threat hunting - zerolynx4 objetivos •entender qué es el proceso del threat hunting...
Post on 03-Jun-2020
10 Views
Preview:
TRANSCRIPT
Threat Hunting
2
WhoAmI
David Jiménez
• Responsable de Ciberdefensa en Zerolynx
Diego León
• Responsable de Seguridad Ofensiva en Zerolynx
3
WhoAreYou?
4
Objetivos
• Entender qué es el proceso del Threat Hunting
• Familiarizaros con los conceptos relacionados
• Fuentes de datos y herramientas útiles.
• Desplegar una infraestructura Básica HELK + sysmon
• Crear nuestras primeras hipótesis, y lanzar una primera operación de caza.
• Learn and have fun!
5
Topics
Introducción al Threat Hunting
PreHunting
Conceptos de Threat Hunting
Preparando el arco
A la caza! Hands-on
Y ahora qué?
Introducción al Threat Hunting
7
C2C
APT
Social Engineering
Buffer overflow
Kill Chain
IOC
Rootkit
Hypothesis
Sysmon
EDR
SOC
TTPs
Spear Phishing
Event ID 4624
Threat Intelligence
Zero-day exploit
Sigma Rules
Botnet
SIEMNTP Keylogger
Introducción al Threat Hunting
8
Introducción al Threat Hunting
La respuesta a incidentes es un programa formal que prepara a una entidad para un incidente. Lasfases de respuesta a incidentes se pueden describir de la siguiente manera:
9
La respuesta a incidentes es un programa formal que prepara a una entidad para un incidente. Lasfases de respuesta a incidentes se pueden describir de la siguiente manera:
Introducción al Threat Hunting
10
Introducción al Threat Hunting
El Threat Hunting es una actividad de defensa activa,basada en la búsqueda iterativa y proactiva a través dela red, con el fin de detectar y aislar amenazasavanzadas que están evadiendo las soluciones ycontroles de seguridad existentes.
11
El Threat Hunter es un analista de amenazas deciberseguridad que utiliza métodos proactivos paradescubrir incidentes de seguridad que no están siendodetectados.
Introducción al Threat Hunting
12
Microsoft cloud red teaming paper
Threat Hunting
Modelo de compromiso asumido
PreHunting
14
PreHunting: Conoce a tu enemigo
15
Táctica
Acceso Inicial
Técnica
Servicios de acceso remoto
Procedimiento
Acceso al servidor a través de SSH mediante fuerza bruta
El concepto de TTP origina en la doctrina militar, y es acrónimo de Tácticas, Técnicas y Procedimientos, elcual caracteriza el modus operandi de un determinado adversario en el plano cyber, y para ello, describenqué es lo que hace y cómo lo hace.
• Táctica. La forma en que el actor opera, objetivos a alto nivel.
• Técnica. El como se logra nuestro objetivo.
• Procedimiento. El método o modo con el que se logra el objetivo
PreHunting: Conoce a tu enemigo
16
TTP: Permite simular ataques reales
PreHunting: Conoce a tu enemigo
17
Cubre diferentes etapas de la cadena de ataque: Acceso Inicial, Ejecución, Persistencia, Escalada de Privilegios, etc.
PreHunting: Conoce a tu enemigo
19
Utilidades
TTPs
Artefactos red y host
Dominios
Direcciones IP
Hashes • Trivial
• Fácil
• Sencillo
• Molesto
• Exigente
PreHunting: Conoce a tu enemigo
20
Gobierno del dato
https://github.com/hunters-forge/ThreatHunter-Playbook/
https://threathunterplaybook.com/pre-hunt/data_management.html
PreHunting: Fuentes y datos
Conceptos de Threat Hunting
HM0 – Inicial
•Se basa principalmente en alertas automatizadas
•Ninguna o poca recogida de datos
HM1 – Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
22
.Para determinar el nivel de madurez de una organización en Threat Hunting hay que considerar una seriede factores como son:
• La cantidad y calidad de los datos que recopilan.
• De qué manera se pueden visualizar y analizar los diferentes tipos de datos.
• Qué tipo de análisis automatizado se pueden aplicar a los datos para mejorar la información que reciben los analistas.
The Hunting Maturity Model (HMM)
Modelo de madurez en Hunting
23
HM 0 - Inicial
•Se basa principalmente en alertas automatizas
•Ninguna o poca recogida de datos
HM1 - Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
.
The Hunting Maturity Model (HMM)
HM0 – Inicial
• La detección de actividad maliciosa se basa principalmente en sistema de monitorización y alertas como puedenser Antivirus o firewalls.
• La actividad se centra principalmente en la resolución de las alertas.
• Escasa recopilación de datos de los sistemas de TI, por lo que la capacidad para encontrar amenazas de formaproactiva es muy limitada.
Modelo de madurez en Hunting
24
HM 0 - Inicial
•Se basa principalmente en alertas automatizas
•Ninguna o poca recogida de datos
HM1 - Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
.
The Hunting Maturity Model (HMM)
HM1 – Mínimo
• Aunque la detección de actividad maliciosa se sigue basando en las alertas automatizas recibidas delos sistemas de monitorización al menos se realiza una recopilación rutinaria de datos de lossistemas de TI.
• Recopilación de al menos unos pocos tipos de datos de la organización en un repositorio común,como un SIEM o un producto de gestión de logs.
Modelo de madurez en Hunting
25
HM 0 - Inicial
•Se basa principalmente en alertas automatizas
•Ninguna o poca recogida de datos
HM1 - Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
.
The Hunting Maturity Model (HMM)
HM2 – Procedimental
• Recopilación de procedimientos de caza en Internet que a menudo combinan un tipo de dato deentrada esperado con una técnica de análisis específica para descubrir un solo tipo de actividadmaliciosa (por ejemplo, detectar malware mediante la recopilación de los binarios que estánconfigurados para iniciarse automáticamente en los hosts).
• Recopilación de grandes cantidades de datos.
Modelo de madurez en Hunting
26
HM 0 - Inicial
•Se basa principalmente en alertas automatizas
•Ninguna o poca recogida de datos
HM1 - Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
.
The Hunting Maturity Model (HMM)
HM3 – INNOVADOR
• Se disponen de algunos cazadores que entienden una variedad de diferentes tipos de técnicas deanálisis de datos y pueden aplicarlas para identificar actividades maliciosas. En lugar de depender deprocedimientos desarrollados por otros (como en HM2), estas organizaciones suelen ser las quecrean y publican procedimientos.
• Recopilación de gran cantidad de datos y de alta calidad.
Modelo de madurez en Hunting
27
HM 0 - Inicial
•Se basa principalmente en alertas automatizas
•Ninguna o poca recogida de datos
HM1 - Mínimo
•Búsquedas mediante Threat Intelligence
•Nivel moderado o alto de recogida de datos
HM2 –Procedimental
•Procedimientos de análisis de datos creados por terceros
•Nivel alto o muy alto de recopilación de datos
HM3 – Innovador
•Creación de nuevos procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
HM4 – Líder
•Automatización de la mayoría de los procedimientos de análisis de datos
•Nivel alto o muy alto de recopilación de datos
.
The Hunting Maturity Model (HMM)
HM4 – LÍDER
• En esencia es lo mismo que la fase HM3, con una diferencia importante: la automatización
• El alto nivel de automatización permite concentrar los esfuerzos en crear nuevos procesos de caza, loque resulta en una mejora continua en la capacidad de detección de amenazas.
Modelo de madurez en Hunting
28
Modelo Organizativo
SOC
Defensa
Respuesta a Incidentes
Análisis de Malware
Threat Hunting
CSIRT
29
Modelo Organizativo
SOC
30
Modelo Organizativo
Defensa
FirewallsProxy
Segmentación de RedesGestión de Parches
Concienciación
31
Modelo Organizativo
Respuesta a Incidentes
Herramientas de análisis forenseGestión de Logs
32
Modelo Organizativo
Análisis de Malware
Ingeniería InversaSandbox
Bases de Datos de Malware
33
Modelo Organizativo
Threat Hunting
Open Source Threat IntelligenceSoluciones Comerciales
Feeds de PagoComunidad
34
Proceso
ThreatHuntingResearch
ThreatHunting
Operations
IncidentResponse
Inteligencia
35
Proceso
Ciclo de cacería
Crear una hipótesis.
Investigar a través de
herramientas y técnicas
Descubrir nuevos
patrones TTPs
Informar y enriquecer los
análisis
36
Proceso
Hunting
Threat Loop
Crear una hipótesis
Investigar
a través de
herramientas
y técnicas
Descubrir
nuevos
patrones
TTPs
Informar y
enriquecer
los análisis
Toda cacería comienza con la creación de una hipótesis sobre algúntipo de actividad que podría estar ocurriendo en la organización.Ejemplos:
• Los usuarios que han viajado recientemente al extranjerotienen un riesgo elevado de ser objetivo de actores maliciosospatrocinados por el estado, por lo que puede ser interesantebuscar indicadores de compromiso en sus portátiles oasumiendo que sus cuentas han sido comprometidas para serutilizadas en la red.
• Búsqueda de movimientos laterales dentro la red mediantetécnicas de Pass the Hash (Método de autenticación sinnecesidad de conocer la contraseña, solo se necesita el hash)
37
Proceso
Hunting
Threat Loop
Crear una hipótesis
Investigar
a través de
herramientas
y técnicas
Descubrir
nuevos
patrones
TTPs
Informar y
enriquecer
los análisis
En segundo lugar, las hipótesis se investigan a partir de diversasfuentes y técnicas:
Fuentes como:
• Alertas de usuarios
• Informes de amenazas externos e internos
• Todo tipo de Logs: firewalls, IDS, aplicaciones, proxies,bases de datos de malware, etc.
Técnicas como :
• Búsqueda
• Clustering
• Grouping
• Stack Counting
38
Proceso
Hunting
Threat Loop
Crear una hipótesis
Investigar
a través de
herramientas
y técnicas
Descubrir
nuevos
patrones
TTPs
Informar y
enriquecer
los análisis
Las herramientas y técnicas descubren nuevos patrones maliciosos decomportamiento y TTPs
Esta es una parte crítica del ciclo de caza. Un ejemplo de este procesopodría ser:
• Una investigación previa reveló que una cuenta de usuario seestaba comportando de manera anómala, y que la cuentageneraba una gran cantidad de tráfico saliente.
• Después de realizar esta investigación, se descubre que lacuenta del usuario se vio comprometida inicialmente a travésde un exploit dirigido a un proveedor de servicios externo de laorganización.
• Este TTP (compromiso inicial a través de un sistema de terceros a través de un tipo particular demalware) debe registrarse, compartirse (tanto interna como externamente) y rastrearse dentro delcontexto de una campaña de ataque mayor.
39
Proceso
Hunting
Threat Loop
Crear una hipótesis
Investigar
a través de
herramientas
y técnicas
Descubrir
nuevos
patrones
TTPs
Informar y
enriquecer
los análisis
Por último, las búsquedas exitosas forman la base para informar yenriquecer el análisis automatizados.
No hay que perder el tiempo del equipo de hunting haciendo lasmismas cacerías una y otra vez.
Una vez que encuentre una técnica que funcione para encontraramenazas, hay que automatizarla mediante su análisis para que suequipo pueda continuar concentrándose en la próxima nueva cacería.
Las automatizaciones se pueden realizar mediante herramientas comoHELK o SOF-ELK
40
Proceso
• Hacer una pregunta
• Investigar
• Preparar hipótesis
Preparar
• Experimentar
• Funciona? Sí/No/Mejorable
• Afinar y automatizar
Buscar
• Analizar y sacar conclusiones
• Comunicar resultados
• Aprender para futuras búsquedas
Comunicar
41
Matriz de caza
El ciclo de la caza se compone de cuatro pasos y esta sehace más efectiva cuando estos cuatro pasos se llevan acabo de manera iterativa.
Las organizaciones en diferentes niveles del modelo demadurez de caza ejecutarán los pasos del ciclo de caza devarias maneras.
La matriz de caza combina los cuatro pasos del ciclo decaza y las cinco fases del modelo de madurez junto a lacapacidad de recolectar datos
42
Matriz de caza
Ampliar la madurez en la capacidad de caza a través del ciclo de caza depende de ciertos puntos clave atener en cuenta.
• La creación de hipótesis maduras depende de la elaboración de preguntas cada vez más dinámicas yde pasar de la creación manual a la generación automática de hipótesis.
• La madurez de las herramientas y técnicas utilizadas para dar seguimiento a las hipótesis depende depasar de usar búsquedas simples e histogramas a usar herramientas con visualizaciones avanzadas ycapacidades de búsqueda grafica.
• La madurez de los patrones y la detección de TTPs depende de la cantidad de los tipos deindicadores de compromiso (IoC) que se pueden recopilar en base a la pirámide del dolor. Estoimplica pasar de la colección de IoC simples como IP maliciosas a tareas más complejas como elseguimiento de TTP adversarios.
• La madurez en el análisis y la automatización dependen de pasar de realizar un proceso manual a unproceso automatizado donde aquellas cacerías repetitivas se encuentra automatizadas.
Preparando el arco
Comandos Windows
45
Discovery en Windows
Comandos de Windows útiles para Discovery
Muestra información de configuración detallada sobre un equipo y su sistema operativo, incluida laconfiguración del sistema operativo, la información de seguridad, el ID. de producto y las propiedades dehardware, los nombre de todos los registros..
• systeminfo
Muestra información acerca de las sesiones de usuario en un servidor host
• query user
Mostrar las propiedades del equipo
• net config workstation
• net config server
Mostar nombre del equipo
• hostname
46
Muestra el nombre del dominio al que pertenecemos
• net view /domain
Listado de los usuarios que pertenecen a un grupo
• net group "domain computers" /domain
• net group "domain admins" /domain
• net group "enterprise admins" /domain
• net group "Admins. del dominio" /domain
Listado de las cuentas de usuario local
• net user
Listado de grupos locales
• net localgroup
Discovery en Windows
47
Listado de usuarios de pertenecen al grupo administradores locales
• net localgroup administradores
• net localgroup administrators
Configuración de red
• ipconfig /all
Listado de las tablas de enrutamiento de red
• route print
Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que utiliza el protocolo deresolución de direcciones (ARP).
• arp -a
Muestra estadísticas de protocolo y conexiones de red de TCP/IP actuales.
• netstat -ano
Discovery en Windows
48
Muestra la configuración del firewall de windows
• netsh firewall show state
• netsh advfirewall show allprofiles
Habilita a un administrador a crear, eliminar, consultar, cambiar, ejecutar y terminar tareas programadas enun sistema local o remoto.
• schtasks /query /fo LIST /v
Muestra los servicios hospedados en cada proceso.
• Tasklist
• tasklist /svc
Listado de los controladores de dispositivo.
• driverquery
Discovery en Windows
49
Claves de registro
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
• HKLM\Software\Microsoft\SharedTools\MSConfig\startupreg
Discovery en Windows
Event Viewer
51
Visor de eventos de Windows
C:\windows\system32\eventvwr.exe
52
El visor de eventos de Windows, esta dividido en varios registros donde los principales son:
• En el registro de Aplicación se almacenan todos los eventos relacionados con el funcionamiento delos programas instalados del equipo.
• En el registro de Seguridad se almacenan los eventos relacionados con la protección del equipo,como por ejemplo, todos los intentos de inicio de sesión , válidos y no válidos.
• En el registro Instalación se almacenan todos los eventos relacionados con las instalaciones de losprogramas en el sistema operativo.
• En el registro del Sistema se almacenan los eventos relacionados directamente con el sistemaoperativo.
