Canal de Telegram

7 nov 2019

Segu-Info » , , , , » Cómo usar ATT&CK [VI] - Detección y Análisis Nivel 3

Cómo usar ATT&CK [VI] - Detección y Análisis Nivel 3

7 nov 2019, 5:07:00 p.m.   Comenta primero!
  , , , ,  

Detección y Análisis - Nivel 3

No todo se trata de RED y BLUE, también está el Purple Team (Equipo Púrpura). En el mundo real, los adversarios no solo llevan a cabo ataques copiados de algún video o tutorial; se adaptan e intentan evadir las defensas de las organizaciones. Después de todo, es por eso que hay una táctica de evasión de defensa en ATT&CK.

La mejor manera de garantizar que los análisis contra la evasión sean robustos es trabajar directamente con un Red Team dentro de la organización. El equipo azul será responsable de crear los análisis y el equipo rojo será responsable de la emulación de adversarios, esencialmente, tratando de evadir los análisis ejecutando los mismos tipos de ataques y evasiones que usan los adversarios en el mundo real. En otras palabras, actuan como verdaderos adversarios para que pueda comprender cómo les irá a sus análisis contra adversarios reales.

Así es como podría funcionar en la práctica: tienes algo de análisis, digamos para detectar el volcado de credenciales. Quizás ya escribiste una analítica para detectar mimikatz.exe en la línea de comando o Invoke-Mimikatz a través de Powershell.

Para crear un Purple Team, entrega esa analítica al equipo rojo para que ellos puedan encontrar y ejecutar un ataque que evadirá esa analítica. Por ejemplo, se podrían cambiar el nombre del ejecutable a mimidogz.exe (sic). En este punto, ya se deberá actualizar el análisis para buscar diferentes artefactos y comportamientos que no dependan de la denominación exacta mimikatz. Quizás se pueda buscar la máscara de bits GrantedAccess específica que utiliza mimikatz cuando accede al proceso lsass.exe. Nuevamente se le darám estos datos al equipo rojo, y ellos ejecutarán una evasión que, por ejemplo, agrega un acceso adicional para que la máscara de bits GrantedAccess ya no lo detecte. Esto se conoce como Purple Team y es una excelente manera de mejorar rápidamente la calidad de los análisis porque mide la capacidad para detectar los ataques que los adversarios realmente usan.

Una vez que llegas a una etapa en la que estás agrupando todos tus análisis, puedes incluso automatizar el proceso para asegurarte de no tener regresiones y detectar nuevas variantes de ataques. Una vez que esté tan avanzado y esté creando un cuerpo básico de análisis, querrás utilizar ATT&CK (ya sea a través del navegador ATT&CK o usando tus propias herramientas) para rastrear lo que puede y no puede cubrir dicho análisis. Tal vez, por ejemplo, puedes inicar con una lista de deseos para detectar técnicas que Katie Nickels y Brian Beyer señalan en su presentación de la Cumbre SANS CTI [PDF].
Luego, se pueden integrar los análisis de CAR (Cyber Analytics Repository) y CAR Exploration Tool (CARET) para colorear de amarillo algunos de ellos, para indicar que al menos se tiene cierta cobertura (como vimos en el Nivel 1). Como se indicó anteriormente, es poco probable que un solo análisis proporcione cobertura suficiente para cualquier técnica dada. Así que se pueden refinar esos análisis y quizás agregar una mejor cobertura de cada técnica descripta. Eventualmente, tal vez te sientas lo suficientemente cómodo con la detección de algunos de ellos y podrías colorerlos de verde. Lo único que siempre hay que tener en cuenta es que nunca estarás 100% seguro de detectar cada uso de cada una de las técnicas, por lo que el verde no significa hecho, solo significa "por ahora estoy bien".
<
Y, por supuesto, con el tiempo, querrás ampliar el alcance de las cosas que te interesan. Por ejemplo se puede priorizar por actor de amenaza, usar algunos de los recursos publicados por diferentes proveedores para priorizar en función de la prevalencia de la técnica o en función de su monitoreo, o quizás lo mejor de todo, desarrollar un análisis propio para incidentes de tu propia organización.

Al final, el objetivo es desarrollar un conjunto de detecciones cada vez más completo para que puedas detectar cada vez más cosas que los adversarios podrían utilizar para atacarnos

Para concluir (esta parte)

Esta publicación brinda una idea de lo que significa crear análisis para detectar técnicas de ATT&CK, así como cómo pensar en crear un conjunto de análisis propio. La idea es mostrar lo que puede hacer un adversario, cómo lo podemos comprender a través de la inteligencia de amenazas y usar esa inteligencia para crear análisis y detectar sus técnicas de ataque.

Las publicaciones futuras hablarán más sobre cómo construir un proceso de ingeniería y evaluación de defensas, incluidas las analíticas, y cómo hacer que un equipo rojo valide cichas defensas.

Más recursos

  • CAR: MITRE’s repository of analytics.
  • EQL: Endgame’s open-source repository of analytics.
  • Sigma: A tool-independent format for analytics, along with a repository of analytics in that format from Florian Roth and Thomas Patzke.
  • ThreatHunter Playbook: A repository of strategies to look for ATT&CK techniques in log data (i.e. not analytics, but a lot of information to help you build analytics) from Roberto Rodriguez.
  • Atomic Red Team: Red Canary’s library of red team tests for your analytics.
  • Detection Lab: A set of scripts to set up a simple lab to test analytics by Chris Long.
  • BOTS: Splunk’s Boss of the SOC dataset, with both background noise and red team attacks.
  • BRAWL Public Game: MITRE’s red team data set.
  • ATT&CK Navigator: A tool to visualize data on the ATT&CK matrix, including analytic coverage.
Continuará...
Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!