JosebeSilva/Investigation-Incident-Malware-Tcpdump

# Investigação de Incidente: Ataque de Força Bruta e Redirecionamento de Malware Este projeto faz parte do meu portfólio de Cibersegurança e foi desenvolvido durante o curso **Google Cybersecurity Professional Certificate** no Coursera. Aqui, assumo o papel de um Analista de Segurança Cibernética investigando um site comprometido usando análise de tráfego de rede e logs do sistema. ## O Cenário Clientes do site de venda de receitas e livros `yummyrecipesforme.com` começaram a relatar ao helpdesk que, ao visitarem a página, foram solicitados a baixar um arquivo para acessar receitas gratuitas. Após a execução desse arquivo, seus navegadores foram redirecionados para um endereço diferente e seus computadores começaram a apresentar lentidão. Simultaneamente, o proprietário do site relatou que não conseguia mais acessar o painel de administração. Minha missão foi investigar o evento de segurança em um ambiente isolado para entender o vetor do ataque e o comportamento do malware. ## Ferramentas e Tecnologias Exploradas * **Ferramenta de Análise de Rede:** `tcpdump` * **Protocolos Analisados:** HTTP, TCP, DNS * **Conceitos de Segurança:** Sandbox, Ataque de Força Bruta, Injeção de Malware (JavaScript), Autenticação de Dois Fatores (2FA), Indicadores de Comprometimento (IoC). ## A Investigação Para investigar o comportamento do site sem colocar a rede da empresa em risco, utilizei um ambiente **sandbox**. Executei o analisador de pacotes `tcpdump` e acessei o site alvo. Aceitei a solicitação de download do arquivo suspeito e acompanhei o fluxo de rede. Ao analisar os logs de tráfego gerados pelo `tcpdump`, identifiquei a seguinte cadeia de eventos: 1. **Acesso Inicial:** O computador enviou uma requisição **DNS** solicitando o IP de `yummyrecipesforme.com` e estabeleceu uma conexão padrão via **HTTP**. 2. **A Infecção:** O tráfego capturou o momento em que o arquivo foi baixado via protocolo HTTP. 3. **O Redirecionamento (IoC):** Logo após a execução do arquivo, o log mostrou uma mudança brusca. O computador da vítima fez uma nova requisição DNS, desta vez para o domínio malicioso `greatrecipesforme.com`, sem nenhuma ação do usuário. 4. **A Conexão Criminosa:** Imediatamente após receber o novo IP do servidor DNS, a máquina abriu uma nova porta e estabeleceu uma conexão HTTP direta com o servidor controlado pelo atacante. ## Minha Conclusão Com base na análise de tráfego e do código-fonte, concluí que o servidor web foi vítima de um **ataque de força bruta**. O invasor conseguiu adivinhar a senha de administrador porque ela ainda estava definida como a **senha padrão** de fábrica. Após invadir o sistema, o atacante alterou a senha (bloqueando o proprietário real) e injetou um script JavaScript na página. Esse script forçava o download de um malware disfarçado, que por sua vez redirecionava as vítimas para o servidor criminoso. **Para evitar que isso se repita, recomendei as seguintes medidas no relatório de mitigação:** * **Bloqueio de senhas padrão/antigas:** Exigir a troca imediata de qualquer senha padrão e proibir o reuso de senhas antigas. * **Limitar tentativas de login:** Implementar um bloqueio automático da conta após um número específico de tentativas incorretas, neutralizando ataques de força bruta. * **Autenticação de Dois Fatores (2FA):** Exigir um código secundário (OTP) enviado por SMS ou app autenticador, adicionando uma camada física de segurança ao painel de administração. *Fique à vontade para explorar o Relatório de Incidente de Segurança completo e o log do tcpdump disponíveis nos arquivos deste repositório!*