iocs defensa colaborativa frente amenazas avanzadas

IOCs: Defensa

Colaborativa frente

Amenazas Avanzadas

David Pérez Comendador

[email protected]

@perez_1987

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2

Índice

1. Datos sobre el CiberCrimen en

2015

2. Servicios del CiberCrimen

3. Casos conocidos del CiberCrimen

en 2015

4. ¿Cómo podemos combatir ante el

CiberCrimen organizado?


1. Datos sobre el CiberCrimen en 2015


Datos Víctimas del

CyberCrimen en 2015

431 MILLONES

Víctimas del CiberCrimen

(69 % ADULTOS)

+1 MILLON / DIA

50000 / HORA

820 / MINUTO

15 VICTIMAS POR

SEGUNDO!!!!!!

Fuente: Microsoft


2. Servicios del CiberCrimen


El servicio del

CiberCrimen• Infraestructura

• Datos

• Pago por instalación

• Hacking

• Traducción

• Lavado de dinero


3. Casos conocidos del CiberCrimen en

2015


Casos del CiberCrimen

conocidos en 2015:

Anthem en febrero reconoció un robo

de datos de 80 millones de clientes por

un ataque con un coste aprox 100

millones de $

AdultFriendFinder en marzo sufrió el

robo de los datos de clientes. Los

atacantes ofrecieron 70 bitcoint s

(17000 $) por la BBDD. Fue publicada.

En febrero una comisaría de Illinois

pagó 500 $ por recuperar la info de uno

de sus ataques

Fuente: Informe PandaLabs 2015.

http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf

http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf


4. ¿Cómo podemos combatir ante el

CiberCrimen organizado?


Fuente: IBM


¿Cómo podemos combatir ante el ciber

crimen organizado?


¿De qué manera podemos compartir

información?

“IOC es la descripción de un

incidente de ciberseguridad,

actividad y/o artefacto malicioso

mediante patrones para ser

identificado en una red o endpoint

pudiendo mejorar así las

capacidades ante la gestión de

incidentes.”


¿Cómo y dónde podemos generar y/o

compartir IOCs?

• ¿Dónde?:

• ¿Cómo?:


Representa un lenguaje para la

especificación, la captura, la

caracterización y comunicación de

información estandarizada amenaza

cibernética de una manera estructurada

para apoyar los procesos de gestión de

amenaza cibernética más eficaces y

aplicación de automatización, soportado

por OASIS


¿Qué caracterizamos con cada tipo de objeto?

Fuente: stix.mitre.org


Ejemplos:

+90 Tipos (Ficheros, IPs, E-mails, Claves de Registro)

IP: 192,168,1,1

Hash: a98079807649123..

Fichero: FileName prueba_malware.exe

Descripción de algo que se pueda ver

El md5 a98079807649123… es un MW del tipo Kido

Email desde [email protected] es phishing

Información acerca de una investigación de un incidente de ciberseguridad

El equipo PANDA-DAVID, propietario David Pérez, está infectado por el MW Kido

Tácticas, técnicas y procedimientos: Descripción del comportamiento y los recursos utilizados por el atacante, incluyendo el MW, patrones, infraestructura, herramientas, personajes o localización

El Malware Kiko ha accedido mediante SQL Injection atacando al departamento de Retail conectándose a la IP 1.2.3.4

Describen vulnerabilidades u errores de configuración. Se pueden describir CVE, CCE, CWE.

CVE-2014-0160 Heartbleed

Describe un patrón de actividad en curso con un propósito u objetivo común

Campaña contra la banca

Información sobre amenazas y/o individuos que ejecutan ataques.

Anonymous, KDZ-23, APT

También se puede incluir información adicional como la nacionalidad

Respuestas preventivas o reactivos a la actividad de amenazas

Instalar el KB-343432 o limpiar la cache o eliminar la entrada de registro X

mailto:[email protected]


Arquitectura:



Casos de uso: 1. Analizar Ciber amenazas

2. Especificación de Patrones de los

indicadores de Ciber Amenazas

3. La gestión de incidentes de ciber

seguridad:

1. Prevención

2. Detección

3. Respuesta

4. Compartición de ciber amenazas


Caso práctico de caracterización de un incidente

de ciber seguridad

(Locky: Primera Campaña)Fuente: Panda Security

Un usuario en una empresa española recibió un correo con un fichero adjunto:


El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker

(Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió

el notepad con el siguiente texto:

Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su

desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la

recopilación de evidencias, respuesta y prevención.


Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de

compromiso:

IOCs en Email:

Subject: ATTN: Invoice J-62163564

Sender: [email protected]

Filename: invoice_J-62163564.doc

SENDER SUBJECT FILENAME

OBJECT

O E-MAIL


IOCs en Disco:

El dropper se descarga un fichero dentro de la carpeta temporal:

Filename: c:\Users\<username>\AppData\Local\Temp\[A-Z]{10}.exe

El fichero con la información para desencriptar los ficheros:

Filename: _Locky_recover_instructions.txt

MD5 del fichero descargado (Generado de forma aleatoria)

Hash: d10a376572a1b107fa4157009223edb1

Claves de registro creadas:

Registry keys:

HKEY_USERS\Software\Locky\"completed"

HKEY_USERS\Software\Locky\"paytext"

HKEY_USERS\Software\Locky\"id"

HKEY_USERS\Software\Locky\"pubkey“

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Locky"

REGISTR

YFILENAME

OBJECT

O FILE

HASH


IOCs de Red:

El dropper se intenta descargar desde varias URLs:

Value:

www.iglobali.com/34gf5y/r34f3345g.exe

www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe

www.villaggio.airwave.at/34gf5y/r34f3345g.exe

VALUE

OBJECT

O URI


Si hacemos una primera relación de IOCs:Campaña Locky

IOCs Ficheros IOCs Red IOCs Email

TTP Relacionado TTP RelacionadoTTP Relacionado

Variante de

Víctimas

Ataque Usado

Usa el Malware

Cryptolocker

Locky

SPAM

Víctimas en ES

Contiene


PR: Prevención y RespuestaPreventiva:

• Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y

de Email

• Búsqueda en los endpoints del parque de los IOCs de ficheros que ha

podido crear el MW (Entradas de Registro, Nombres de fichero,

Hash..)

• Detección y bloqueo de procesos que intenten borrar las copias de

seguridad del sistema

• Búsqueda en los sistemas perimetrales de más equipos que hayan

podido recibir más emails o se hayan conectado a las URLs

relacionadas con el malware dentro del parque.

Recovery:

Debido al cifrado de los ficheros encriptados la única solución sería

acceder al pago y seguir las instrucciones del notepad

20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29

Si conectamos las COAs:Campaña Locky

IOCs Ficheros IOCs Red IOCs Email

TTP Relacionado TTP RelacionadoTTP Relacionado

Variante de

Víctimas

Ataque Usado

Usa el Malware

Cryptolocker

Locky

SPAM

Víctimas en

ES

COAs

Sugeridas


Más info:

Página oficial: http://stix.mitre.org

(Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear

perfiles de compartición, comunidades..)

Github: https://github.com/STIXProject/

Cualquier duda: [email protected]

http://stix.mitre.org/

https://github.com/STIXProject/

mailto:[email protected]

David Pérez Comendador

[email protected]

@perez_1987

iocs defensa colaborativa frente amenazas avanzadas

Documents