Se encuentran en el siguiente directorio:
• %SystemRoot%\System32\Winevt\Logs\
Visor de eventos de Windows
53
Eve
nto
s cr
ític
os
a m
on
ito
riza
r
4624 – Se ha iniciado sesión correctamente con una cuenta
4625 – No se pudo iniciar sesión con una cuenta
4648 – Se intentó iniciar sesión con credenciales explícitas
Inicios de sesión
4697 – Se instaló un servicio en el sistema
Servicios de Windows
4657 – Se modificó un valor de registro
Registro de Windows
4704 – Se asignó un derecho de usuario.
4705 – Se quitó un derecho de usuario.
Asignaciones de derechos de usuario
4717 – Se concedió acceso de seguridad del sistema a una cuenta.
4718 – Se quitó el acceso de seguridad del sistema a una cuenta
Cambios en los derechos de acceso
4719 – Se ha modificado la directiva de de auditoria del sistema.
Cambios en la política de auditoría
Visor de eventos de Windows
54
4720 – Se creo una cuenta de usuario.
4722 – Se habilito una cuenta de usuario.
4723 – Se intentó cambiar la contraseña de una cuenta de usuario.
4724 – Se intentó restablecer la contraseña de una cuenta de usuario.
4725 – Se deshabilitó una cuenta de usuario.
4726 – Se eliminó una cuenta de usuario.
4738 – Se modificó una cuenta de usuario.
4740 – Se bloqueó una cuenta de usuario.
4767 – Se desbloqueó una cuenta de usuario.
4781 – Se modificó el nombre de una cuenta.
Cambios en la cuenta de usuario local
4798 – Se enumeró la pertenencia a grupos locales de un usuario.
4799 – Se enumeró la pertenencia a grupos locales con seguridad habilitada.
Enumeración de una cuenta local
4731 – Se creó un grupo local con seguridad habilitada
4732 – Se agregó un miembro a un grupo local con seguridad habilitada
4733 – Se eliminó un miembro de un grupo local con seguridad habilitada
4734 – Se eliminó un grupo local con seguridad habilitada
4735 – Se modificó un grupo local con seguridad habilitada
Cambios en la pertenencia a un grupo local
Visor de eventos de Windows
Eve
nto
s cr
ític
os
a m
on
ito
riza
r
55
4946 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Una regla fue agregada
4947 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Se modificó una regla.
4948 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla.
Cambios en las políticas de Firewall
5140 – Se obtuvo acceso a un objeto de recurso compartido de red
5142 – Se agregó un objeto de recurso compartido de red.
5143 – Se modificó un objeto de recurso compartido de red.
5144 – Se eliminó un objeto de recurso compartido de red.
Recursos compartidos
Visor de eventos de Windows
Eve
nto
s cr
ític
os
a m
on
ito
riza
r
56
Wevtutil permite recuperar información acerca de los registros de eventos. También puede se puede utilizar estepara instalar y desinstalar los manifiestos de eventos, ejecutar consultas, y exportar, archivar y borrar registros.
• Mostar los nombre de todos los registros
• wevtutil el
• Mostrar la información de configuración del registro especificado, esto incluye si el registro está habilitadoo no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena elregistro.
• wevtutil gl system /f:text
• wevtutil gl application /f:xml
• Modificar el tamaño máximo del eventlog
• wevtutil.exe sl <nombre del log> /ms:<tamaño>
• wevtutil.exe sl System /ms:2097152
Visor de eventos de Windows
57
• Muestra los publicadores de eventos en el equipo local.
• wevtutil ep
• Muestra la información de configuración para el publicador de eventos especificado.
• wevtutil gp Microsoft-Windows-Audit /ge:true /gm:true
• Mostrar el estado del registro de la aplicación
• wevtutil gli Application
• Exportar eventos del registro del sistema a c:\log\system2510.evtx
• wevtutil epl System C:\log\system2510.evtx
• Borrar todos los eventos del registro de aplicaciones después de guardarlos en C:\log\app2510.evtx
• wevtutil cl Application /bu:C:\log\app2510.evtx
Visor de eventos de Windows
Sysmon
59
¿Qué es Sysmon?
System Monitor, (Sysmon), es un servicio del sistema de Windows y un controlador de dispositivo que,permite supervisar y registrar la actividad del sistema en el registro de eventos de Windows. Proporcionainformación detallada sobre:
• Creación de procesos
• Conexiones de red
• Cambios en el tiempo de creación de los ficheros
Requisitos:
• Cliente: A partir de Windows 7
• Servidor: A partir de Windows Server 2008 R2
60
Capacidades de Sysmon
Sysmon dispone de la siguientes capacidades
• Registra la creación de procesos mostrando la línea de comando completa para los procesos actualesy principales.
• Registra el hash de los ficheros de los procesos utilizando SHA1 (predeterminado), MD5, SHA256 oIMPHASH.
• Se pueden usar múltiples hashes al mismo tiempo.
• Añade un GUID de proceso en el proceso de creación de los eventos para permitir la correlaciónincluso cuando Windows reutiliza los ID
• Añade un GUID de sesión para cada evento con el objetivo de permitir la correlación de eventos enel mismo inicio de sesión.
• Registra la carga de controladores o archivos DLL con sus firmas y hashes.
• Registra la apertura de accesos en bruto de lectura de discos y volúmenes
61
Capacidades de Sysmon
• Opcionalmente, permite registrar las conexiones de red, incluido el proceso de origen de cadaconexión, las direcciones IP, los puertos, los nombres de host y puerto.
• Detecta cambios en el tiempo de creación de archivos para comprender cuándo se creó realmenteun archivo. La modificación del timestamp en la creación de archivos es una técnica muy utilizadapor el malware para no ser detectados.
• Recargar de forma automática la configuración si es necesario
• Permite reglas de filtrado para incluir o excluir eventos de forma dinámica
• Capacidad de generar eventos desde el inicio en el proceso de arranque para capturar la actividadrealizada incluso por el malware avanzado incluso en modo kernel.
62
Eventos de SysmonID Tag
1 ProcessCreate Process Create
2 FileCreateTime File creation time
3 NetworkConnect Network connection detected
4 n/a Sysmon service state change (cannot be filtered)
5 ProcessTerminate Process terminated
6 DriverLoad Driver Loaded
7 ImageLoad Image loaded
8 CreateRemoteThread CreateRemoteThread detected
9 RawAccessRead RawAccessRead detected
10 ProcessAccess Process accessed
11 FileCreate File created
12 RegistryEvent Registry object added or deleted
13 RegistryEvent Registry value set
14 RegistryEvent Registry object renamed
15 FileCreateStreamHash File stream created
16 n/a Sysmon configuration change (cannot be filtered)
17 PipeEvent Named pipe created
18 PipeEvent Named pipe connected
19 WmiEvent WMI filter
20 WmiEvent WMI consumer
21 WmiEvent WMI consumer filter
22 DNSQuery DNS query
63
Instalación de Sysmon
Instalación de sysmon
• Instalación por defecto (Hash SHA1 and no monitoriza la red).
• sysmon -accepteula -i
• Instalación utiliznado como hash md5 y sha256 con monitorización de red.
• sysmon -accepteula -i -h md5,sha256 –n
• Instalación mediante un fichero de configuración.
• sysmon -accepteula -i c:\windows\config.xml
• Desinstalación.
• sysmon –u
• Mostar la configuración actual.
• sysmon -c
64
• Cambiar la configuración actual para usar todo los hashes, sin montorización de red y monitorizando las DLLs del proceso LSASS.
• sysmon -c -h * -l lsass.exe
• Cambiar la configuración de sysmon mediante un fichero de configuración.
• sysmon -c c:\windows\config.xml
• Cambiar a la configuración por defecto.
• sysmon -c --
• Mostrar el esquema de configuración.
