Abbiamo trattato il concetto di Piramide del dolore utilizzato nella risposta agli incidenti e nella caccia alle minacce, che copre gli artefatti degli strumenti e delle tecniche dell'aggressore e quanto sia facile/difficile modificarli per evitare il rilevamento da parte degli analisti. Abbiamo anche trattato e spiegato cosa rappresenta ogni strato della piramide come artefatto durante la fase di un attacco informatico. Questo faceva parte TryHackMe La Piramide del dolore.

Ottieni le note del certificato COMPTIA Security+

Il corso pratico completo sul Penetration Testing delle applicazioni Web

Descrizione della sfida

Scopri cos'è la Piramide del Dolore e come utilizzare questo modello per determinare il livello di difficoltà che causerà a un avversario nel modificare gli indicatori ad esso associati e la sua campagna.

Video in evidenza

I professionisti della sicurezza utilizzano solitamente i valori hash per ottenere informazioni su uno specifico campione di malware, un file dannoso o sospetto e come modo per identificare e fare riferimento in modo univoco all'artefatto dannoso.

Probabilmente hai letto rapporti di ransomware in passato, in cui i ricercatori di sicurezza fornivano gli hash relativi ai file dannosi o sospetti utilizzati alla fine del rapporto. Puoi controllare Il rapporto DFIR E Blog di ricerca sulle minacce FireEye se sei interessato a vedere un esempio.

Nella Piramide del Dolore gli indirizzi IP sono indicati con il colore verde. Potresti chiederti perché e a cosa puoi associare il colore verde?

Dal punto di vista della difesa, la conoscenza degli indirizzi IP utilizzati da un avversario può essere preziosa. Una tattica di difesa comune consiste nel bloccare, eliminare o negare le richieste in entrata dagli indirizzi IP sul parametro o sul firewall esterno. Questa tattica spesso non è a prova di bomba in quanto è banale per un avversario esperto recuperare semplicemente utilizzando un nuovo indirizzo IP pubblico.

Uno dei modi in cui un avversario può rendere difficile eseguire con successo il blocco IP è utilizzando Flusso veloce.

Secondo Akamai, Flusso veloce è a DNS tecnica utilizzata dalle botnet per nascondere attività di phishing, proxy web, distribuzione di malware e comunicazione di malware dietro host compromessi che agiscono come proxy. Lo scopo dell'utilizzo della rete Fast Flux è rendere difficile l'individuazione della comunicazione tra il malware e il relativo server di comando e controllo (C&C) da parte dei professionisti della sicurezza.

I nomi di dominio possono essere un po' più difficili da modificare per l'aggressore poiché molto probabilmente dovrà acquistare il dominio, registrarlo e modificarlo DNS record. Sfortunatamente per i difensori, molti provider DNS hanno standard vaghi e forniscono API per rendere ancora più semplice per l’aggressore cambiare dominio.

Gli aggressori di solito nascondono i domini dannosi sotto Abbreviatori di URL. Un URL Shortener è uno strumento che crea un URL breve e univoco che reindirizzerà al sito Web specifico specificato durante la fase iniziale di impostazione del collegamento URL Shortener.

Gli artefatti dell'host sono tracce o elementi osservabili che gli aggressori lasciano nel sistema, come valori di registro, esecuzione di processi sospetti, modelli di attacco o IOC (indicatori di compromesso), file rilasciati da applicazioni dannose o qualsiasi cosa esclusiva della minaccia attuale.

Anche gli artefatti della rete appartengono alla zona gialla nella Piramide del Dolore. Ciò significa che se riesci a rilevare e rispondere alla minaccia, l’aggressore avrà bisogno di più tempo per tornare indietro e cambiare le sue tattiche o modificare gli strumenti, il che ti dà più tempo per rispondere e rilevare le minacce imminenti o rimediare a quelle esistenti.

Un artefatto di rete può essere una stringa dell'agente utente, C2 informazioni o modelli URI seguiti dalle richieste HTTP POST. Un utente malintenzionato potrebbe utilizzare una stringa agente utente che non è stata osservata prima nel tuo ambiente o che sembra fuori dall'ordinario. Lo User-Agent è definito da RFC2616 come campo di intestazione della richiesta che contiene le informazioni sull'agente utente che ha originato la richiesta.

Gli artefatti di rete possono essere rilevati nei PCAP Wireshark (file che contiene i dati a pacchetto di una rete) utilizzando un analizzatore di protocolli di rete come TShark o esplorare ID (Intrusion Detection System) registrazione da una fonte come Sbuffa.

MalwareBazaar Malcondivisione sono ottime risorse per fornirti l'accesso a campioni, feed dannosi e risultati YARA: tutto ciò può essere molto utile quando si tratta di caccia alle minacce e di risposta agli incidenti.

Per le regole di rilevamento, Mercato di rilevamento delle minacce SOC Prime è un'ottima piattaforma in cui i professionisti della sicurezza condividono le loro regole di rilevamento per diversi tipi di minacce, inclusi gli ultimi CVE che vengono sfruttati in libertà dagli avversari.

Anche l'hashing fuzzy è un'arma potente contro gli strumenti dell'aggressore. L'hashing fuzzy ti aiuta a eseguire analisi di somiglianza: abbina due file con differenze minori in base ai valori di hash fuzzy. Uno degli esempi di hashing fuzzy è l'utilizzo di SSDeep; sul sito ufficiale di SSDeep è inoltre possibile trovare la spiegazione completa del fuzzy hashing.

TTP sta per Tattiche, Tecniche e Procedure. Questo include il tutto MITRA Matrice ATT&CK, ovvero l'insieme dei passi compiuti da un avversario per raggiungere il suo obiettivo, a partire dai tentativi di phishing fino alla persistenza e all'esfiltrazione dei dati.

Se riesci a rilevare e rispondere rapidamente ai TTP, non lasci quasi nessuna possibilità agli avversari di reagire. Ad esempio, se potessi rilevare a Passa l'hash attaccare utilizzando il monitoraggio del registro eventi di Windows e risolverlo, sarai in grado di trovare l'host compromesso molto rapidamente e fermare il movimento laterale all'interno della tua rete. A questo punto l’attaccante avrebbe due opzioni:

  1. Torna indietro, fai ulteriori ricerche e formazione, riconfigura i loro strumenti personalizzati
  2. Arrenditi e trova un altro bersaglio

L'opzione 2 sembra decisamente meno dispendiosa in termini di tempo e risorse.

Risposte in camera

Analizzare il report associato all’hash “b8ef959a9176aef07fdca8705254a163b50b49a17217a4ff0107487f59d4a35d” Qui. Qual è il nome del file del campione?
Leggi quanto segue rapporto per rispondere a questa domanda. Quale è primo indirizzo IP il processo dannoso (PID 1632) tenta di comunicare con?
Leggi quanto segue rapporto per rispondere a questa domanda. Quale è primo nome di dominio il processo dannoso ((PID 1632) tenta di comunicare con?
Vai a questo rapporto su app.any.run e fornire il primo sospettoso Richiesta URL che stai vedendo, utilizzerai questo rapporto per rispondere alle restanti domande di questa attività.

Quale termine si riferisce a un indirizzo utilizzato per accedere ai siti Web?

Che tipo di attacco utilizza i caratteri Unicode nel nome di dominio per imitare un dominio conosciuto?

Fornisci il sito Web reindirizzato per l'URL abbreviato utilizzando un'anteprima: https://tinyurl.com/bw7t8p4u

Un fornitore di sicurezza ha analizzato il campione dannoso per noi. Esaminare il rapporto Qui per rispondere alle seguenti domande.

Un processo denominato regidle.exe effettua una richiesta POST a un indirizzo IP su porta 8080. Qual è l'indirizzo IP?

L'attore rilascia un eseguibile dannoso (EXE). Come si chiama questo eseguibile?

Guarda questo rapporto di Virustotal. Quanti fornitori ritengono che questo host sia dannoso?

Quale browser utilizza la stringa User-Agent mostrata nello screenshot sopra?

Quante richieste POST ci sono nello screenshot del file pcap?

Fornire il metodo utilizzato per determinare la somiglianza tra i file

Fornire il nome alternativo per gli hash fuzzy senza l'abbreviazione

Passare alla pagina Web ATT&CK Matrix. Quante tecniche rientrano nella categoria Esfiltrazione?

Chimera è un gruppo di hacker con sede in Cina attivo dal 2018. Qual è il nome dello strumento commerciale di accesso remoto che utilizzano per C2 beacon ed esfiltrazione di dati?

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli