Cubrimos el concepto de la pirámide del dolor utilizado en la respuesta a incidentes y la búsqueda de amenazas, que cubre los artefactos de las herramientas y técnicas del atacante y qué tan fácil/difícil es cambiarlos para evitar la detección por parte de los analistas. También cubrimos y explicamos qué representa cada capa de la pirámide como artefacto durante la etapa de un ciberataque. Esto fue parte de TryHackMe La Pirámide del dolor.

Obtenga notas del certificado COMPTIA Security+

El curso completo y práctico de pruebas de penetración de aplicaciones web

Descripción del desafío

Aprenda qué es la Pirámide del Dolor y cómo utilizar este modelo para determinar el nivel de dificultad que causará que un adversario cambie los indicadores asociados con ellos y su campaña.

Vídeos destacados

Los profesionales de seguridad suelen utilizar los valores hash para obtener información sobre una muestra de malware específica, un archivo malicioso o sospechoso, y como una forma de identificar y hacer referencia de forma única al artefacto malicioso.

Probablemente haya leído informes de ransomware en el pasado, donde los investigadores de seguridad proporcionaban los hashes relacionados con los archivos maliciosos o sospechosos utilizados al final del informe. Puedes consultar El informe DFIR y Blogs de investigación de amenazas de FireEye si estás interesado en ver un ejemplo.

En la Pirámide del Dolor, las direcciones IP se indican con el color verde. Quizás te preguntes por qué y con qué puedes asociar el color verde.

Desde el punto de vista de la defensa, el conocimiento de las direcciones IP que utiliza un adversario puede resultar valioso. Una táctica de defensa común es bloquear, descartar o denegar solicitudes entrantes de direcciones IP en su parámetro o firewall externo. Esta táctica a menudo no es infalible, ya que es trivial para un adversario experimentado recuperarse simplemente usando una nueva dirección IP pública.

Una de las formas en que un adversario puede dificultar la realización exitosa del bloqueo de IP es mediante el uso Flujo rápido.

De acuerdo a akamai, Fast Flux es un DNS Técnica utilizada por las botnets para ocultar actividades de phishing, proxy web, entrega de malware y comunicación de malware detrás de hosts comprometidos que actúan como proxy. El propósito de utilizar la red Fast Flux es hacer que la comunicación entre el malware y su servidor de comando y control (C&C) sea difícil de descubrir para los profesionales de la seguridad.

Los nombres de dominio pueden ser un poco más complicados de cambiar para el atacante, ya que lo más probable es que necesite comprar el dominio, registrarlo y modificarlo. DNS registros. Desafortunadamente para los defensores, muchos proveedores de DNS tienen estándares poco estrictos y proporcionan API para que al atacante le resulte aún más fácil cambiar el dominio.

Los atacantes suelen ocultar los dominios maliciosos bajo Acortadores de URL. Un acortador de URL es una herramienta que crea una URL corta y única que redireccionará al sitio web específico especificado durante el paso inicial de configuración del enlace del acortador de URL.

Los artefactos del host son los rastros u observables que los atacantes dejan en el sistema, como valores de registro, ejecución de procesos sospechosos, patrones de ataque o IOC (indicadores de compromiso), archivos arrojados por aplicaciones maliciosas o cualquier cosa exclusiva de la amenaza actual.

Los artefactos de red también pertenecen a la zona amarilla de la Pirámide del Dolor. Esto significa que si puede detectar y responder a la amenaza, el atacante necesitaría más tiempo para regresar y cambiar sus tácticas o modificar las herramientas, lo que le da más tiempo para responder y detectar las próximas amenazas o remediar las existentes.

Un artefacto de red puede ser una cadena de agente de usuario, C2 información o patrones de URI seguidos por las solicitudes HTTP POST. Un atacante podría utilizar una cadena de agente de usuario que no se haya observado antes en su entorno o que parezca fuera de lo común. El User-Agent está definido por RFC2616 como el campo de encabezado de solicitud que contiene la información sobre el agente de usuario que origina la solicitud.

