{"id":15992,"date":"2020-09-03T20:44:21","date_gmt":"2020-09-03T23:44:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15992"},"modified":"2020-09-04T18:23:58","modified_gmt":"2020-09-04T21:23:58","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cybersecurity-expert-training\/15992\/","title":{"rendered":"Aprenda a usar as regras YARA \u2013 como prever cisnes negros"},"content":{"rendered":"

J\u00e1 se passou muito, muito tempo desde que a humanidade teve um ano parecido com este. Acho que nunca conheci um ano com uma concentra\u00e7\u00e3o t\u00e3o alta de cisnes negros de v\u00e1rios tipos e formas. E n\u00e3o me refiro ao tipo com penas. Estou falando sobre eventos inesperados com consequ\u00eancias de longo alcance, de acordo com a teoria<\/a> de Nassim Nicholas Taleb, publicada<\/a> em 2007.<\/p>\n

Exemplo: este v\u00edrus horr\u00edvel que mant\u00e9m o mundo em lockdown desde mar\u00e7o. Acontece que h\u00e1 toda uma fam\u00edlia extensa de coronaviridae<\/em><\/a>\u00a0 \u2013 v\u00e1rias dezenas delas \u2013 e novas s\u00e3o encontrados regularmente. Gatos, cachorros, p\u00e1ssaros e morcegos, todos as pegam. Os humanos n\u00e3o s\u00e3o exce\u00e7\u00e3o. Algumas causam resfriados comuns. Outras se manifestam\u2026 de forma diferente. Portanto, certamente precisamos desenvolver vacinas para elas, assim como temos para outros v\u00edrus mortais, como var\u00edola, poliomielite e outros. Claro, mas ter uma vacina nem sempre ajuda muito. Olhe para a gripe \u2013 ainda n\u00e3o h\u00e1 nenhuma que inocule as pessoas depois de quantos s\u00e9culos? E, de qualquer maneira, mesmo para come\u00e7ar a desenvolver uma vacina, voc\u00ea precisa saber o que est\u00e1 procurando, e isso parece mais arte do que ci\u00eancia.<\/p>\n

Ent\u00e3o, por que estou dizendo isso? Qual \u00e9 a conex\u00e3o com\u2026 bem, inevitavelmente ser\u00e1 uma cibercuriosidade ou uma viagem ex\u00f3tica, certo?! Hoje come\u00e7amos com a primeira.<\/p>\n

Atualmente, uma das ciberamea\u00e7as mais perigosas que existem s\u00e3o as de 0-day \u2013 vulnerabilidades raras e desconhecidas (para o pessoal da ciberseguran\u00e7a e outros) em softwares que podem causar danos em larga escala, mas que tendem a permanecer desconhecidas at\u00e9 o momento em que s\u00e3o explorados (ou \u00e0s vezes at\u00e9 depois).<\/p>\n

No entanto, os especialistas em ciberseguran\u00e7a t\u00eam maneiras de lidar com a ambiguidade e prever os cisnes negros. Neste post, quero falar sobre uma delas: YARA.<\/p>\n

Resumidamente, o YARA auxilia na pesquisa e na detec\u00e7\u00e3o de malware, identificando arquivos que atendem a certas condi\u00e7\u00f5es e fornecendo uma abordagem baseada em regras para a cria\u00e7\u00e3o de descri\u00e7\u00f5es de fam\u00edlias de malware com base em padr\u00f5es textuais ou bin\u00e1rios. (Eita, isso parece complicado. Continue lendo para esclarecimentos.) Portanto, ele \u00e9 usado para pesquisar malware semelhantes, identificando padr\u00f5es. O objetivo \u00e9 poder dizer que certos programas maliciosos parecem ter sido feitos pelas mesmas pessoas, com objetivos semelhantes.<\/p>\n

OK, vamos voltar para outra met\u00e1fora \u2013 outra baseada na \u00e1gua, como o cisne negro: o mar.<\/p>\n

Digamos que sua rede seja o oceano, que est\u00e1 repleto de milhares de tipos de peixes e voc\u00ea \u00e9 um pescador industrial que joga enormes redes no oceano para capturar peixes, mas apenas certas esp\u00e9cies de peixes (malwares criados por grupos espec\u00edficos de cibercriminosos) s\u00e3o do seu interesse. Agora, a rede de deriva \u00e9 especial. Ela possui compartimentos e em cada um dos compartimentos s\u00f3 pegam peixes de uma determinada esp\u00e9cie (caracter\u00edsticas de malware).<\/p>\n

Ent\u00e3o, no final da pescaria, o que voc\u00ea tem \u00e9 um monte de peixes, todos compartimentados, alguns dos quais s\u00e3o relativamente novos e nunca antes vistos (novas amostras de malware) sobre os quais voc\u00ea n\u00e3o sabe praticamente nada. Mas se eles estiverem em um determinado compartimento, por exemplo \u201cparece com a esp\u00e9cie [grupo de cibercriminosos] X\u201d ou \u201cParece com a esp\u00e9cie [grupo de cibercriminosos] Y.\u201d<\/p>\n

Este artigo<\/a> ilustra a met\u00e1fora do peixe\/pesca. Em 2015, nosso guru YARA e chefe do GReAT, Costin Raiu, incorporou o papel de Sherlock para encontrar um exploit no software Silverlight da Microsoft. Voc\u00ea deveria ler esse artigo, mas, resumindo, o que Raiu fez foi examinar cuidadosamente certas correspond\u00eancias de e-mail vazadas por hackers para montar uma regra YARA praticamente do zero, e isso o ajudou a encontrar a falha, e assim, proteger o mundo do megaproblema. (A correspond\u00eancia era de uma em-presa italiana chamada Hacking Team \u2013 hackers hackers hackers!)<\/p>\n

Ent\u00e3o, sobre essas regras YARA<\/p>\n

H\u00e1 anos ensinamos a arte de criar regras YARA. As ciberamea\u00e7as que a YARA ajuda a desvendar s\u00e3o bastante complexas, por isso sempre realizamos os cursos presencialmente \u2013 offline \u2013 e apenas para um grupo restrito dos principais pesquisadores de ciberseguran\u00e7a. \u00c9 claro que, desde mar\u00e7o, o treinamento offline tem sido complicado por causa do lockdown. No entanto, a necessidade de educa\u00e7\u00e3o quase n\u00e3o desapareceu e, de fato, n\u00e3o vimos nenhuma queda no interesse em nossos cursos.<\/p>\n

Isso \u00e9 natural: os cibervil\u00f5es continuam a pensar em ataques cada vez mais sofisticados \u2013 ainda mais nesse lockdown. Consequentemente, manter nosso know-how especializado sobre YARA para n\u00f3s mesmos durante a quarentena seria simplesmente errado. Portanto, (1) transferimos nosso formato de treinamento do offline para o online e (2) o tornamos acess\u00edvel a todos. N\u00e3o \u00e9 gratuito, mas para tal curso em tal n\u00edvel (o mais alto), o pre\u00e7o \u00e9 muito competitivo e com o mesmo padr\u00e3o de qualidade que \u00e9 encontrado no mercado.<\/p>\n

Aqui:<\/p>\n

\"Intercepte<\/a>

Intercepte APTs com YARA como um ninja GReAT<\/p><\/div>\n

E o que mais?<\/p>\n

Ah, sim<\/p>\n

Agora, devido aos problemas cont\u00ednuos relacionados a v\u00edrus em todo o mundo,\u00a0<\/span>continuamos<\/span>\u00a0nossa assist\u00eancia \u00e0queles\u00a0<\/span>d<\/span>a linha de frente. Come\u00e7amos a ajudar no in\u00edcio d<\/span>a pandemia<\/span>,\u00a0<\/span>dando licen\u00e7as gratuitas para organiza\u00e7\u00f5es de sa\u00fade<\/span><\/a>. <\/span><\/p>\n

Estamos contribuindo para ajudar uma variedade de organiza\u00e7\u00f5es sem fins lucrativos e n\u00e3o governamentais que lutam por direitos em v\u00e1rias causas ou <\/span>se concentram\u00a0<\/span>em tornar o ciberespa\u00e7o um lugar melhor (a lista completa est\u00e1\u00a0<\/span>aqui<\/span><\/a>). Para eles, nosso treinamento YARA ser\u00e1 gratuito.<\/span>\u00a0<\/span><\/p>\n

