar medições para fornecer os resultados. Observar que o tempo total para obter resultados depende de que todas as sondas executem a atividade solicitada. Antes de analisar esses resultados, serão descritas as diferenças entre o uso dos diferentes métodos.

PING

São mensagens ICMP, mas distribuídas entre as sondas. Esta medição é útil quando queremos saber de quais sondas o IP suspeito pode ser acessado. Levar em conta que esta opção é útil nos casos em que o conteúdo malicioso está hospedado em um único IP que não compartilha conteúdo.

É interessante seu uso mediante a programação de uma verificação periódica para verificar se o IP ainda está ativo. É importante lembrar que nem todos os servidores respondem ao ICMP, então deve-se realizar testes locais antes de medir o site malicioso com o Atlas.

DNS

É uma opção interessante, uma vez que permite medições DNS altamente personalizadas. Isso é útil para estudar como as respostas variam dependendo da região geográfica dos sensores. A medição pode ser programada periodicamente para monitorar a evolução dos endereços IP usados ​​pelos atacantes, bem como para monitorar a vida útil do domínio malicioso.

Esta opção é valiosa para realizar medições DNS altamente personalizadas, facilitando a análise da variabilidade das respostas com base na localização geográfica dos sensores. Além disso, programar essas medições periodicamente permite rastrear a evolução dos endereços IP usados ​​pelos atacantes e monitorar a vida útil de domínios maliciosos.

Traceroute

Com esta opção, as sondas executarão o tradicional teste de traceroute, que consiste no envio de uma sequência de pacotes ICMP, UDP ou TCP com valores crescentes do campo TTL (Time To Live) até chegar ao destino. Para nossa medição, estamos interessados ​​em selecionar o protocolo TCP e usar a porta 80 ou 443, dependendo se o site malicioso usa HTTP ou HTTPS, respectivamente. Também devemos escolher entre o IPv4 e o IPv6, conforme o caso. É possível registrar várias medições em uma única transmissão de telemetria; por exemplo, podemos clicar duas vezes no botão Traceroute, selecionando IPv4 em um e IPv6 no outro.

TLS

Esta funcionalidade permite analisar certificados de sites maliciosos para determinar seu status, atividade e localização geográfica. Além disso, identifica domínios relacionados e extrai a impressão digital dos certificados para sua análise posterior com outras ferramentas.

Interpretação de dados e casos reais de análise

Depois que as medições forem feitas com o RIPE Atlas, é fundamental interpretar corretamente os resultados obtidos para identificar padrões de comportamento suspeito ou confirmar indícios de atividade maliciosa.

Nesta seção, analisaremos os dados coletados usando as opções TLS, Traceroute e DNS. Para ilustrar essas análises, foi escolhido um caso prático de um site de phishing, e foram realizadas medições em diversas sondas com distribuição global. Estas medições permitem:

• Detectar se o domínio ainda está ativo ou foi desativado.
• Verificar se ele responde desde todas as regiões ou se aplica bloqueios geográficos.
• Analisar a infraestrutura de rede usada pelos atacantes.
• Examinar os certificados digitais usados ​​para identificar possíveis padrões ou vínculos com outras campanhas.

Análise caso de phishing real

O uso da função de programação periódica de medições é ilustrado abaixo com um exemplo. Vamos considerar um caso de phishing direcionado à população uruguaia para demonstrar como funciona.

Este phishing substitui a identidade do escritório de Correio Nacional do Uruguai com o objetivo de roubar dados pessoais e números de cartão de crédito.

Depois que as informações relevantes são coletadas, vários relatórios são preparados e enviados às entidades relevantes para a remoção do site malicioso, incluindo CERT e contatos de abuso de Whois.

É feita uma medição DNS com o RIPE Atlas a cada 10 minutos durante 4 dias para analisar a validade dos domínios, incluindo sua designação de IP e possíveis alterações. Duas medições são feitas: uma para registros A (IPv4) e uma para registros AAAA (IPv6).

O resultado pode ser visto no gráfico a seguir.

Por volta das 17h38 UTC, o caso de phishing foi reportado às diversas entidades envolvidas. As sondas selecionadas apresentaram tempos de resposta DNS inferiores a 300 ms.

Uma hora após o relatório, 11 sondas pararam de resolver o IP do domínio. Alguns resolveram endereços IP tipo blackhole, o que poderia indicar o uso de DNS com proteção que bloqueou o acesso ao site de phishing.

