{ "alerts": { "PROTO-01": { "title": "Comunicação {} externa à rede local para {}.", "description": "O protocolo {} é comumente usado em redes internas. Verifique se o host {} acionou outros alertas que possam indicar um possível comportamento malicioso." }, "PROTO-02": { "title": "Conexão {} a {} para uma porta maior ou igual a {}.", "description": "Conexões {} foram detectadas por {} usando a porta {}. O uso da porta não padrão é comumente associado a atividades maliciosas. É recomendado verificar se esse host tem uma boa reputação verificando outros alertas e pesquisando-o na internet." }, "PROTO-03": { "title": "Comunicações HTTP foram realizadas com o host {}", "description": "O dispositivo foi conectado ao host {} por meio de HTTP, um protocolo não criptografado. Mesmo que esse comportamento, por si só, não seja malicioso, é incomum que comunicações HTTP sejam estabelecidas por meio de aplicativos móveis em segundo plano. Verifique a reputação do host pesquisando-o na Internet." }, "PROTO-04": { "title": "Comunicações HTTP foram detectadas pelo host {} por meio de uma porta não padrão ({}).", "description": "O dispositivo foi conectado ao host {} por meio de HTTP, um protocolo não criptografado na porta {}. Esse comportamento é incomum. Verifique a reputação do host pesquisando-o na Internet." }, "PROTO-05": { "title": "O servidor {} não foi resolvido por nenhuma consulta de DNS durante a sessão", "description": "Isso significa provavelmente que o servidor {} não foi resolvido por nenhum nome de domínio ou a resolução já foi armazenada pelo dispositivo. Se o host aparecer em outros alertas, verifique-os." }, "IOC-01": { "title": "Uma conexão foi estabelecida com {} ({}) e marcada como {}.", "description": "O host {} foi explicitamente bloqueado devido a atividades maliciosas. O dispositivo provavelmente foi comprometido e precisa ser analisado com cuidado por profissionais de segurança de TI." }, "IOC-02": { "title": "Comunicação com {} com o CIDR {} marcado como {}.", "description": "O host {} está hospedado em uma rede que é conhecida por atividades maliciosas. Mesmo que o comportamento, por si só, não seja malicioso, é necessário verificar se outros alertas são gerados para esse host. Em caso de dúvidas, pesquise esse host na internet para verificar sua autenticidade." }, "IOC-03": { "title": "Uma solicitação de DNS foi feita para {}, marcado como {}.", "description": "O nome de domínio {} visto na captura foi explicitamente marcado como malicioso. Isso indica que o dispositivo provavelmente foi comprometido e precisa ser analisado com cuidado." }, "IOC-04": { "title": "Uma solicitação de DNS foi feita para {}, marcado como {}.", "description": "O nome de domínio {} visto na captura foi explicitamente marcado como um Tracker. Isso indica que um dos aplicativos ativos está rastreando sua localização." }, "IOC-05": { "title": "Uma solicitação de DNS foi feita para o domínio {}, que é um DNS gratuito.", "description": "O nome de domínio {} está usando um serviço de DNS gratuito. Esse tipo de serviço é comumente usado por cibercriminosos ou agências de inteligência estatais no exercício de suas funções. É muito suspeito que aplicativos em execução em segundo plano usem esse tipo de serviço e isso deve ser analisado com cuidado." }, "IOC-06": { "title": "Uma solicitação de DNS foi feita para o domínio {}, que contém um TLD (domínio de nível superior) suspeito.", "description": "O nome de domínio {} está usando um TLD suspeito ({}). Mesmo não sendo malicioso, esse TLD não genérico é frequentemente usado por cibercriminosos ou agências de inteligência estatais. Analise a reputação do domínio pesquisando-o na internet. Se outros alertas forem observados, considere esse host como muito suspeito." }, "IOC-07": { "title": "Um certificado associado a atividades de {} foi encontrado na comunicação para {}.", "description": "O certificado ({}) associado a {} foi explicitamente marcado como malicioso. Isso indica que o dispositivo