A Velocidade como Fator Crítico na Defesa contra Ameaças
O cenário de segurança em nuvem enfrenta um desafio fundamental: a velocidade das ameaças supera significativamente a capacidade de resposta das defesas tradicionais. Cargas de trabalho com vulnerabilidades conhecidas são identificadas por atores maliciosos em aproximadamente 90 segundos, e as tentativas de exploração começam nos primeiros 3 minutos. Os cibercriminosos continuam evoluindo suas estratégias, criando constantemente novos tipos de malware, técnicas de exploração sofisticadas e táticas de evasão. Ao mesmo tempo, eles alternam sua infraestrutura — endereços IP, domínios e URLs mudam regularmente.
Essa dinâmica impõe um desafio claro: como traduzir dados de ameaças em medidas de proteção rapidamente, especialmente operando em escala de internet? A AWS propõe uma solução através de sua defesa ativa contra ameaças integrada ao AWS active threat defense para AWS Network Firewall.
Inteligência Contínua através da Rede MadPot
O núcleo dessa estratégia é MadPot, uma rede de sensores honeypot (armadilhas) que a Amazon mantém para monitorar ativamente padrões de ataque. Esses honeypots imitam servidores em nuvem, bancos de dados e aplicações web — completos com configurações inadequadas e falhas de segurança que os atacantes buscam ativamente.
Quando os criminosos caem nessa “isca” e lançam seus ataques, o MadPot captura todo o ciclo de ataque. A rede observa mais de 750 milhões de interações com potenciais ameaças diariamente. Novos sensores MadPot são descobertos pelos atacantes em menos de 90 segundos, revelando padrões que passariam despercebidos em outras circunstâncias.
A transformação dessa inteligência em proteção ocorre de forma otimizada: quando ameaças são detectadas, a defesa ativa traduz automaticamente essa inteligência em detecção de ameaças através do Amazon GuardDuty e proteção ativa através do AWS Network Firewall — tudo dentro de 30 minutos após receber a nova inteligência.
Arquitetura em Camadas: O Modelo de Queijo Suíço
A defesa ativa adota o modelo de queijo suíço — um conceito que reconhece que nenhum controle de segurança é perfeito isoladamente, mas múltiplas camadas imperfeitas, quando empilhadas, criam uma proteção robusta.
Cada camada defensiva possui lacunas. Atacantes podem contornar filtros de DNS usando conexões diretas por IP. Tráfego criptografado pode contornar inspeção HTTP. Técnicas como domain fronting ou conexões apenas IP evitam análise de SNI (Indicação de Nome do Servidor – Server Name Indication).
A defesa ativa aplica indicadores de ameaça em múltiplos pontos de inspeção. Se um atacante conseguir contornar uma camada, outras ainda conseguem detectar e bloquear a ameaça. Quando MadPot identifica um domínio malicioso, o Network Firewall não apenas bloqueia o domínio — cria regras que negam consultas DNS, bloqueiam headers HTTP, impedem conexões TLS usando SNI e descartam conexões diretas para os endereços IP resolvidos. Como fatias de queijo suíço empilhadas, os buracos raramente se alinham.
Interrupção da Cadeia de Ataque em Sete Etapas
Os ataques modernos dependem de comunicação em rede em praticamente todos os estágios — exatamente onde a defesa ativa cria suas múltiplas camadas. Examinar como a defesa ativa interrompe a cadeia de ataque revela a sofisticação dessa abordagem.
Etapa 0: Preparação de Infraestrutura
Antes de lançar ataques, criminosos precisam preparar sua infraestrutura operacional. Isso inclui configurar pontos de monitoramento de testes de aplicação fora de banda (OAST) — técnicas de reconhecimento usadas para verificar exploração bem-sucedida através de canais de comunicação separados. Também provisionam servidores de distribuição de malware e servidores de comando e controle (C2). Os honeypots MadPot detectam essa infraestrutura quando os criminosos a usam contra sistemas de engodo, alimentando esses indicadores nas regras de proteção.
Etapas 1-3: Identificação do Alvo, Confirmação de Vulnerabilidade e Callback OAST
Os atacantes compilam listas de vítimas potenciais através de varreduras automatizadas da internet ou comprando listas em mercados clandestinos. Procuram por cargas de trabalho executando software vulnerável, serviços expostos ou configurações comuns inadequadas.
Em seguida, tentam verificar uma vulnerabilidade no alvo, frequentemente incorporando um mecanismo OAST no payload da exploração. Isso pode ser uma URL maliciosa como http://malicious-callback[.]com/verify?target=victim injetada em formulários web, headers HTTP ou parâmetros de API.
Nos últimos 90 dias, MadPot observou tentativas de exploração contra 20 vulnerabilidades diferentes usando links OAST, incluindo CVE-2017-10271, CVE-2021-44228 e CVE-2022-26134.
Quando cargas de trabalho vulneráveis processam esses payloads maliciosos, tentam iniciar conexões de callback para os servidores OAST do atacante. Esses sinais normalmente forneceriam confirmação de exploração bem-sucedida. Mas a defesa ativa quebra a cadeia neste ponto: o Network Firewall bloqueia a conexão de saída para o endpoint OAST. O exploit pode ter sucesso, mas sem confirmação, o criminoso não sabe quais alvos perseguir — paralisando o ataque.
Etapa 4: Preparação para Entrega de Malware
Após identificar um alvo vulnerável, o atacante explora a vulnerabilidade para entregar malware que estabeleça acesso persistente. MadPot observou tentativas contra vulnerabilidades como CVE-2017-12149, CVE-2021-26084 e CVE-2021-44228.
Etapa 5: Download de Malware
O alvo comprometido tenta fazer download do payload de malware do servidor de distribuição do atacante. A defesa ativa intervém novamente: a infraestrutura que hospeda o malware — domínio, URL ou endereço IP — foi identificada por MadPot e bloqueada pelo Network Firewall.
Para malware entregue através de endpoints TLS, a defesa ativa usa inspeção de SNI durante o handshake TLS para identificar e bloquear domínios maliciosos sem descriptografar tráfego. Para aqueles que usam recursos como inspeção TLS do Network Firewall, as regras inspecionam URLs completas e headers HTTP, aplicando regras baseadas em conteúdo. Sem entrega bem-sucedida de malware, o atacante não consegue estabelecer controle.
Etapa 6: Conexão de Comando e Controle
Se o malware tivesse sido entregue, tentaria “fazer contato” conectando ao servidor C2 do atacante para receber instruções. Neste ponto, outra camada da defesa ativa se ativa.
No nível DNS, o Network Firewall bloqueia requisições de resolução para domínios C2 conhecidos. No nível TCP, bloqueia conexões diretas para endereços IP e portas C2. No nível TLS, usa inspeção SNI ou descriptografia completa quando habilitada. O Network Firewall bloqueia a conexão de saída para a infraestrutura C2 maliciosa, cortando a capacidade do criminoso de controlar o sistema infectado.
Registros de detecção de ameaças são criados no Amazon GuardDuty para tentativas de conexão, permitindo iniciar workflows de resposta a incidentes. Os últimos 90 dias revelaram que MadPot monitorou frameworks C2 como Cobalt Strike, Mythic, Empire e XorDDoS.
Etapa 7: Objetivos de Ataque Bloqueados
Sem conectividade C2, o atacante não consegue roubar dados ou exfiltrar credenciais. A abordagem em camadas significa que atacantes precisam ter sucesso em cada estágio, enquanto você só precisa bloquear um para parar a atividade. Essa defesa em profundidade reduz risco mesmo que algumas camadas tenham vulnerabilidades. É possível rastrear ações de defesa ativa no registro de alertas do Network Firewall.
Caso Real: Campanha de Exploração CVE-2025-48703
Em outubro de 2025, honeypots MadPot começaram detectando uma campanha de ataque contra o Control Web Panel (CWP) — uma plataforma de gerenciamento de servidores usada por provedores de hospedagem e administradores de sistemas. Os atacantes tentavam explorar CVE-2025-48703, uma vulnerabilidade de execução remota de código no CWP, para implantar o framework Mythic C2.
As tentativas de exploração originaram de um endereço IP exibindo características de nó de saída VPN. Para confirmar alvos vulneráveis, o atacante tentou executar comandos do sistema operacional explorando a vulnerabilidade do gerenciador de arquivos do CWP.
Após a identificação de sistemas vulneráveis, o ataque passou imediatamente para entrega de payload. MadPot capturou tentativas de infecção contra cargas de trabalho Linux e Windows. Para alvos Linux, o atacante usou curl e wget para baixar o malware. Para Windows, usou o utilitário certutil.exe da Microsoft.
MadPot identificou indicadores de ameaça em múltiplas camadas de análise: URLs de staging e endereços IP subjacentes hospedando malware, lógica contida nos scripts para detectar arquitetura do sistema e baixar o agente Mythic apropriado, e endpoints do framework Mythic C2 revelando infraestrutura de controle.
Dentro de 30 minutos da análise do MadPot, instâncias globais do Network Firewall implantaram regras de proteção atingindo cada camada dessa infraestrutura de ataque. Instalações vulneráveis do CWP permaneceram protegidas porque quando a exploração tentava executar comandos de download de malware, o Network Firewall bloqueava tanto a resolução do domínio quanto conexões para os endereços IP maliciosos. Mesmo se scripts de staging conseguissem alcançar um alvo através de vetores alternativos, falhariam ao tentar baixar binários do agente Mythic. Se um binário Mythic fosse entregue através de um vetor completamente diferente, ainda não conseguiria estabelecer comando e controle.
Para clientes com Amazon GuardDuty com instalações CWP sem patches, receberiam descobertas de detecção de ameaças para tentativas de comunicação com infraestrutura maliciosa. Para clientes usando defesa ativa com Network Firewall, cargas de trabalho CWP sem patches receberiam proteção automática contra essa campanha mesmo antes desta CVE ser adicionada à lista de Vulnerabilidades Exploradas Conhecidas da CISA em 4 de novembro.
Implementação e Próximos Passos
A defesa ativa contra ameaças para Network Firewall utiliza inteligência MadPot e proteção em camadas para interromper cadeias de ataque de criminosos e reduzir a carga operacional de equipes de segurança. Com implantação automatizada de regras, a defesa ativa cria defesas em camadas dentro de 30 minutos de novas ameaças serem detectadas pelo MadPot.
Para começar, consulte Melhore sua postura de segurança usando inteligência de ameaças da Amazon no AWS Network Firewall.
Fonte
Real-time malware defense: Leveraging AWS Network Firewall active threat defense (https://aws.amazon.com/blogs/security/real-time-malware-defense-leveraging-aws-network-firewall-active-threat-defense/)
Leave a Reply