2 dic. 2019

Threat Hunting: descubrimiento de TTP [III]

En la primera parte de esta serie de Threat Hunting, La Pirámide del Dolor, discutimos las seis categorías de Indicadores de Compromiso (IoC) que se pueden utilizar como pilares para estructurar la cacería de amenazas. Luego, en la segunda parte, analizamos los Ciclos de Cacería y los beneficios de usar esos indicadores que se retroalimentan para construir una Defensa Persistente Avanzada (APD).

Esta última parte (basada en este artículo de Threat Hunting), tiene como objetivo proporcionar un ejemplo concreto de cómo el descubrimiento y el mapeo de las Tácticas, Técnicas y Procedimientos (TTP) contribuyen a la fortaleza de una Defensa Persistente Avanzada.

Los TTP de un atacante son las acciones que realizan a medida que avanzan por la Cyber Kill Chain. La construcción de la narrativa de un ataque, desde el reconocimiento hasta la el logro del objetivo, proporciona información procesable en dos áreas.

Primero, mapear los TTP de un atacante puede ser útil para atribuir un ataque a un actor malicioso determinado. Dado que muchos actores emplean las mismas técnicas (o relacionadas) en cada uno de sus ataques, atribuir un ataque a un actor específico ayuda a acelerar la atribución y hacer que la respuesta y remediación sea más efectiva.
 Por ejemplo, cierto grupo de adversarios podría tender a utilizar un tipo específico de ataque de spearphishing como táctica, o emplear siempre un tipo específico de malware como procedimiento. Esto facilita la identificación de su presencia en el futuro cuando estos TTP se identifiquen nuevamente.

En segundo lugar, comprender cada uno de los movimientos del atacante en la cadena facilita a los analistas de seguridad la creación de detecciones para esos TTP, en lugar de tener que responder siempre a los ataques que ya han ocurrido. Aprovechar estos indicadores a medida que los reúne y los retroalimenta en su ecosistema de seguridad es una parte fundamental de la construcción de un defensa avanzada y persistente en el tiempo.

Examinemos un ejemplo de los TTP de un adversario en un ataque:

  • En nuestra empresa de ejemplo, un atacante encuentra a la directora financiera, Jane, a través de LinkedIn y construye un correo electrónico que engaña a Jane para que descargue malware en su computadora portátil.
  • Al acceder a la computadora, el atacante escanea la red en busca de servidores a los que se pueda acceder utilizando las credenciales de Jane.
  • Después de varios intentos fallidos de iniciar sesión en varios sistemas, el atacante se da cuenta de que necesitarán credenciales de mayor nivel para acceder a los servidores que contienen historiales de facturación de los clientes.
  • Usando el acceso a la cuenta de Jane, el atacante instala una pieza de malware que, cuando brinda servicios de TI a su máquina, obtiene el hash de las credenciales de "administrador de TI".
  • Al utilizar el hash de las credenciales de administrador (Pass-the-Hash), el delincuente accede a los servidores críticos y exporta varios miles de historiales de facturación a la computadora de Jane. Esto evita alertas automáticas que indican que los datos se envían desde los servidores a una fuente externa.
  • Una vez que los archivos se han movido a la computadora de Jane, se extraen a un servidor remoto fuera de la red a través de correo electrónico u otras transacciones que podrían adaptarse a su comportamiento habitual.

Entonces, ¿cómo detectamos los TTP?

Por definición, los TTP de un atacante se componen de eventos y herramientas que forman la narrativa del ataque. Por esa razón, detectar un TTP casi siempre requerirá una combinación de sistemas de detección automatizados y analistas humanos. El descubrimiento y la detección de un TTP previamente desconocido siempre comenzará con una búsqueda exploratoria (una búsqueda basada en hipótesis) o un indicador más básico.

En este caso, un analista podría haber sospechado del ataque porque una alerta marcaba una máquina interna que enviaba cierta cantidad de datos a un dominio malicioso conocido. Además, mientras investigaba actividades relacionadas con cuentas VIP, un cazador de amenazas podría haber notado anomalías en el número y la frecuencia de los intentos de inicio de sesión de Jane, desviándose de sus patrones de comportamiento normales. Si los intentos de inicio de sesión de Jane se registran en una combinación de registros de su equipo, la red y la VPN, el mapeo de los TTP necesitaría bucear a través de diferentes conjuntos de datos de seguridad para rastrear diferentes fases de la cadena.

En los modelos basados ​​en registros, cualquier analista que busque amenazas a través del entorno debe consultar manualmente cada conjunto de datos y confiar en los motores de correlación de eventos para notar anomalías. Esto hace que sea muy difícil establecer conexiones entre diferentes conjuntos de datos. Girar a través de más de una o dos capas es muy engorroso, y es difícil hacer un seguimiento de dónde se encuentra y dónde ya ha estado en el proceso.

Sin embargo, en un modelo de datos vinculados, cada entidad está conectada visualmente con otras entidades que se relacionan con ella, lo que proporciona contexto a los cazadores para cada evento, ayuda a rastrear su progreso de investigación y les permite construir fácilmente una imagen de la narrativa del ataque.

En el caso de la computadora portátil comprometida de Jane, el mapeo completo de los TTP de este atacante requerirá que giremos en al menos cuatro conjuntos de datos, incluidos el correo electrónico y los registros de autenticación. Por ejemplo, después de construir una línea de tiempo de registros de eventos de seguridad de Windows, es más fácil identificar comportamientos anómalos, que luego pueden correlacionarse con el perfil de recursos humanos del usuario. Los datos de Netflow de nuestro Firewall vinculados a la información de inicio de sesión muestran que el "Administrador de TI" intentó acceder a un gran subconjunto de máquinas a las que Jane también intentó loguearse.

¿Cómo usamos estos TTP?

Hay una serie de comportamientos sospechosos incrustados en los datos del escenario de ataque anterior. Estos comportamientos ayudan a definir los TTP del atacante. Algunos ejemplos de los observables asociados con estos comportamientos incluyen los siguientes:
  • Una gran cantidad de intentos de inicio de sesión, especialmente un número anómalo que se desvía significativamente de una línea de base histórica establecida.
  • Las máquinas que inician exploraciones a menudo indican un scanning interno de la red.
  • Recibir grandes transferencias de datos.
  • Transferencias de datos desde un servidor a una máquina interna y luego a una máquina externa.
  • La integración de Sqrrl con Apache Spark permite el uso de algoritmos de aprendizaje automático para detectar automáticamente comportamientos maliciosos. Los analistas pueden configurar paneles que correspondan a los comportamientos observables asociados con los TTP. Con la función de reproducción de Sqrrl, los analistas pueden compartir el descubrimiento del TTP con el equipo.
Tras haber mapeado el TTP, los analistas pueden capturar los resultados de su búsqueda como indicadores para facilitar la defensa automatizada. Estas son algunas de las formas en que puede desarrollar su ecosistema de seguridad para que sea más flexible y adaptable, con la cecería como un aspecto central de los esfuerzos de la defensa en ciberseguridad.

Fuente: Threat Hunting

Relacionados

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!