Abbiamo trattato il concetto di Piramide del dolore utilizzato nella risposta agli incidenti e nella caccia alle minacce, che copre gli artefatti degli strumenti e delle tecniche dell'aggressore e quanto sia facile/difficile modificarli per evitare il rilevamento da parte degli analisti. Abbiamo anche trattato e spiegato cosa rappresenta ogni strato della piramide come artefatto durante la fase di un attacco informatico. Questo faceva parte TryHackMe La Piramide del dolore.
Ottieni le note del certificato COMPTIA Security+
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Descrizione della sfida
Scopri cos'è la Piramide del Dolore e come utilizzare questo modello per determinare il livello di difficoltà che causerà a un avversario nel modificare gli indicatori ad esso associati e la sua campagna.
Video in evidenza
I professionisti della sicurezza utilizzano solitamente i valori hash per ottenere informazioni su uno specifico campione di malware, un file dannoso o sospetto e come modo per identificare e fare riferimento in modo univoco all'artefatto dannoso.
Probabilmente hai letto rapporti di ransomware in passato, in cui i ricercatori di sicurezza fornivano gli hash relativi ai file dannosi o sospetti utilizzati alla fine del rapporto. Puoi controllare Il rapporto DFIR E Blog di ricerca sulle minacce FireEye se sei interessato a vedere un esempio.
Nella Piramide del Dolore gli indirizzi IP sono indicati con il colore verde. Potresti chiederti perché e a cosa puoi associare il colore verde?
Dal punto di vista della difesa, la conoscenza degli indirizzi IP utilizzati da un avversario può essere preziosa. Una tattica di difesa comune consiste nel bloccare, eliminare o negare le richieste in entrata dagli indirizzi IP sul parametro o sul firewall esterno. Questa tattica spesso non è a prova di bomba in quanto è banale per un avversario esperto recuperare semplicemente utilizzando un nuovo indirizzo IP pubblico.
Uno dei modi in cui un avversario può rendere difficile eseguire con successo il blocco IP è utilizzando Flusso veloce.
Secondo Akamai, Flusso veloce è a DNS tecnica utilizzata dalle botnet per nascondere attività di phishing, proxy web, distribuzione di malware e comunicazione di malware dietro host compromessi che agiscono come proxy. Lo scopo dell'utilizzo della rete Fast Flux è rendere difficile l'individuazione della comunicazione tra il malware e il relativo server di comando e controllo (C&C) da parte dei professionisti della sicurezza.
I nomi di dominio possono essere un po' più difficili da modificare per l'aggressore poiché molto probabilmente dovrà acquistare il dominio, registrarlo e modificarlo DNS record. Sfortunatamente per i difensori, molti provider DNS hanno standard vaghi e forniscono API per rendere ancora più semplice per l’aggressore cambiare dominio.
Gli aggressori di solito nascondono i domini dannosi sotto Abbreviatori di URL. Un URL Shortener è uno strumento che crea un URL breve e univoco che reindirizzerà al sito Web specifico specificato durante la fase iniziale di impostazione del collegamento URL Shortener.
Gli artefatti dell'host sono tracce o elementi osservabili che gli aggressori lasciano nel sistema, come valori di registro, esecuzione di processi sospetti, modelli di attacco o IOC (indicatori di compromesso), file rilasciati da applicazioni dannose o qualsiasi cosa esclusiva della minaccia attuale.
Anche gli artefatti della rete appartengono alla zona gialla nella Piramide del Dolore. Ciò significa che se riesci a rilevare e rispondere alla minaccia, l’aggressore avrà bisogno di più tempo per tornare indietro e cambiare le sue tattiche o modificare gli strumenti, il che ti dà più tempo per rispondere e rilevare le minacce imminenti o rimediare a quelle esistenti.
Un artefatto di rete può essere una stringa dell'agente utente, C2 informazioni o modelli URI seguiti dalle richieste HTTP POST. Un utente malintenzionato potrebbe utilizzare una stringa agente utente che non è stata osservata prima nel tuo ambiente o che sembra fuori dall'ordinario. Lo User-Agent è definito da RFC2616 come campo di intestazione della richiesta che contiene le informazioni sull'agente utente che ha originato la richiesta.
Gli artefatti di rete possono essere rilevati nei PCAP Wireshark (file che contiene i dati a pacchetto di una rete) utilizzando un analizzatore di protocolli di rete come TShark o esplorare ID (Intrusion Detection System) registrazione da una fonte come Sbuffa.
MalwareBazaar E Malcondivisione sono ottime risorse per fornirti l'accesso a campioni, feed dannosi e risultati YARA: tutto ciò può essere molto utile quando si tratta di caccia alle minacce e di risposta agli incidenti.
Per le regole di rilevamento, Mercato di rilevamento delle minacce SOC Prime è un'ottima piattaforma in cui i professionisti della sicurezza condividono le loro regole di rilevamento per diversi tipi di minacce, inclusi gli ultimi CVE che vengono sfruttati in libertà dagli avversari.
Anche l'hashing fuzzy è un'arma potente contro gli strumenti dell'aggressore. L'hashing fuzzy ti aiuta a eseguire analisi di somiglianza: abbina due file con differenze minori in base ai valori di hash fuzzy. Uno degli esempi di hashing fuzzy è l'utilizzo di SSDeep; sul sito ufficiale di SSDeep è inoltre possibile trovare la spiegazione completa del fuzzy hashing.
TTP sta per Tattiche, Tecniche e Procedure. Questo include il tutto MITRA Matrice ATT&CK, ovvero l'insieme dei passi compiuti da un avversario per raggiungere il suo obiettivo, a partire dai tentativi di phishing fino alla persistenza e all'esfiltrazione dei dati.
Se riesci a rilevare e rispondere rapidamente ai TTP, non lasci quasi nessuna possibilità agli avversari di reagire. Ad esempio, se potessi rilevare a Passa l'hash attaccare utilizzando il monitoraggio del registro eventi di Windows e risolverlo, sarai in grado di trovare l'host compromesso molto rapidamente e fermare il movimento laterale all'interno della tua rete. A questo punto l’attaccante avrebbe due opzioni:
- Torna indietro, fai ulteriori ricerche e formazione, riconfigura i loro strumenti personalizzati
- Arrenditi e trova un altro bersaglio
L'opzione 2 sembra decisamente meno dispendiosa in termini di tempo e risorse.
Risposte in camera
Quale termine si riferisce a un indirizzo utilizzato per accedere ai siti Web?
Che tipo di attacco utilizza i caratteri Unicode nel nome di dominio per imitare un dominio conosciuto?
Un fornitore di sicurezza ha analizzato il campione dannoso per noi. Esaminare il rapporto Qui per rispondere alle seguenti domande.
L'attore rilascia un eseguibile dannoso (EXE). Come si chiama questo eseguibile?
Guarda questo rapporto di Virustotal. Quanti fornitori ritengono che questo host sia dannoso?
Quante richieste POST ci sono nello screenshot del file pcap?
Fornire il nome alternativo per gli hash fuzzy senza l'abbreviazione
Chimera è un gruppo di hacker con sede in Cina attivo dal 2018. Qual è il nome dello strumento commerciale di accesso remoto che utilizzano per C2 beacon ed esfiltrazione di dati?
Videoprocedura dettagliata