A edição #149 da Detection Engineering Weekly mergulha na engenharia por trás das ferramentas de detecção, explora o benchmarking de LLMs para segurança, analisa um ataque cibernético de alto perfil contra a Stryker e apresenta uma série de recursos open-source inovadores. O foco técnico permanece na construção, avaliação e resposta a ameaças modernas.
RSigma: Implementando um Motor de Detecção Sigma em Rust
Mostafa Moradian apresenta o RSigma, um binário escrito em Rust que atua como um motor de detecção autônomo para regras Sigma. A ferramenta realiza o parsing de logs JSON e regras Sigma em YAML, constrói uma Abstract Syntax Tree (AST) e avalia as condições da regra contra os logs para gerar alertas. O projeto é um exercício profundo de engenharia, considerando que a especificação Sigma evoluiu para uma linguagem de domínio específico complexa, com suporte a mais de 30 modificadores (como |endswith, |contains), lógica condicional (and/or/not), capacidades de correlação e pipelines para mapeamento de campos.
Um exemplo prático é uma regra para detectar decodificação base64 na linha de comando, que procura por processos cujo campo “Image” termina com “/base64” e cujo “CommandLine” contém a flag “-d”. O RSigma parseia tanto a estrutura arbitrária do YAML (a regra) quanto do JSON (os logs), validando a conformidade com a especificação antes da fase de avaliação. Embora não seja destinado ao streaming de logs em produção, ele serve como uma ferramenta poderosa para pesquisa de detecção e análise forense rápida em um sistema local, essencialmente encapsulando a funcionalidade central de um SIEM em um binário leve.
Benchmarking de LLMs com Splunk Botsv3
O DefenseBench publicou um benchmark pioneiro usando o dataset Splunk Botsv3 para avaliar a eficácia de modelos de linguagem grandes (LLMs) em tarefas de análise de segurança. O teste posiciona o modelo como um “analista de SOC” que deve responder a perguntas de um referee via API, consultando uma instância Splunk para investigar os dados. O prompt do agente é fornecido publicamente, detalhando um fluxo de trabalho “restart-safe” que inclui chamadas para obter perguntas, verificar estado, enviar respostas e comprar dicas, com penalidades por respostas incorretas.
No ranking inicial, o Claude Opus 4.6 superou modelos como o Codex GPT 5.2 e 5.3. Este benchmark é significativo pois move a avaliação de LLMs para um domínio de segurança puro, indo além dos testes genéricos de codificação ou raciocínio. Ele permite que equipes de segurança avaliem objetivamente a prontidão out-of-the-box desses modelos para tarefas analíticas complexas baseadas em dados reais de telemetria.
Ataque Handala à Stryker: TTPs e Lições de Endurecimento
Ataque Handala à Stryker: TTPs e Lições de Endurecimento
O ataque ransomware contra a Stryker, atribuído ao grupo hacktivista iraniano Handala (com ligações ao Ministério de Serviços de Inteligência do Irã – MOIS), demonstrou um modus operandi agressivo. O grupo obteve acesso inicial através de fóruns criminosos e marketplaces de infostealers. Após o acesso, utilizaram técnicas living-off-the-land para roubar credenciais, moveram-se lateralmente para contas de administrador e, finalmente, comprometeram o ambiente Microsoft Intune da empresa. Isso permitiu que desativassem a capacidade de login dos funcionários e implantassem ataques wiper, paralizando operações.
As análises da CheckPoint Research e da Unit42 da Palo Alto Networks destacam a necessidade crítica de endurecimento de identidade e acesso. Recomendações técnicas específicas incluem: eliminar contas de administrador de longa duração (alvo preferencial do grupo), implementar acesso just-in-time (JIT) com workflows de aprovação e logging, e endurecer configurações do Entra ID (Azure AD) para prevenir a implantação maliciosa de pacotes via Intune. A lição é clara: a administração excessiva e permissiva em ambientes de identidade é um vetor de alto risco que pode levar a impactos operacionais catastróficos.
Ferramentas e Recursos Open-Source em Destaque
- elastic/agent-skills: Um repositório de “skills” (habilidades) para agentes de IA, com foco em segurança, nuvem e observabilidade. Inclui um skill para “afinação de regras de detecção” que utiliza scripts internos para identificar e corrigir regras ruidosas automaticamente.
- nikaiw/VMkatz: Ferramenta de extração de credenciais que mira especificamente snapshots e discos virtuais de máquinas virtuais (VMs) com Windows. Permite a um atacante colher credenciais diretamente dos arquivos de VM no host, evitando a detecção associada à cópia de grandes volumes de dados.
- BaddKharma/redStack: Ambiente de laboratório full-stack hospedado na AWS para aprendizado de ferramentas de pós-exploração. Simplifica a configuração de infraestrutura, incluindo o deploy de ferramentas C2 e o uso de redirecionadores Apache.
- Gk0Wk/ClawGuard: Plugin de segurança para OpenClaw que atua como um controle de endpoint ou firewall para AI. Demonstra controles como bloqueio de ações arriscadas, minimização de acesso ao filesystem e limitação de comunicação de saída, sinalizando a direção da segurança para agentes de IA.
- backbay-labs/hush: Especificação de política (policy spec) para escrever regras e verificações a serem implementadas em controles de segurança de IA. Análoga ao Open Policy Agent (OPA), mas projetada para traduzir regras em YAML em controles de enforcement para ambientes de AI.
Análise baseada na Detection Engineering Weekly #149. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário