2 nov 2019

Comenzar a usar ATT&CK [IV] - Detección y Análisis Nivel 1

Detección y Análisis

Luego que tenemos claro cómo comenzar MITRE ATT&ACK para realizar Inteligencia sobre las Amenazas, ya deberíamos comprender como trabajan los adversarios y podemos comenzar a utilizar este conocimiento para priorizar qué y cómo defendernos. En esta publicación, hablaremos sobre cómo crear detecciones y análisis para esos comportamientos, tal y como describe John Wunder, Principal Cybersecurity Engineer and Group Lead de MITRE.

La creación de analítica para detectar las técnicas ATT&CK puede ser diferente a la forma que se acostumbra a realizar la detección de amenazas. En lugar de identificar cosas que se sabe que son malas y bloquearlas (black list), los análisis basados ​​en ATT&CK implican recopilar datos de registro y eventos sobre las cosas que suceden en los sistemas y usarlos para identificar los comportamientos sospechosos que se describen en ATT&CK.

Al igual que con las publicaciones anteriores, dividiremos el trabajo en niveles, según la sofisticación del equipo de trabajo y los recursos a los que tiene acceso: (1) para aquellos que recién comienzan con pocos recursos; (2) equipos que comienzan a madurar; y (3) equipos y recursos de ciberseguridad más avanzados.

Detección y Análisis - Nivel 1

El primer paso para crear y usar análisis de ATT&CK es comprender de qué datos y capacidades de búsqueda se dispone. Después de todo, para encontrar comportamientos sospechosos, se debe poder ver lo que sucede en los sistemas instalados. Una forma de hacerlo es mirar las fuentes de datos enumeradas para cada técnica descripta en ATT&CK. Esas fuentes de datos describen los tipos de datos que podrían dar visibilidad a cada técnica. En otras palabras, brindan un buen punto de partida para saber qué datos recolectar.
enfoque que Roberto Rodríguez y José Luis Rodríguez demostraron en ATT&Con para buscar técnicas a través de las fuentes de datos. MITRE también creó algunos scripts que ayudan a detectar una gran cantidad de técnicas:
  • Proceso y supervisión de la línea de comandos, a menudo recopilados por Sysmon, Windows Event Collection y muchos SIEM y plataformas EDR;
  • Monitoreo de archivos y registros, también recopilados por las mismas herramientas anteriores;
  • Registros de autenticación, como los recopilados del controlador de dominio a través de los registros de eventos de Windows;
  • Captura de paquetes, especialmente captura entre hosts o con sensores como Zeek.
Una vez que se sabe de qué datos se dispone se puede recopilarlos en algún tipo de plataforma de búsqueda (SIEM) para poder ejecutar análisis. Es posible que ya tenga esto como parte de sus operaciones de TI o seguridad, o podría ser algo nuevo que necesita construir.

Para los ejemplos siguientes se utilizó ELK (ElasticSearch / Logstash / Kibana) con datos de Sysmon, pero también se puede utilizar una serie de ofertas comerciales y de código abierto. No se debe subestimar estos pasos en el proceso, ¡ajustar la recopilación de datos suele ser la parte más difícil!

Bonus Track: si necesita acceso a un buen conjunto de datos empresariales para realizar pruebas, se puede consultar el conjunto de datos Boss of the SOC (BotS) de Splunk o el conjunto de datos BRAWL de MITRE. Ambos están disponibles como JSON y, por lo tanto, se pueden cargar en Splunk, ELK y otros SIEM. BOTS es muy extenso y contiene ruido real, mientras que BRAWL es mucho más limitado y se enfoca solo en actividades de red Team.

El Cyber Analytics Repository (CAR) es una base de conocimiento de análisis también desarrollado por MITRE y basado en el modelo de ATT&CK. Se puede utilizar con el glosario, Full Analytic List y la herramienta CAR Exploration Tool (CARET) para determinar la siguiente información:
  • una hipótesis que explica la idea detrás de la analítica;
  • el dominio de información o el dominio primario dentro del cual está diseñado el análisis (por ejemplo, host, red, proceso, externo);
  • referencias a las técnicas y tácticas ATT&CK que detecta el análisis;
  • una descripción de pseudocódigo de cómo se podría implementar la analítica;
  • una prueba unitaria que se puede ejecutar para activar la analítica.
Además de los análisis, CAR también contiene un modelo de datos observables que se utilizan para ejecutar los análisis y sensores que se utilizan para recopilar esos datos.

Una vez que cuente con datos en el SIEM, estará listo para probar algunos análisis. Un gran punto de partida es mirar los análisis creados por otros y ejecutarlos contra datos propios. Hay varios repositorios analíticos enumerados en los recursos a continuación, pero un buen análisis inicial es CAR-2016–03–002. Esto intentará encontrar el uso de WMI para ejecutar comandos en sistemas remotos, una técnica común descrita por Windows Management Instrumentation (T1047).

La parte importante es la ejecución del pseudocódigo en una búsqueda en cualquier SIEM que esté utilizando. También puede usar la herramienta de código abierto Sigma y su repositorio de reglas para traducirlo a cualquier SIEM. En este caso, CAR-2016-03-002 ya está incluido en una regla de Sigma y puede ejecutarlo para obtener, como ejemplo, la consulta ELK y WinLogBeats:
sigmac --target es-qs -c tools/config/winlogbeat.yml rules/windows/process_creation/
win_susp_wmi_execution.yml
El trabajo ahora consiste en analizar cada resultado y determinar si es malicioso. Si usó el conjunto de datos BRAWL, todo es bastante malicioso: intenta ejecutar and.exe y, al explorar más a fondo los eventos relacionados, and.exe acaba siendo trasladado a ese host a través de SMB y agregado a las claves de registro de ejecución automática para obtener persistencia.

Si está viendo sus propios datos empresariales, es de esperar que la mayoría sean datos benignos o conocidos; si no, descubra a qué se enfrenta.

Una vez que tenga la búsqueda básica que devuelve datos y se sienta cómodo de poder comprender los resultados, intente filtrar los falsos positivos en su entorno para no abrumarse. Su objetivo no debería ser llegar a cero falsos positivos, sino que debería reducirlos lo más posible y al mismo tiempo asegurarse de detectar el comportamiento malicioso. Una vez que el análisis tiene una tasa baja de falsos positivos, puede automatizar la creación de un ticket en su SOC cada vez que se dispara el análisis o agregarlo a una biblioteca de análisis para usar en la búsqueda manual de amenazas.

Continuará...
Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!