Metodologia

Como recolhemos e analisamos ameacas

Visao Geral

TroyanosYVirus utiliza uma rede de **honeypots** (sistemas de engodo) estrategicamente distribuidos em 5 continentes para atrair, detetar e analisar ciberataques em tempo real. Um honeypot e um sistema informatico configurado para parecer um alvo legitimo e atrativo para os atacantes. Quando um atacante interage com o honeypot, todas as suas acoes sao registadas e analisadas, fornecendo informacoes valiosas sobre: - **Vetores de ataque** atualmente utilizados - **IPs maliciosos** e a sua geolocalizacao - **Credenciais** testadas em ataques de forca bruta - **Malware** implementado pelos atacantes - **Comandos** executados apos obter acesso

Infraestrutura

A nossa rede e composta por **5 servidores honeypot T-Pot** localizados em:

🇫🇷

Paris

Franca

Europa Ocidental

🇩🇪

Frankfurt

Alemanha

Europa Central

🇵🇱

Varsovia

Polonia

Europa Oriental

🇸🇬

Singapura

Asia-Pacifico

🇨🇦

Toronto

Canada

America do Norte

Esta distribuicao geografica permite capturar ataques provenientes de diferentes regioes do mundo e obter uma visao global do panorama de ameacas.

T-Pot: Plataforma Multi-Honeypot

Utilizamos **T-Pot**, uma plataforma honeypot tudo-em-um desenvolvida pela Deutsche Telekom Security. T-Pot integra varios honeypots especializados:

Cowrie

Honeypot SSH/Telnet de interacao media/alta. Captura credenciais, comandos e malware.

Dionaea

Captura malware explorando vulnerabilidades em SMB, HTTP, FTP, MySQL, etc.

Honeytrap

Honeypot de baixa interacao para capturar ataques de rede genericos.

Conpot

Simula sistemas de controlo industrial (ICS/SCADA).

Mailoney

Honeypot SMTP para capturar spam e phishing.

ADBHoney

Emula Android Debug Bridge para detetar ataques a dispositivos Android.

Glutton

Proxy honeypot SSH que reencaminha conexoes para Cowrie.

Heralding

Captura credenciais de multiplos protocolos (FTP, SSH, Telnet, HTTP, etc.).

Fluxo de Dados

Captura

Os honeypots registam todas as interacoes dos atacantes: IPs, portas, credenciais, comandos, payloads.

→

Agregacao

Os dados sao enviados para um servidor central onde sao normalizados e armazenados no Elasticsearch.

→

Enriquecimento

Os IPs sao enriquecidos com dados de geolocalizacao, ASN/ISP e reputacao de fontes externas.

→

Analise

As pontuacoes de risco sao calculadas, padroes identificados e ameacas classificadas.

→

Visualizacao

Os dados processados sao expostos atraves da web e API para consulta publica.

Calculo da Pontuacao de Risco

Cada IP detetado recebe uma **pontuacao de risco** (0-100) baseada em multiplos fatores:

Fatores

25%

Volume de ataques

Numero total de eventos maliciosos

20%

Diversidade de ataques

Tipos diferentes de ataques realizados

15%

Honeypots afetados

Numero de honeypots que detetaram o IP

20%

Malware associado

Se o IP implementou malware conhecido

10%

Recencia

Tempo desde a ultima atividade

10%

Reputacao externa

Dados de listas negras e fontes OSINT

Escala

0-39

Baixo

Atividade minima ou esporadica

40-59

Medio

Atividade moderada, possivel scanning

60-79

Alto

Atividade significativa, ataques ativos

80-100

Critico

Ameaca severa, multiplos vetores de ataque

Qualidade dos Dados

Implementamos varios controlos para garantir a qualidade dos dados: - **Deduplicacao**: Removemos eventos duplicados do mesmo ataque - **Validacao de IPs**: Verificamos que os IPs sao publicos e validos - **Filtragem de ruido**: Excluimos scans benignos conhecidos (Shodan, Censys, etc.) - **Verificacao de malware**: Os hashes sao verificados com o VirusTotal - **Atualizacao continua**: Os dados sao atualizados a cada minuto

Limitacoes

E importante compreender as limitacoes dos dados de honeypots: - **Vies geografico**: A localizacao dos honeypots afeta quais ataques sao capturados - **Ataques direcionados**: Ataques muito sofisticados podem detetar honeypots - **Volume vs. impacto**: Um volume alto de ataques nem sempre significa maior perigo - **Atribuicao**: Os IPs podem ser proxies, VPNs ou maquinas comprometidas - **Falsos positivos**: Alguns scans legitimos podem ser classificados como ataques

Consideracoes Eticas

Seguimos principios eticos na nossa investigacao: - **Sem interacao ofensiva**: Os nossos sistemas sao passivos, nunca atacamos de volta - **Dados publicos**: So publicamos IPs que realizaram atividade maliciosa verificavel - **Privacidade**: Nao recolhemos dados pessoais de utilizadores legitimos - **Responsabilidade**: Os dados sao fornecidos "tal como estao" sem garantias - **Uso legitimo**: Os dados destinam-se a investigacao e defesa, nao a retaliacao

Perguntas Frequentes

Os dados sao em tempo real?

Os dados sao atualizados a cada minuto. O mapa em direto mostra ataques dos ultimos segundos.

Posso usar os dados para bloquear IPs?

Sim, mas recomendamos combinar com outras fontes. Considere o contexto e o risco de falsos positivos.

Oferecem uma API para aceder aos dados?

Estamos a trabalhar numa API publica. Contacte-nos se precisar de acesso antecipado para investigacao.

Como posso contribuir?

Pode reportar falsos positivos, partilhar dados dos seus honeypots, ou colaborar no desenvolvimento do projeto.

Tem perguntas sobre a nossa metodologia? Contacte-nos.

Contactar →