• sysmon -s
Ficheros de configuración:
• https://github.com/olafhartong/sysmon-modular
Instalación de Sysmon
A la caza!
Hands-on
Hipótesis
67
Nuestra primera hipótesis
Uno de los primeros objetivos a conseguir por parte de un atacante es la escalada deprivilegios dentro de la organización. Un usuario administrador local permite accedera determinadas funciones de Windows útiles para continuar con el proceso deexplotación, funciones que no son accesibles en caso de disponer de un usuariolimitado.
Actualmente no contamos con ningún mecanismo de monitorización de cuentaslocales en los equipos de nuestra compañía.
¿Podemos detectar cualquier intento de creación de usuarios administradores en un equipo local?
68
Segunda hipótesis
Las herramientas antivirus sirven como primer línea de defensa, pero no soninfalibles. Un atacante dedicado puede modificar con éxito prácticamente cualquierejecutable conocido, o generar muestras propias, con el objetivo de evadir nuestrosmotores antivirus.
Analizando nuestras fuentes de inteligencia, llegamos a la conclusión de que una delas principales técnicas utilizadas por los atacantes para comprometer unaorganización es el Credential Dumping (T1003). Una de las formas más habituales deextraer credenciales del sistema es mediante la inyección en el proceso lsass.exe deWindows.
Existen numerosas técnicas que permiten extraer información del proceso lsass.exe, ypuede que no hayan sido detectadas anteriormente en nuestra organización:mimikatz, procdump, task manager, process explorer.
¿Las detectamos correctamente?
69
Tercera hipótesis
En numerosos casos la principal vía de entrada para los atacantes suele ser laingeniería social. En multitud de escenarios, se ha abusado de las macros quelegítimamente permite ejecutar la suite de Microsoft Office.
A través de macros maliciosas es posible hacer que Office ejecute comandos desistema, como por ejemplo powershell, que permiten infectar un equipo de usuario.
¿Se ha producido un ataque de este tipo en nuestra compañía?
HELK
71
HELK
HELK es una de las primeras plataformas de código abierto con capacidades analíticas avanzadas, como lenguajeSQL, gráficos, transmisión estructurada e incluso aprendizaje automático a través de cuadernos Jupyter y ApacheSpark sobre la pila ELK. Este proyecto fue desarrollado principalmente para investigación, pero debido a su diseñoflexible y componentes centrales, puede implementarse en entornos más grandes con las configuracionescorrectas y la infraestructura escalable
72
HELK
• Kafka: Plataforma unificada, de alto rendimiento y de baja latencia para la manipulación en tiempo realde fuentes de datos.
• Elasticsearch: Motor de análisis y búsqueda de texto de código abierto altamente escalable.
• Logstash: Motor de recopilación de datos con capacidades de canalización en tiempo real.
• Kibana: Plataforma de análisis y visualización de código abierto diseñada para trabajar con Elasticsearch.
• ES-Hadoop: interfaz para hacer búsquedas en ElasticSearch
• Spark: es un framework de computación en clúster open-source.
• GraphFrames: Un paquete para Apache Spark que proporciona gráficos basados en DataFrame
73
HELK
• Jupyter Notebook: una aplicación web de código abierto que le permite crear y compartir documentosque contienen código en vivo, ecuaciones, visualizaciones y texto narrativo.
• KSQL: Confluent KSQL es el motor de código abierto de transmisión de SQL que permite elprocesamiento de datos en tiempo real contra Apache Kafka®. Proporciona una interfaz SQL interactivafácil de usar pero potente para el procesamiento de flujo en Kafka, sin la necesidad de escribir código enun lenguaje de programación como Java o Python.
• Elastalert Framework de gestión de alertas sobre anomalías, picos u otros patrones de interés de losdatos en Elasticsearch.
• Sigma: Sigma es un formato de firma genérico y abierto que le permite describir eventos de registrorelevantes de manera directa.
Practicas con HELK
If there's somethin' strange in your network-hood
Who you gonna call?@ZerolynxOficial
@Leon_Krav@djimenzco@fluproject
75
top related