28 nov. 2019

Threat Hunting: La Pirámide del Dolor [I]

Basado en "The Pyramid of Pain" originalmente desarrollada por David Bianco

El 18 de febrero, Mandiant publicó su informe sobre APT1 que perfila un grupo comúnmente conocido como Comment Crew. Luego de ese primer documento, siguió una pequeña avalancha de informes de otras entidades como Symantec (y este) y el DHS/FBI. La mayor parte del furor sobre el informe APT1 fue sobre sus hallazgos que sugieren su vínculo con la Unidad 61398 del PLA Chino. Este es un trabajo sólido y un verdadero avance en el área de políticas públicas y entusiasmaba la gran cantidad de información técnica detallada e incluida en los siete apéndices de los informes (sin incluir el apéndice del video).

Sin embargo, después de ver cómo se aplicaban estos indicadores, la realidad era que casi nadie los está usando de manera efectiva.

El objetivo de detectar indicadores es responderlos, y una vez que pueda responderlos lo suficientemente rápido, es bloquear al adversario el uso de esos indicadores. Sin embargo, no todos los indicadores son iguales, y algunos de ellos son mucho más valiosos que otros.

The Pyramid of Pain

Para ilustrar este concepto, David Bianco creó en 2013 lo que bautizó como "La Pirámide del Dolor". Este simple diagrama muestra la relación entre los tipos de indicadores que se pueden utilizar para detectar las actividades de un adversario y cuánto dolor le causará cuando se pueda bloquear esos indicadores. Examinemos este diagrama con más detalle.

Tipos de indicadores

Comencemos simplemente definiendo los tipos de indicadores que componen la pirámide:
  • Valores hash: SHA1, MD5 u otros hashes similares que corresponden a archivos sospechosos o maliciosos específicos. A menudo se usa para proporcionar referencias únicas a muestras específicas de malware o a archivos involucrados en una intrusión.
  • Direcciones IP: es... una dirección IP. O tal vez un netblock.
  • Nombres de dominio: esto podría ser un nombre de dominio en sí mismo (por ejemplo, "evil.net") o tal vez incluso un subdominio comprometido (por ejemplo, "this.is.sooooo.evil.net")
  • Artefactos de red: causas observables ​​por actividades adversas en su red. Técnicamente hablando, cada byte que fluye a través de su red como resultado de la interacción del adversario podría ser un artefacto, pero en la práctica esto significa aquellas partes de la actividad que pueden tender a distinguir la actividad maliciosa de la de los usuarios legítimos. Los ejemplos típicos pueden ser patrones URI, información C2 integrada en protocolos de red, valores distintivos de HTTP User-Agent o SMTP Mailer, etc.
  • Artefactos de host: causas observables ​​por actividades adversas en uno o más de sus hosts. Nuevamente, nos enfocamos en cosas que tenderían a distinguir las actividades maliciosas de las legítimas. Pueden ser claves de registro o valores que se sabe que fueron creados por piezas específicas de malware, archivos o directorios que se colocaron en ciertos lugares o que usan ciertos nombres, servicios maliciosos o casi cualquier otra cosa que sea distintiva.
  • Herramientas: software utilizado por el adversario para cumplir su misión. En su mayoría, serán cosas que traigan consigo, en lugar de software o comandos que ya estén instalados en la computadora. Esto incluiría utilidades diseñadas para crear documentos maliciosos para spearphishing, puertas traseras utilizadas para establecer C2 o descifradores de contraseñas u otras utilidades basadas en host que quieran usar después del compromiso.
  • Tácticas, Técnicas y Procedimientos (TTP): cómo el adversario lleva adelante su misión, desde el reconocimiento hasta la filtración de datos y cada paso intermedio. "Spearphishing" es un TTP común para establecer una presencia en la red. Spearphishing con un archivo PDF troyanizado o... con un enlace a un archivo .SCR malicioso disfrazado como ZIP serían versiones más específicas. Volcar las credenciales de autenticación en caché y reutilizarlas en los ataques Pass-the-Hash sería un TTP. Se debe tener en cuenta que no estamos hablando de herramientas específicas , ya que hay muchas formas de utilizar un PDF como arma o implementar Pass-the-Hash.

La pirámide explicada

Ahora que tenemos una mejor idea de cuáles son cada uno de los tipos de indicadores, echemos un vistazo a la pirámide nuevamente. La parte más ancha de la pirámide es de color azul y verde, y el pináculo de la pirámide es de color rojo. Tanto el ancho como el color son muy importantes para comprender el valor de este tipo de indicadores.

Valores hash

Por un lado, los indicadores hash son el tipo de indicador más preciso que puede esperar. Las probabilidades de que dos archivos diferentes tengan los mismos valores hash son tan bajas que casi puede descartar esta posibilidad por completo. Por otro lado, cualquier cambio en un archivo, incluso uno intrascendente como agregar un valor nulo al final, da como resultado un valor hash completamente diferente y no relacionado. Un hash es muy fácil de cambiar, y hay tantos de ellos, que en muchos casos ni siquiera vale la pena rastrearlos.

También puede encontrar los llamados hashes difusos, que intentan resolver este problema calculando valores hash que tienen en cuenta las similitudes en la entrada. En otras palabras, dos archivos con solo diferencias menores o moderadas tendrían valores hash difusos que son sustancialmente similares, lo que permite al investigador notar una posible relación entre ellos.

Ssdeep es un ejemplo de una herramienta comúnmente utilizada para calcular hashes difusos. Aunque estos todavía son valores hash, probablemente encajen mejor en el nivel de "Herramientas" de la pirámide que aquí, porque son más resistentes al cambio y la manipulación. De hecho, el uso más común para ellos en DFIR es identificar variantes de herramientas conocidas o malware, en un intento de rectificar las deficiencias de más hashes estáticos.

Direcciones IP

Las direcciones IP son literalmente el indicador más fundamental. A falta de poder copiar datos en un disco o USB, es necesario tener una conexión de red de algún tipo para llevar a cabo un ataque, y una conexión significa direcciones IP. Está en la parte más ancha de la pirámide porque hay muchos de ellos. Cualquier adversario razonablemente avanzado puede cambiar las direcciones IP cuando le convenga, con muy poco esfuerzo. En algunos casos, si están utilizando un servicio de proxy anónimo como Tor o algo similar, pueden cambiar las IP con bastante frecuencia. Es por eso que las direcciones IP son verdes en la pirámide: si se bloquea al adversario el uso de una de sus IPs, generalmente puede recuperarse sin esfuerzo.

Nombres de dominio

Un paso más arriba en la pirámide, tenemos nombres de dominio (todavía verdes, pero más claros). Estos son un poco más difíciles de cambiar, porque para poder trabajar, deben estar registrados, pagados (incluso con fondos robados) y alojados en algún lugar. Dicho esto, hay una gran cantidad de proveedores de DNS con estándares de registro laxos (muchos de ellos gratuitos), por lo que en la práctica no es demasiado difícil cambiar los dominios. Sin embargo, los nuevos dominios pueden tardar hasta un día o dos en ser visibles en Internet, por lo que estos son un poco más difíciles de cambiar que solo las direcciones IP.

Artefactos de red y host

Justo en el medio de la pirámide y comenzando a entrar en la zona amarilla, tenemos los artefactos de red y host. Este es el nivel, por fin, donde comienzas a tener un impacto negativo real en el adversario. Cuando se puede detectar y responder a los indicadores de este nivel, se puede lograr que el atacante regrese a su laboratorio y reconfigure y/o recompile sus herramientas.

Un gran ejemplo sería cuando se descubre que la herramienta de reconocimiento HTTP del atacante usa una cadena distintiva de User-Agent. O tal vez simplemente puso su nombr (no se ría, ¡esto pasa!). Si se bloquea cualquier solicitud que presente este User-Agent particular, los obliga a regresar y pasar algún tiempo a: i) averiguar cómo detectó su herramienta de reconocimiento; y ii) solucionarlo. Claro, la solución puede ser trivial, pero al menos tuvieron que hacer un esfuerzo para identificar y superar ese obstáculo.

Herramientas

El siguiente nivel está etiquetado como "Herramientas" y definitivamente es amarillo. En este nivel, estamos eliminando la capacidad del adversario de usar una o más flechas específicas en su carcaj. Lo más probable es que esto suceda porque nos hemos vuelto tan buenos detectando los artefactos de su herramienta de muchas maneras diferentes que se dieron por vencidos y tuvieron que buscar o crear una nueva herramienta para el mismo propósito.

Esta es una gran victoria, porque ahora tienen que invertir tiempo en una nueva investigación (encontrar una herramienta existente que tenga las mismas capacidades), desarrollar o crear una nueva herramienta y averiguar cómo instalar y usar la herramienta.
Si se lleva este comportamiento al extremo lógico: ¿qué sucede cuando se puede hacer esto en una amplia variedad de diferentes TTP del adversario? Les das una de dos opciones: renunciar, o reinventarse desde cero.

Uso efectivo de los indicadores APT1

Ahora que hemos cubierto todo ese trasfondo, finalmente podemos volver nuestra atención a los indicadores de APT1. Ensu momento casi nadie los estaba haciendo uso efectivo de sus indicadores.

Había una larga lista de nombres de dominio incluidos en el Apéndice D (y, en menor medida, los dominios e IP incluidos en los informes de DHS/FBI y Symantec también). Seth Hall del proyecto Bro-IDS incluso lanzó un módulo Bro ordenado que se podía usar para buscar esos dominios en el tráfico de red. Emerging Threats publicó un conjunto de firmas de Snort que cubría estos indicadores.

Todo eso es correcto, pero no hubo mucha discusión centrada en los datos de comportamiento de las propias herramientas de Comment Crew. El Apéndice A es un volcado de datos gigantesco de muy buena información con respecto a los artefactos de host y de red para más de 40 herramientas que usana este grupo.

Quizás las reglas publicadas satisfacían las necesidades de todos y por lo tanto no hubo necesidad de hablar sobre ellas. Sin embargo, lo más probable es que la mayoría de las organizaciones no ha entendido y revisado adecuadamente los informes para detectar sus propios indicadores. Y esto continúa hasta el día de hoy con otras APTs.

Siempre que reciba nueva información sobre un adversario (de cualquier APT), se debe revisar cuidadosamente contra la Pirámide del Dolor. Para cada párrafo, se puede preguntar "¿Hay algo aquí que pueda usar para detectar la actividad del adversario, dónde en la pirámide y cuánto dolor le puede causar al adversario?

Una conclusión clave de la Pirámide del Dolor de Bianco es que los TTP son los indicadores más valiosos. Los TTP reflejan el comportamiento del atacante, y el comportamiento requiere un tiempo significativo y una inversión monetaria. Sin embargo, los TTP también son difíciles de modelar y detectar utilizando herramientas tradicionales. A diferencia de muchos otros indicadores, los TTP son solo reconocibles una vez que alguien ha sido capaz de reconstruir la narrativa de un ataque.

En los próximos posts demostraremos cómo se puede realizar Threat Hunting y el enfoque de análisis de datos vinculados de Sqrrl para modelar y detectar TTP.

Traducción de Segu-Info de The Pyramid of Pain originalmente desarrollada por David Bianco

Fuente: Threat Hunting | Threat Hunting [PDF]

Relacionados

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!