Após 90 minutos de medição, metade das sondas parou de resolver o domínio. Pouco depois, a resolução falhou em todas as sondas, indicando o fim da atividade maliciosa nesse domínio.

A medição foi interrompida quando a ausência de resposta IP do domínio foi confirmada. No entanto, poderia ser estendida para rastrear uma possível reativação do domínio sob outro endereço IP.

É importante apontar que, durante o período de atividade, as sondas nunca resolveram endereços IPv6 para o site malicioso.

Casos de uso

O uso do RIPE Atlas neste tipo de pesquisa proporciona uma abordagem nova e prática graças aos seus sensores distribuídos geograficamente. Suas principais aplicações, limitações e possíveis extensões são detalhadas a seguir.

Análise de domínios e endereços IP maliciosos:

O RIPE Atlas permite observar como domínios usados ​​em campanhas de phishing ou distribuição de malware de diferentes regiões do mundo são resolvidos e respondidos. Isso é útil para identificar campanhas geolocalizadas ou para documentar a evasão seletiva de detecção.

Detecção de bloqueio geográfico:

Ao distribuir medições desde sondas localizadas em diferentes países, é possível detectar se um site malicioso aplica restrições regionais, exibindo seu conteúdo apenas para usuários de determinados locais.

Acompanhamento de mudanças de infraestrutura:

Medições programadas (como DNS ou Traceroute) ajudam a rastrear mudanças na infraestrutura dos atacantes, como modificações em endereços IP, rotas de rede ou servidores DNS.

Obtenção de informações técnicas para relatórios de incidentes:

Os dados obtidos com RIPE Atlas complementam os relatórios técnicos de segurança, facilitando a análise por parte de CSIRT, CERT, hostings e registradores de domínios.

Complemento para outras ferramentas:

O RIPE Atlas pode ser integrado a outras plataformas para correlacionar dados de certificados TLS coletados com outras fontes abertas e enriquecer a análise.

Monitoramento de domínios ameaçadores:

O RIPE Atlas permite a medição de domínios que poderiam ser usados ​​para realizar ataques contra nossas organizações. Um exemplo disso são os ataques IDN homógrafos, onde um domínio semelhante ao nosso, com caracteres semelhantes, é usado para suplantá-lo.

Limitações:

É importante ter em mente que a atividade principal dos sites ocorre nas camadas superiores do modelo TCP/IP, principalmente na camada de aplicação.

Nesse contexto as sondas RIPE Atlas permitam medições que atingem determinados protocolos desta camada, como DNS e TLS, mas seu foco é limitado principalmente a testes de conectividade e resolução, sem interagir com o conteúdo da web em si.

Isso representa uma limitação significativa: Em outras palavras, não é possível analisar diretamente o comportamento completo de um site no nível de aplicativo, como formulários, redirecionamentos, proteções de geolocalização ou mecanismos de autenticação Portanto, se um site de phishing implementa restrições ou comportamentos dinâmicos em seu desenvolvimento web, estes não poderão ser avaliados apenas com as ferramentas oferecidas pelo RIPE Atlas.

Conclusões e chamado à ação:

O uso do RIPE Atlas oferece uma ferramenta poderosa e geograficamente distribuída para a análise técnica de sites maliciosos, permite a detecção de campanhas direcionadas, alterações da infraestrutura e comportamentos evasivos. Embora não substitua outras ferramentas mais focadas na camada de aplicação, ele complementa valiosamente os relatórios de incidentes ao adicionar evidências distribuídas e objetivas.

Usar o RIPE Atlas em seus fluxos de trabalho de análise e relatórios de incidentes é útil para pesquisadores, analistas de ameaças e equipes de CSIRT. Seu potencial para fornecer evidências técnicas desde vários locais o torna uma ferramenta útil contra campanhas de malware e phishing cada vez mais sofisticadas. Além disso, incentivamos a automatização de medições e a combinação de seus resultados com outras fontes, como mecanismos de análise de certificados ou sistemas de reputação de domínios, para obter um monitoramento mais abrangente e eficaz.

Não perca a apresentação sobre o tema no LACNIC 44. Inscreva-se aqui para participar presencialmente ou remotamente.

Recursos adicionais

• Documentação oficial:

https://atlas.ripe.net/docs

• Plataforma

https://atlas.ripe.net