Por qu\u00ea? Porque as ONGs trabalham com informa\u00e7\u00f5es muito <\/span>sens\u00edveis\u00a0<\/span>que podem ser\u00a0<\/span>hackeadas em ataques direcionados<\/span><\/a>, e nem todas as ONGs podem se dar ao luxo de um departamento de especialistas em TI.<\/span>\u00a0<\/span><\/p>\n

\"Treinamento

Treinamento de ciberseguran\u00e7a online: m\u00e3os na massa com as regras YARA<\/p><\/div>\n

Um r\u00e1pido resumo do que est\u00e1 inclu\u00eddo no curso:<\/p>\n

    \n
  • Treinamento 100% online, individualizado. Voc\u00ea pode fazer o curso intensamente em algumas noites ou distribu\u00ed-lo por um m\u00eas.<\/li>\n
  • Uma combina\u00e7\u00e3o de tarefas te\u00f3ricas e pr\u00e1ticas. H\u00e1 um laborat\u00f3rio virtual para treinamento para a reda\u00e7\u00e3o de regras e pesquisa de amostras de malware em nossa cole\u00e7\u00e3o.<\/li>\n
  • Exerc\u00edcios pr\u00e1ticos baseados em exemplos de ataques reais de ciberespionagem.<\/li>\n
  • Um m\u00f3dulo sobre a arte de procurar por algo sobre a qual voc\u00ea n\u00e3o tem conhecimento preciso, quando a intui\u00e7\u00e3o diz que o cibervil\u00e3o est\u00e1 se escondendo em algum lugar, mas voc\u00ea n\u00e3o sabe onde ou quem.<\/li>\n
  • Certificado de conclus\u00e3o confirmando seu novo status como um ninja YARA. Como os graduados anteriores nos disseram, este tipo de capacita\u00e7\u00e3o realmente ajuda em suas carreiras.<\/li>\n<\/ul>\n
    \"Exerc\u00edcio

    Exerc\u00edcio de treinamento online de ciberseguran\u00e7a: BlueTraveller<\/p><\/div>\n

    Ent\u00e3o, \u00e9 isso pessoal: outro elemento extremamente \u00fatil para combater ciberamea\u00e7as altamente sofisticadas. Enquanto isso, tudo segue igual aqui na K<\/em>, onde continuamos nosso trabalho de ciber-detetive para que possamos compartilhar ainda mais nossos conhecimentos e experi\u00eancias pr\u00e1ticas na luta pelo bem.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Kaspersky apresenta uma s\u00e9rie de treinamento online para especialistas em ciberseguran\u00e7a, come\u00e7ando com um extenso curso sobre YARA.<\/p>\n","protected":false},"author":13,"featured_media":15993,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[45],"tags":[178,415,1210,1468],"class_list":{"0":"post-15992","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-special-projects","8":"tag-eugene-kaspersky","9":"tag-great","10":"tag-treinamento","11":"tag-yara"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cybersecurity-expert-training\/15992\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cybersecurity-expert-training\/21829\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cybersecurity-expert-training\/17294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cybersecurity-expert-training\/23192\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cybersecurity-expert-training\/21387\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cybersecurity-expert-training\/20019\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cybersecurity-expert-training\/23775\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cybersecurity-expert-training\/22708\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cybersecurity-expert-training\/29006\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cybersecurity-expert-training\/8760\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cybersecurity-expert-training\/36887\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cybersecurity-expert-training\/15576\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cybersecurity-expert-training\/13936\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cybersecurity-expert-training\/25061\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cybersecurity-expert-training\/29154\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cybersecurity-expert-training\/26019\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cybersecurity-expert-training\/22799\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cybersecurity-expert-training\/28123\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cybersecurity-expert-training\/27953\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/treinamento\/","name":"treinamento"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15992"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15992\/revisions"}],"predecessor-version":[{"id":15998,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15992\/revisions\/15998"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15993"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}