Migalhas de pão digitais: sete pistas para identificar quem está por trás dos ataques cibernéticos avançados

Sumário
Resumo executivo

2

Introdução 3
1. Layout do teclado

3

2. Metadados do malware

5

3. Fontes incorporadas

6

4. Registro de DNS

7

5. Idioma

8

6. Configuração da ferramenta de administração remota

10

7. Comportamento

12

Conclusão 13
Sobre a FireEye

FireEye, Inc.

Migalhas de pão digitais: sete pistas para identificar quem está por trás dos ataques cibernéticos avançados

14

1

Resumo executivo
No atual cenário de ameaças cibernéticas, identificar o seu inimigo é parte fundamental de qualquer plano de defesa. Descobrir quem são os seus atacantes, como eles atuam e o que desejam é crucial para a proteção dos seus dados e da sua propriedade intelectual.
Felizmente, sistemas de computador invadidos, como qualquer cena de crime, contêm uma série de pistas. No que se refere a ataques cibernéticos avançados, os atacantes podem denunciar a si mesmos no código do malware, em e-mails de phishing, nos servidores de comando e controle (CnC) utilizados e até mesmo pelo comportamento. Assim como a ciência das impressões digitais, exames de
DNA e análise de fibras tornou-se inestimável nas investigações criminais, ligar os pontos de um ataque cibernético avançado pode ajudar a identificar até mesmo os elementos por trás das ameaças mais sofisticadas — caso os pesquisadores saibam o que procurar.
Baseando-se em uma amostra de quase 1.500 campanhas rastreadas pela FireEye®, este documento descreve as seguintes facetas dos ataques de malware e o que elas costumam revelar sobre os culpados:
• Layout do teclado. Ocultas nas tentativas de phishing estão informações sobre o teclado escolhido pelo atacante, que varia conforme o idioma e a região.
• Metadados do malware. O código-fonte do malware contém detalhes técnicos que revelam o idioma do atacante, sua localização e seus