provavelmente foi comprometido e precisa de uma análise forense." }, "ACT-01": { "title": "O domínio {} está usando um servidor de nomes suspeito ({}).", "description": "O nome de domínio {} está usando um servidor de nomes explicitamente marcado como associado a atividades maliciosas. Muitos cibercriminosos e agentes de inteligência estatais usam esse tipo de registradores porque isso permite pagamentos com criptomoedas e anônimos. É recomendável investigar esse domínio e o aplicativo em execução por meio de uma análise forense do telefone." }, "ACT-02": { "title": "O domínio {} foi criado recentemente ({} dias atrás).", "description": "O nome de domínio {} é novo. Mesmo que isso não seja intrinsecamente malicioso, é bastante comum que os invasores configurem uma nova infraestrutura para cada campanha, o que pode levar ao uso de nomes de domínio recém-registrados." }, "SSL-01": { "title": "Conexão SSL feita em uma porta não padrão ({}) para {}", "description": "Não é comum ver conexões SSL a partir de dispositivos móveis usando portas não padrão. Mesmo que a conexão pareça ser autêntica, é recomendável analisar a reputação de {} verificando pesquisando na internet o registro de domínio, o sistema autônomo associado e a data de criação." }, "SSL-02": { "title": "Uma conexão SSL com {} está usando um certificado gratuito.", "description": "Certificados gratuitos, como o Let's Encrypt, são amplamente usados por servidores de comando e controle associados a arquivos maliciosos ou páginas de phishing. É recomendável analisar o host associado a esse certificado verificando o nome de domínio, a data de criação ou pesquisando sua reputação na internet." }, "SSL-03": { "title": "O certificado associado a {} é autoassinado.", "description": "O uso de certificados autoassinados é comum na infraestrutura de invasores. É recomendável analisar o host {} que está associado a esse certificado verificando o nome e o registro de domínio (se houver), a data de criação e sua reputação na internet." }, "SSL-04": { "title": "Um certificado contém o nome de domínio {}, categorizado como {}", "description": "Um dos certificados trocados contém o nome de domínio {}. Este nome de domínio foi explicitamente classificado como malicioso. Seu dispositivo está definitivamente comprometido e deve ser investigado por uma equipe profissional." }, "ADV-01": { "title": "Verifique os alertas para {}", "description": "Verifique a reputação do host {}, este parece ser malicioso, pois acionou alertas para {} durante a sessão." }, "SNORT-01": { "title": "Regra do Suricata acionada: {}", "description": "Uma regra de detecção de rede foi acionada. É provável que o dispositivo tenha sido comprometido ou apresente comportamento suspeito." } }, "report": { "numbers": [ "um", "dois", "três", "quatro", "cinco", "seis", "sete", "oito", "nove" ], "suspect_title": "Comunicações suspeitas", "uncat_title": "Comunicações não categorizadas", "whitelist_title": "Comunicações permitidas", "protocol": "Protocolo", "domain": "Domínio", "dst_ip": "Endereço IP do dst", "dst_port": "Número da porta do dst", "device_name": "Nome do dispositivo", "device_mac": "Endereço MAC do dispositivo", "report_generated_on": "Relatório criado em", "capture_duration": "Duração da captura", "packets_number": "Número de pacotes", "capture_sha1": "Captura SHA1", "report_for_the_capture": "Relatório da captura", "report_footer": "Este relatório foi gerado automaticamente por um dispositivo Tinycheck. Em caso de dúvidas, relatório de erros ou comentários, envie uma mensagem para tinycheck@kaspersky.com.", "high_msg": "O dispositivo parece estar comprometido porque você tem {} alerta(s) crítico(s).", "moderate_msg": "Você tem {} alerta(s) moderado(s), seu dispositivo pode estar comprometido. Analise-os com cuidado.", "low_msg": "Você tem apenas {} alerta(s) leve(s), não deixe de verificá-los.", "none_msg": "Tudo parece estar bem, zero alertas. Não deixe de verificar comunicações não categorizadas, se houver." } }