Teníamos dos suscripciones comerciales APT, diez intercambios de información, unos diez canales gratuitos y la lista de nodos de salida de Thor. Y también cinco fuertes inversores, un maestro de scripts de PowerShell, un escáner loki y una suscripción paga a virustotal. No es que sin esto el centro de monitoreo no funcione, pero si estás acostumbrado a detectar ataques complejos, tienes que ir hasta este hobby. Sobre todo, nos preocupaba la posible automatización de la verificación de indicadores de compromiso. No hay nada más inmoral que la inteligencia artificial, que reemplaza a una persona en el trabajo donde necesita pensar. Pero entendimos que con un aumento en el número de clientes, tarde o temprano nos sumergiríamos en él.
Muchos dicen que Threat Intelligence es delicioso, pero no todos entienden cómo cocinarlo. Incluso menos que entienden qué procesos deben construirse para que TI funcione y genere ganancias. Y muy pocas personas saben cómo elegir un proveedor de feeds, dónde verificar el indicador de caídas y si es necesario bloquear el dominio que el colega envió a WhatsApp.
Durante varios años de trabajo constante con TI, logramos caminar con diferentes rastrillos y hoy queremos dar algunos consejos prácticos que ayudarán a los principiantes a evitar errores.
Consejo número 1. No tenga grandes esperanzas de atrapar un hash: la mayoría del malware ha sido polimórfico durante mucho tiempo
En el último artículo, hablamos sobre qué es TI y dimos algunos ejemplos de cómo se organiza el proceso de trabajo. Permítame recordarle que la información sobre amenazas (inteligencia de amenazas) viene en diferentes formatos y puntos de vista: pueden ser las direcciones IP de los centros de control de botnet y las direcciones de correo electrónico de los remitentes de correos electrónicos de phishing, y artículos que describen técnicas de derivación de seguridad que APT agrupa -que comenzará a usar. En general, suceden muchas cosas.
Para racionalizar toda esta desgracia, hace unos años, David Bianco propuso la llamada
"pirámide del dolor" . Describe bastante bien la relación entre los tipos de indicadores que usa para detectar al atacante y cuánto dolor le causará al atacante si puede detectar un tipo específico de indicador.
Por ejemplo, si conoce el hash MD5 de un archivo malicioso, se puede detectar con bastante facilidad y con precisión. Sin embargo, esto traerá muy poco dolor al atacante: solo agregue 1 bit de información al archivo, y el hash ya es diferente.
Consejo número 2. Intente utilizar esos indicadores, cuyo cambio será difícil técnica o económicamente no rentable para el atacante
Anticipando la pregunta de cómo averiguar si hay un archivo con este hash en las estaciones de trabajo de nuestra empresa, respondo: hay diferentes maneras. Una de las más fáciles es instalar Kaspersky Security Center, que contiene una base de datos de hashes MD5 de todos los archivos ejecutables en la empresa, a los que puede hacer SELECT.
Volvamos a la pirámide del dolor. A diferencia de la detección de hash, será más productivo si puede detectar el TTP (táctica, técnica, procedimiento) del atacante. Es más complicado y requiere más esfuerzo, pero provocará más dolor.
Por ejemplo, si sabe que un grupo APT dirigido a su sector de la economía distribuye correos electrónicos de phishing con archivos * .HTA, el desarrollo de una regla de detección que busque archivos en el correo con archivos adjuntos similares afectará al atacante. Tendrá que cambiar las tácticas de envío por correo, quizás incluso invirtiendo $ $ en la compra de exploits de 0 días o 1 día, y esto no es barato ...
Consejo número 3. No tenga grandes esperanzas con respecto a las reglas de detección que no fueron desarrolladas por usted; deberán verificarse para detectar falsos positivos y modificarse
Al desarrollar reglas de detección, siempre es tentador usar reglas predefinidas. Un ejemplo gratuito es el repositorio
Sigma , un formato de regla de detección independiente de SIEM que traduce las reglas de Sigma en consultas ElasticSearch y reglas Splunk o Arcsight. Al mismo tiempo, el repositorio contiene alrededor de 200 reglas, de las cuales ~ 130 describen ataques en Windows. A primera vista, es muy bueno, pero el diablo, como siempre, está en los detalles.
Echemos un vistazo a
una de las reglas de detección mimikatz
en detalle:
La regla detecta procesos que intentaron leer la memoria del proceso lsass.exe. Mimikatz hace esto cuando intenta obtener hash NTLM, y la regla detecta malware.
Sin embargo, para nosotros, como especialistas que se dedican no solo a detectar, sino también a responder a incidentes, es extremadamente importante que esto sea realmente mimikatz. Desafortunadamente, en la práctica, hay muchos otros procesos legítimos que leen la memoria de lsass.exe con las mismas máscaras (algunos antivirus, por ejemplo). Por lo tanto, en un entorno de combate real, tal regla traerá más falsos positivos que buenos.
Hay incidentes aún más interesantes relacionados con la traducción automática de reglas de Sigma a reglas SIEM:
En uno de los seminarios web, los colegas de SOC Prime que proporcionaron reglas de detección pagas mostraron un ejemplo no funcional de dicha traducción: el campo DeviceProduct en SIEM debe ser igual a Sysmon y Microsoft Windows, lo cual es imposible.
No quiero culpar a nadie y meter un dedo: todos están locos, está bien. Sin embargo, los consumidores de Threat Intelligence deben comprender que es necesario volver a verificar y refinar las reglas obtenidas de fuentes abiertas y cerradas.
Consejo # 4: verifique los nombres de dominio y las direcciones IP para detectar malware no solo en el servidor proxy y el firewall, sino también en los registros del servidor DNS, prestando atención tanto a los intentos de resolución exitosos como a los fallidos
Los dominios maliciosos y las direcciones IP son un indicador óptimo en términos de facilidad de detección y la cantidad de dolor que le entrega a un atacante. Pero con ellos todo es simple solo a primera vista. Como mínimo, puede preguntarse de dónde obtener el registro de dominio.
Si se limita a verificar solo los registros del servidor proxy, puede perderse el malware que intenta acceder a la red directamente o solicita un nombre de dominio inexistente generado por DGA, sin mencionar los túneles DNS; todo esto no estará en los registros proxy corporativos.
Consejo número 5. "No puede bloquear el monitor": coloque una coma solo después de saber qué tipo de indicador es y darse cuenta de las posibles consecuencias del bloqueo
Cada guardia de seguridad en ejercicio enfrentó una pregunta difícil: ¿bloquear la amenaza o monitorear y, si hay algo positivo, comenzar una investigación? Algunas regulaciones e instrucciones escriben directamente - bloquean, y algunas veces esta acción es errónea.
Si el indicador es el nombre de dominio utilizado por la agrupación APT,
no lo bloquee , sino que comience a monitorear. Las tácticas modernas de ataques dirigidos implican la existencia de un canal de comunicación de respaldo encubierto adicional, que solo puede identificarse durante una investigación detallada. El bloqueo automático en este caso impedirá la búsqueda de este canal, y los compañeros del otro lado de la barricada comprenderán rápidamente lo que aprendió sobre sus actividades.
Por otro lado, si el indicador es un dominio de cifrado, ya
debería estar bloqueado . Pero no olvide monitorear los intentos fallidos de acceder a dominios bloqueados: se pueden incorporar varias direcciones de servidores de administración en la configuración del encriptador. Algunos de ellos pueden faltar en los feeds y, por lo tanto, no se bloquearán. Tarde o temprano, el malware se pondrá en contacto con ellos para obtener una clave que el host cifrará instantáneamente. Solo un análisis inverso de la muestra puede garantizar que ha bloqueado todas las direcciones del servidor de administración.
Consejo número 6. Verifique la relevancia de todos los indicadores entrantes antes de configurarlos para monitoreo o bloqueo.
Recuerde que la información sobre las amenazas es creada por personas que tienden a cometer errores, o algoritmos de aprendizaje automático, que se ven aún más afectados por esto. Ya hemos sido testigos de cómo varios proveedores de informes pagados sobre las actividades de los grupos APT agregan accidentalmente muestras bastante legítimas a las listas de MD5 maliciosos. Incluso si los informes de amenazas pagados contienen indicadores de baja calidad, ¿qué podemos decir sobre los indicadores obtenidos a través de la inteligencia en fuentes abiertas? Los analistas de TI no siempre verifican los indicadores que crean para detectar falsos positivos, ya que dicha verificación recae en los hombros del consumidor.
Por ejemplo, si recibió la dirección IP de la próxima modificación de Zeus o Dimnie, antes de usarla en los sistemas de detección,
verifique si es parte del alojamiento o servicio que dice su IP . De lo contrario, será desagradable analizar una gran cantidad de falsos positivos cuando los usuarios de un sitio alojado en este alojamiento irán a sitios completamente inofensivos. Una verificación similar se puede hacer fácilmente con:
- Servicios de categorización que le informarán sobre la naturaleza de las actividades del sitio. Por ejemplo, ipinfo.io escribe directamente el tipo: "hosting".
- IP inversa de servicios, que le indicará cuántos dominios están registrados en esta dirección IP. Si hay muchos de ellos, es muy probable que esté alojando sitios.
Entonces, por ejemplo, el resultado de verificar el indicador parece ser un indicador del grupo APT Cobalt (según el informe de un respetado proveedor de TI):
Los especialistas en respuesta entendemos que los caballeros de Cobalt deben haber utilizado esta dirección IP. Sin embargo, este indicador no tiene ningún beneficio: es irrelevante porque da demasiados falsos positivos.
Consejo número 7. Automatice todos los procesos con información sobre amenazas tanto como sea posible. Comience con uno simple: automatice completamente la verificación de falsos positivos a través de la lista de paradas con la configuración adicional de indicadores sin rayas para el monitoreo en SIEM
Para evitar una gran cantidad de falsos positivos relacionados con la inteligencia y obtenidos de fuentes abiertas, puede realizarse una búsqueda preliminar de estos indicadores en las listas de detención (listas de advertencia). Dichas listas se pueden formar sobre la base de la calificación de Alexa (top-1000), direcciones de subredes internas, dominios de grandes proveedores de servicios como Google, Amazon AWS, MS Azure y otros servicios de alojamiento. También será extremadamente eficaz una solución que cambie dinámicamente las listas de parada que consisten en los principales dominios / direcciones IP visitados por los empleados de la compañía en la última semana o mes.
El desarrollo de tales listas y un sistema de verificación puede ser difícil para el SOC promedio, por lo que tiene sentido pensar en implementar las llamadas plataformas de Inteligencia de amenazas. Hace aproximadamente medio año, Anti-malware.ru tenía una buena
visión general de las soluciones gratuitas y
de pago de esta clase.
Consejo número 8. Escanee toda la empresa en busca de indicadores de host, no solo hosts que están conectados a SIEM
Debido al hecho de que, por regla general, no todos los hosts empresariales están conectados a SIEM, no es posible verificar si hay un archivo malicioso con un nombre o ruta específicos utilizando solo la funcionalidad estándar de SIEM. Puede salir de esta situación de las siguientes maneras:
- Use escáneres IoC como Loki . Puede ejecutarlo en todos los hosts de la empresa a través del mismo SCCM y redirigir la salida a una carpeta de red pública.
- Utiliza escáneres de vulnerabilidades. Algunos de ellos tienen modos de cumplimiento en los que puede verificar un archivo específico en una ruta específica.
- Escriba un script de PowerShell y ejecútelo a través de WinRM. Si escribe pereza usted mismo, puede usar uno de los muchos scripts, por ejemplo, este.
Como dije al principio, este artículo no implica información completa sobre cómo trabajar correctamente con Threat Intelligence. Sin embargo, en nuestra experiencia, seguir incluso estas reglas simples permitirá a los principiantes no pisar el rastrillo y comenzar de inmediato con un trabajo efectivo con varios indicadores de compromiso.