La caza de ciberamenzas se puede comparar con la caza en la naturaleza. Requiere paciencia y un buen ojo. Requiere tener el arsenal apropiado a disposición para ser efectivo para poder derribar a la presa. La caza también puede ser un medio para el control de plagas, al igual que la erradicación de un entorno infestado de malware que requiere una buena limpieza. El seguimiento hábil y la adquisición de un objetivo difícil de alcanzar puede ser muy estimulante y gratificante, pero para poder hacerlo, uno debe estar bien equipado con las habilidades y herramientas adecuadas.
El primer elemento que necesitarás, por supuesto, son los datos. Tener un SIEM centralizado (información de seguridad y gestión de eventos) con todos nuestros dispositivos alimentando al monstruo sería maravilloso, pero incluso el simple acceso a los registros de proxy, registros de antivirus o incluso los registros del controlador de dominio de Windows nos beneficiaría en nuestra caza. No importa si tenemos cientos o incluso miles de millones de eventos, el proceso de caza reduce el ruido como un tallador de madera digital que se deshace para revelar su obra maestra. Nuestra obra maestra será la identificación de una amenaza desconocida para la empresa.
El segundo elemento que necesitamos es una lista de actividades sospechosas que se generarían a partir de los registros que estamos recopilando. Es imprescindible tener un enfoque basado en la inteligencia para este proceso, de lo contrario, nos sentiriamos como si estubiesemos enjaulados en una bola esférica de plástico rebotando en las paredes de un callejón sin salida.
Veremos a continuación algunos ejemplos de lo que debemos buscar al buscar amenazas en nuestros registros de proxy, registros de antivirus, registros de Windows y registros varios logs.
Buscando incidentes de ciberseguridad en el Proxy
-
¿Hay tráfico enviado desde el puerto 22 a través de servidores proxy o incluso firewalls? Por supuesto, es una buena práctica restringir el origen de este protocolo de texto claro, pero si no está bloqueado, podemos buscar cualquier patrón de exfiltración en los datos o incluso conexiones bajas y lentas.
-
¿Hay alguna conexión de red que muestre el mismo patrón de bytes y bytes cada día? Esto fue más prevaleciente hace cinco años atrás, pero el malware de hoy todavía aprovecha esta técnica de señalización a su "master" para hacerles saber que se han implantado con éxito. Por lo tanto, buscar la misma cantidad de bytes y bytes de manera frecuente podría ser un signo de que algo malo esta pasando en nuestra red.
-
Identifica una lista de todos los sitios DNS dinámicos que visitan los puntos finales y observa específicamente los valores atípicos en toda nuestra organización. Si solo 3 máquinas de cada 20,000 visitan turtle.dyndns.com una vez al día, o tienen afinidad por mirar "criatura con caparazón cartilaginoso", o "Mr. Robot" de forma continuada tenemos una infraestructura de comand and control. Por supuesto, podría haber otras explicaciones, la gente se puede volver muy obsesiba o yo que se ...
Tambien podemos buscar:
- Cadenas únicas de agente de usuario
- Cadenas codificadas en Base64 dentro de la URL
- Descarga de ejecutables (Intercepción SSL)
Buscando incidentes de ciberseguridad en Windows
-
Establece un perfil de los registros de eventos, por ejemplo "Se intentó iniciar sesión con credenciales explícitas" e incluye en la lista blanca la actividad normal. Esto sería para el Evento ID 4648 y/o 552. Este registro se inicia cuando un usuario se conecta a un sistema o ejecuta un programa localmente usando credenciales alternativas. ¿Alguien dijo 'Movimiento lateral'? A los ciberatacantes les encanta moverse lateralmente como una serpiente deslizándose buscando masticar cualquier dato que encuentre atractivo. Propiedad intelectual, secretos comerciales, políticas de seguridad interna, etc.
-
"Usuario añadidos al grupo de usuarios privilegios", Identificadores dee eventos 4728, 4732, 4756. La escalada de privilegios a menudo se producirá una vez que se haya alcanzado un punto de de entrada dentro de un entorno. Estos registros pueden ayudar en la identificación de la actividad de escalado de privilegios. También es bueno hacer un perfil de las actividades legítimas de su administrador de TI, ya que con frecuencia generarán un poco de ruido en dicha búsqueda.
-
Sé que esto es obvio, pero intentos fallidos de inicio de sesión. Esto puede ser difícil de filtrar, dependiendo del tamaño de nuestra organización, pero buscar sucesivos intentos fallidos de acceso usando múltiples cuentas podría indicar intentos de fuerza bruta. Centrarse en un intento fallido por cuenta puede significar que un actor intente iniciar sesión con las contraseñas que anteriormente abandonó del entorno con la esperanza de que todavía funcione. Podemos buscar información en los evento de Windows 4625, 529-539.
Tambien podemos buscar:
- Limpieza de registros - Eventos de Windows 104 y 1102
- Registros de bloqueo de EMET: 1 y 2
- La aplicación se cuelga y cuelga - Windows Events 1000 & 1002
- Errores de Windows Defender - Eventos de Windows 1005, 1006, 1008, 1010, 2001, 2003, 2004, 3002, 5008
Buscando incidentes de ciberseguridad en el antivirus
¿Por qué no cazar incidentes a través del registros de antivirus? ¿No demostrarán que estoy cubierto y el antivirus hizo su trabajo para remediar la infección? Bueno, uno esperaría que el antivirus pudiera ser súper efectivo para identificar malware todo el tiempo, pero la verdad es que no lo es. Los escáners antivirus y el software están basados principalmente en firmas, lo que significa que detectan malware identificando un segmento de código dentro de un archivo que coincide con su base de datos interna de código malicioso. En realidad, es bastante elemental identificar este segmento de código en el que se activará el antivirus, realizará cambios, volverá a compilarse y ¡pluf! ¡Tu código ya no se detectará como malicioso! Sin embargo, los actores de amenazas cometen errores cuando han logrado una intrusión exitosa. Estos son algunos de los elementos que debemos buscar y las razones para buscarlos:
-
Señales de cualquier programa de descarga de contraseñas que se ejecute dentro del entorno. Esto incluiría pwdump, gsecdump, mimikatz, etc. Investiga qué marca tu proveedor de antivirus como un programa de descarga de contraseñas y ¡ve a buscarlo! Por ejemplo, una de las herramientas de detección de volcado de contraseña de McAfee se llama HTool-GSECDump. He visto como un actor ejecutó un descargador de contraseñas, el antivirus lo detectó y lo eliminó, y el atacante ejecutó con éxito otro volcador que no se detectó. Entonces, aunque han logrado su objetivo inicial, han dejado una pista de valor probatorio.
-
Esto viene con el tiempo, pero conocer a tus adversarios es en última instancia el objetivo de todo esto. Despues podemos comenzar a perfilar las tácticas, técnicas y procedimientos. Conocer las herramientas que utilizan con mayor frecuencia y los tipos de puertas traseras que pueden aprovechar. Algunas puertas traseras de amenazas avanzadas comunes incluyen PlugX, 9002 RAT, Nettraveler, Derusbi, Winnti, Pirpi, etc. ¡Si te encuentras con nombres como estos dentro de tus registros de antivirus, sé 'fino'! Entonces, una vez más, investigaría lo que el proveedor de antivirus llama detecciones y buscalas. Las probabilidades pueden ser escasas si se trata de una pieza específica de malware cuyo principal objetivo no es solo establecer una conexión de comand and control, sino NO ser detectada al hacerlo.
-
Identifica cualquier detección con el nombre 'dropper' en ella. Un programa cuentagotas está destinado a descargar e instalar una puerta trasera o virus. Es como enviar a tu hermano menor al pasillo de la planta alta a altas horas de la noche para ver si los padres todavía están despiertos para que puedas encender tu Playstation para jugar. El gotero es el tipo "la costa está clara", que luego inicia la segunda etapa de la acción. Si se ha detectado un cuentagotas, es posible que todavía haya algo al acecho en las profundidades del sistema operativo en el que se detectó.
Algunas soluciones antivirus también tienen la capacidad de crear detecciones personalizadas. El antivirus McAfee tiene una sección dentro de su ePolicy Orchestrator para configurar 'Políticas de protección de acceso'. Por ejemplo, si deseamos registrar ejecuciones de archivos binarios desde el directorio APPDATA de un usuario, podmeos crear una alerta con la siguiente sintaxis "C: \ Users \ * \ AppData \ Local \ Temp \ *. Exe". Ahora, cada vez que un programa se inicia desde ese directorio, se generará un registro y se enviará a la consola.
Feliz caza de incidentes de ciberseguridad
Ahora sé lo que estás pensando. Todo se ve genial, pero tal vez al empresa no puede o no quiere pagar una solución empresarial y el volumen de reporte de incidentes es reducido. Bueno, no debemos tener miedo. Existen algunas herramientas de código abierto bastante buenas con la capacidad de cubrir algunos de los ejemplos anteriores. Si cogemos Sysmon del sitio de Window, nos encontramos con una solución de software gratuito con la capacidad de registrar todas las creaciones de proceso con línea de comando completa, hash, etc., junto con la capacidad de recopilar actividad basada en red muy buena, que almacena información en en C: \ Windows \ System32 \ winevt \ Logs \ Microsoft-Windows-Sysmon % 4Operational.evtx. El proceso de instalación es ridículamente simple, sin embargo, deberemos configurar el WEF (Reenvío de eventos de Windows) para enviar estos registros a una solución de administración de registros centralizada como el SIEM. Sin embargo, configurar WEF con Sysmon os puede llevar a pegaros un tiro. Se deben realizar cambios manuales en el registro y posteriormente, viene la muerte IT. Si estamos abierto a tener un agente adicional intalado, NxLog es una herramienta de código abierto que puede reenviar esos registros con facilidad.
Finalmente, necesitará una solución que injiera estos datos y proporcione una interfaz intuitiva para cazar estas ciberamenazas. Si no ha oído hablar de la pila ELK (Elasticsearch, Logstash y Kibana), es la solución gratuita perfecta para satisfacer estas necesidades (Una pena que el módulo de machine learning no lo sea). Para probarlo rápidamente, existen imagenes VirtualBox para máquina virtual disponibles en la red que se pueden poner en funcionamiento en menos de 10 minutos. Teneis un buenisimos tutorial de instalación aquí
Probablemente podríamos seguir aquí por siempre con terminos que podriamos buscar específicamente durante una cacería de ciberdelincuentes, pero esos son los tipos de eventos que debemos cribar día tras día refinando nuestro instinto. Los actores de amenazas hacen todo lo que está en su poder para integrarse e intentar convertirse en un fantasma dentro de nuestra red. ¿Mi recomendación? Conviértete en un Cazafantasmas. Cargz la pistola ectoplásmica de conocimientos sobre ciberamenazas, centraliza todos tus datos de registro críticos y pivotea, pivotea y pivotea hasta que encuentrea tu Slimer. Luego, baja una caja de Ecto Cooler Hi-C y vuelve a empezar. Puede sonar a ciencia ficción, pero es una reaidad, los atacantes, van un paso por delante tuya, vuelvete tanto o más sigiloso que ellos y aprende a sorprenderlos.
Conviertete en un autentico cazador de amenazas de ciberseguridad. Conviertete en el eslavón que tu empresa necesita