Metodologia

Como recolhemos e analisamos ameacas

Visao Geral

TroyanosYVirus utiliza uma rede distribuida de sensores **honeypot** (sistemas de engodo) implementados em multiplas localizacoes geograficas para atrair, detetar e analisar ciberataques em tempo real. Um honeypot e um sistema informatico configurado para parecer um alvo legitimo e atrativo para os atacantes. Quando um atacante interage com o honeypot, todas as suas acoes sao registadas e analisadas, fornecendo informacoes valiosas sobre: - **Vetores de ataque** atualmente utilizados - **IPs maliciosos** e a sua geolocalizacao - **Credenciais** testadas em ataques de forca bruta - **Malware** implementado pelos atacantes - **Comandos** executados apos obter acesso

Infraestrutura

A nossa rede e composta por uma **rede distribuida de sensores honeypot T-Pot** implementados em multiplas localizacoes geograficas, abrangendo diferentes regioes do mundo.

Europa

Varios paises

America do Norte

Varios paises

Asia-Pacifico

Varios paises

APAC

A distribuicao geografica dos nossos sensores permite capturar ataques provenientes de diferentes regioes do mundo. Por razoes de seguranca operacional, nao divulgamos o numero exato nem as localizacoes especificas dos nossos sensores.

T-Pot: Plataforma Multi-Honeypot

Utilizamos **T-Pot**, uma plataforma honeypot tudo-em-um desenvolvida pela Deutsche Telekom Security. T-Pot integra varios honeypots especializados:

Cowrie

Honeypot SSH/Telnet de interacao media/alta. Captura credenciais, comandos e malware.

Dionaea

Captura malware explorando vulnerabilidades em SMB, HTTP, FTP, MySQL, etc.

Honeytrap

Honeypot de baixa interacao para capturar ataques de rede genericos.

Conpot

Simula sistemas de controlo industrial (ICS/SCADA).

Mailoney

Honeypot SMTP para capturar spam e phishing.

ADBHoney

Emula Android Debug Bridge para detetar ataques a dispositivos Android.

Glutton

Proxy honeypot SSH que reencaminha conexoes para Cowrie.

Heralding

Captura credenciais de multiplos protocolos (FTP, SSH, Telnet, HTTP, etc.).

Fluxo de Dados

Captura

Os honeypots registam todas as interacoes dos atacantes: IPs, portas, credenciais, comandos, payloads.

→

Agregacao

Os dados sao enviados para um servidor central onde sao normalizados e armazenados no Elasticsearch.

→

Enriquecimento

Os IPs sao enriquecidos com dados de geolocalizacao, ASN/ISP e reputacao de fontes externas.

→

Analise

As pontuacoes de risco sao calculadas, padroes identificados e ameacas classificadas.

→

Visualizacao

Os dados processados sao expostos atraves da web e API para consulta publica.

Calculo da Pontuacao de Risco

Cada IP detetado recebe uma **pontuacao de risco** (0-100) baseada em multiplos fatores:

Fatores

25%

Volume de ataques

Numero total de eventos maliciosos

20%

Diversidade de ataques

Tipos diferentes de ataques realizados

15%

Honeypots afetados

Numero de honeypots que detetaram o IP

20%

Malware associado

Se o IP implementou malware conhecido

10%

Recencia

Tempo desde a ultima atividade

10%

Reputacao externa

Dados de listas negras e fontes OSINT

Escala

0-39

Baixo

Atividade minima ou esporadica

40-59

Medio

Atividade moderada, possivel scanning

60-79

Alto

Atividade significativa, ataques ativos

80-100

Critico

Ameaca severa, multiplos vetores de ataque

Qualidade dos Dados

Implementamos varios controlos para garantir a qualidade dos dados: - **Deduplicacao**: Removemos eventos duplicados do mesmo ataque - **Validacao de IPs**: Verificamos que os IPs sao publicos e validos - **Filtragem de ruido**: Excluimos scans benignos conhecidos (Shodan, Censys, etc.) - **Verificacao de malware**: Os hashes sao verificados com o VirusTotal - **Atualizacao continua**: Os dados sao atualizados a cada minuto

Limitacoes

E essencial compreender as limitacoes inerentes aos dados de honeypots para a sua correta interpretacao: - **Vies geografico**: A localizacao dos sensores afeta quais ataques sao capturados e quais ficam fora do alcance de detecao - **Ataques direcionados**: Ataques muito sofisticados podem detetar e evadir honeypots, ficando sub-representados nos dados - **Volume vs. impacto**: Um volume alto de ataques de um IP nem sempre significa maior perigo; podem ser scans automatizados de baixo impacto - **Atribuicao**: Os IPs detetados podem ser proxies, VPNs, nos Tor, maquinas comprometidas ou infraestrutura CDN. A presenca de um IP nao implica que o seu titular seja responsavel pela atividade maliciosa - **Falsos positivos**: Alguns scans legitimos de seguranca (investigadores, motores de busca, servicos de monitorizacao) podem ser incorretamente classificados como ataques - **Dados automatizados**: Todo o processo de recolha, enriquecimento e pontuacao e automatizado, podendo introduzir erros sistematicos - **Sem atribuicao definitiva**: Os dados desta plataforma nao devem ser utilizados como unica fonte para atribuir atividade criminosa a qualquer pessoa ou entidade

Consideracoes Eticas

Seguimos principios eticos na nossa investigacao: - **Sem interacao ofensiva**: Os nossos sistemas sao passivos, nunca atacamos de volta - **Dados publicos**: So publicamos IPs que realizaram atividade maliciosa verificavel - **Privacidade**: Nao recolhemos dados pessoais de utilizadores legitimos - **Responsabilidade**: Os dados sao fornecidos "tal como estao" sem garantias - **Uso legitimo**: Os dados destinam-se a investigacao e defesa, nao a retaliacao

Perguntas Frequentes

Os dados sao em tempo real?

Os dados sao atualizados a cada minuto. O mapa em direto mostra ataques dos ultimos segundos.

Posso usar os dados para bloquear IPs?

Sim, mas recomendamos combinar com outras fontes. Considere o contexto e o risco de falsos positivos.

Oferecem uma API para aceder aos dados?

Estamos a trabalhar numa API publica. Contacte-nos se precisar de acesso antecipado para investigacao.

Como posso contribuir?

Pode reportar falsos positivos, partilhar dados dos seus honeypots, ou colaborar no desenvolvimento do projeto.

Tem perguntas sobre a nossa metodologia? Contacte-nos.

Contactar →