Los artefactos de red se pueden detectar en los PCAP de Wireshark (archivo que contiene los datos del paquete de una red) mediante el uso de un analizador de protocolos de red como tiburón o explorando identificación (Sistema de detección de intrusiones) registrando desde una fuente como Bufido.

Bazar de malware mal compartir son buenos recursos para brindarle acceso a muestras, fuentes maliciosas y resultados de YARA; todos estos pueden ser muy útiles cuando se trata de búsqueda de amenazas y respuesta a incidentes.

Para las reglas de detección, Mercado de detección de amenazas de SOC Prime es una gran plataforma, donde los profesionales de la seguridad comparten sus reglas de detección para diferentes tipos de amenazas, incluidos los CVE más recientes que los adversarios están explotando en la naturaleza.

El hashing difuso también es un arma potente contra las herramientas del atacante. El hash difuso le ayuda a realizar análisis de similitud: haga coincidir dos archivos con diferencias menores según los valores de hash difusos. Uno de los ejemplos de hash difuso es el uso de SSDprofundo; En el sitio web oficial de SSDeep, también puede encontrar la explicación completa del hashing difuso.

TTP significa Tácticas, Técnicas y Procedimientos. Esto incluye todo INGLETE Matriz ATT&CK, que significa todos los pasos dados por un adversario para lograr su objetivo, desde los intentos de phishing hasta la persistencia y la exfiltración de datos.

Si puedes detectar y responder a los TTP rápidamente, no dejarás a los adversarios casi ninguna posibilidad de contraatacar. Por ejemplo, si pudieras detectar un Pasar el hash Si ataca utilizando la supervisión del registro de eventos de Windows y lo soluciona, podrá encontrar el host comprometido muy rápidamente y detener el movimiento lateral dentro de su red. En este punto, el atacante tendría dos opciones:

  1. Regresar, investigar y capacitarse más, reconfigurar sus herramientas personalizadas
  2. Ríndete y encuentra otro objetivo.

La opción 2 definitivamente parece consumir menos tiempo y recursos.

Respuestas de la habitación

Analizar el informe asociado al hash “b8ef959a9176aef07fdca8705254a163b50b49a17217a4ff0107487f59d4a35d” aquí. ¿Cuál es el nombre de archivo de la muestra?
Lea lo siguiente informe para responder a esta pregunta. Cuál es el primera dirección IP el proceso malicioso (PID 1632) intenta comunicarse con?
Lea lo siguiente informe para responder a esta pregunta. Cuál es el primer nombre de dominio el proceso malicioso ((PID 1632) intenta comunicarse con?
Ir a este informe en app.any.run y proporcionar el primero sospechoso Solicitud de URL que está viendo; utilizará este informe para responder las preguntas restantes de esta tarea.

¿Qué término se refiere a una dirección utilizada para acceder a sitios web?

¿Qué tipo de ataque utiliza caracteres Unicode en el nombre de dominio para imitar un dominio conocido?

Proporcione el sitio web redirigido para la URL acortada mediante una vista previa: https://tinyurl.com/bw7t8p4u

Un proveedor de seguridad analizó la muestra maliciosa por nosotros. Revisar el informe aquí para responder las siguientes preguntas.

Un proceso llamado regidle.exe realiza una solicitud POST a una dirección IP en puerto 8080. ¿Cuál es la dirección IP?

El actor suelta un ejecutable malicioso (EXE). ¿Cómo se llama este ejecutable?

Mira este informe por Virustotal. ¿Cuántos proveedores determinan que este host es malicioso?

¿Qué navegador utiliza la cadena User-Agent que se muestra en la captura de pantalla anterior?

¿Cuántas solicitudes POST hay en la captura de pantalla del archivo pcap?

Proporcionar el método utilizado para determinar la similitud entre los archivos.

Proporcione el nombre alternativo para hashes difusos sin la abreviatura

Navegue a la página web de ATT&CK Matrix. ¿Cuántas técnicas se incluyen en la categoría de Exfiltración?

Chimera es un grupo de piratería con sede en China que ha estado activo desde 2018. ¿Cómo se llama la herramienta comercial de acceso remoto que utilizan para C2 ¿Balizas y exfiltración de datos?

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos