Conheça as mentes por trás do Advanced Threat Research Center of Excellence (ATRCoE) da F5

Como parte do F5 Office of the CTO, o Advanced Threat Research Center of Excellence está focado em descobrir os segredos das ameaças mais difundidas que assolam a Internet. Complementando a ênfase do F5 Labs em inteligência de ameaças, o ATRCoE conduz pesquisas avançadas sobre ameaças para apresentar visões externas sobre riscos de segurança cibernética. Essa pesquisa é então analisada para produzir liderança de pensamento e insights convincentes no campo da segurança cibernética.

Liderado pelo Dr. Aditya Sood , este novo grupo já descobriu ameaças avançadas e divulgou pesquisas em diversas publicações, como Virus Bulletin, Elsevier Magazines, BlackHat Arsenal e conferências de segurança líderes do setor, como Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin e outras. Algumas peças notáveis são apresentadas abaixo:

• Colecionador-Ladrão: Ladrão de informações de origem russa
• Dissecando o painel AZORult C&C
• O cenário de ameaças da Covid-19
• Ferramenta Enfilade: Detectando infecções de ransomware no MongoDB
• Detectando ataques DGA (Algoritmo de Geração de Domínio) usando ML/IA
• Criptojacking: Clusters Kubernetes comprometidos usando drivers NVIDIA
• Painéis C&C de IoT comprometidos para desenterrar infecções

A equipe é composta por pesquisadores de ameaças e engenheiros de desenvolvimento:

1. Amit Nagal é principal cientista de dados da F5. Ele tem mais de 15 anos de experiência em aprendizado de máquina e análise. Ele possui doutorado em ciências do desenvolvimento pela Universidade MGS. No passado, ele trabalhou na Verizon e no JPMorgan Chase.  
2. Bharathasimha Reddy Devarapally é engenheiro de software na F5. Ele recebeu seu diploma de bacharel em ciência da computação pelo Instituto Nacional de Tecnologia, Warangal (Índia), em 2020. Ele tem trabalhado ativamente em pesquisas de ameaças na F5. 
3. Ruthvik Reddy Sankepally é engenheiro de software na F5. Ele se formou em ciência da computação pela BITS Pilani Hyderabad.

Como a equipe descobre ameaças

A equipe do ATRCoE se concentra nos aspectos estratégicos, operacionais, táticos e analíticos de uma ameaça. Ao compreender os riscos comerciais e o impacto das ameaças avançadas, eles decidem sobre o tópico de pesquisa de ameaças. Em seguida, eles dissecam essas ameaças para encontrar seus TTPs (Técnicas, Táticas e Procedimentos), KSAs (Conhecimento, Habilidades e Capacidades) e AILs (Infraestrutura de Ataque e Plataformas de Lançamento). Com esse contexto e estudando o trabalho predominante, a equipe forma a base de sua pesquisa e decide a melhor abordagem para abordá-la. A abordagem pode ser defensiva, ofensiva ou híbrida. As técnicas empregadas podem ser proativas, reativas ou uma combinação de ambas. Eles compartilham inteligência sobre ameaças criando ferramentas de código aberto e publicando pesquisas em vários portais e conferências de segurança.

Como as ameaças chamam a atenção do ATRCoE

O método de escolha de tópicos de pesquisa é baseado em uma estrutura TRIG (Threat Research and Intelligence Generation) desenvolvida internamente. A pesquisa é selecionada com base na relevância para ameaças avançadas atuais na Internet. Ameaças avançadas altamente graves e amplamente divulgadas, incluindo vulnerabilidades de dia zero, exigem atenção primária devido à urgência e ao impacto nas ofertas de produtos da F5. Por exemplo, o ATRCoE analisou ameaças avançadas como AZORult, Collector-stealer, Blackguard, etc., usadas especificamente por adversários do tipo estado-nação.

Além disso, a ATRCoE investe esforços no uso de ML/IA para lidar com desafios de segurança cibernética. Por exemplo: analisar grandes conjuntos de logs DNS (Domain Name Server) e HTTP (Hypertext Transfer Protocol) em um formato estruturado dentro do Security Data Warehouse da F5 e, em seguida, explorar os dados para encontrar artefatos de ameaças e tendências interessantes no cenário de ameaças para entender os desafios atuais. Exemplos incluem o trabalho publicado pela equipe sobre sites de phishing que usaram temas da Covid-19 e a pesquisa de detecção de DGA do Projeto Astra.

Ferramentas empregadas para pesquisa ATRCoE

A equipe pratica uma abordagem híbrida na qual uma ampla variedade de ferramentas é utilizada para análise, automação e inteligência, incluindo scripts personalizados de design interno, ferramentas de código aberto, como nmap, masscan, wireshark, tshark, bro, Radare2/Cutter, Ghidra, python, etc. e ferramentas corporativas, como o proxy Burp.
_____

Devido à natureza desse tipo de pesquisa, é difícil prever quando um novo conteúdo será publicado, mas você pode esperar ver mais deste grupo em breve.