Entrevista con el Desarrollador: Emir Erdogan

Estamos siguiendo con las entrevistas a los miembros del Programa de Recompensas por Amenazas (https://my.socprime.com/en/tdm-developers), y hoy queremos presentarles a Emir Erdogan. Emir ha estado participando en el programa desde septiembre de 2019, tiene más de 110 reglas Sigma publicadas a su nombre, pero Emir también publica reglas YARA para detectar amenazas reales. Sus reglas a menudo se encuentran en nuestras publicaciones del blog: Digests de Reglas, Contenido de Caza de Amenazas, y Regla de la Semana.

Emir, cuéntanos un poco sobre ti y tu experiencia en ciberseguridad.

Después de graduarme de la universidad en 2015, comencé a trabajar en el proyecto OS (Pardus) que está respaldado por el gobierno como Analista de Negocios.

Luego, cambié de trabajo porque quería mejorarme a mí mismo como especialista en ciberseguridad. He trabajado en muchas áreas diferentes de ciberseguridad como Ingeniero SIEM, especialista en operaciones SOC, miembro del proyecto de construcción de Sistemas de Gestión y Seguridad de Información en una empresa de aviación civil en Turquía.

Ahora, sigo trabajando como analista SOC y líder del equipo SOC en una de las empresas más importantes de Turquía.

¿Cuánto tiempo te llevó dominar la escritura de reglas Sigma? ¿Qué formación técnica se requiere para dominarla? ¿Y cuánto tiempo necesitas en promedio para escribir una nueva regla Sigma de IOC y de caza de amenazas? 

He estado escribiendo reglas Sigma durante 6 meses. De hecho, es necesario escribir muchas reglas Sigma en diferentes fuentes de registro para convertirse en un experto. En mi opinión, no está relacionado con el tiempo. Los tipos de registros de diferentes OS y productos de seguridad deben ser conocidos por cualquiera que quiera ser un experto en Sigma.

El tiempo requerido para escribir una regla Sigma depende de la complejidad de la regla. Generalmente, si una regla Sigma es más compleja e incluye diferentes tipos de registros, toma aproximadamente media hora.

¿Qué tipos de amenazas son las más difíciles de detectar? Emir, tal vez puedas dar un ejemplo de la vida real? 

Todo el mundo sabe que algunos tipos de malware como los rootkits son realmente difíciles de detectar. Sin embargo, el uso de técnicas de evasión y métodos de ofuscación ha aumentado recientemente y algunos de ellos serían complicados de detectar. Por lo tanto, quiero mencionar estas técnicas.

Las herramientas de detección tradicionales pueden ser fácilmente vencidas por malware y archivos ofuscados. Estoy seguro de que cada especialista en ciberseguridad ha encontrado un script de PowerShell ofuscado o malware. No es fácil analizar estos archivos.

Existen muchas técnicas de evasión para eludir los controles de seguridad. Por ejemplo, mucha gente se ha encontrado con extorsiones de bitcoin. Los correos electrónicos dicen que han hackeado tu computadora y te han grabado visitando sitios web para adultos. Amenazan con distribuir el video a tus amigos y familia en cuestión de horas a menos que pagues en su cuenta de Bitcoin. La solución más efectiva es escribir reglas de filtrado de contenido en una pasarela de correo seguro para protegerse contra estos tipos de correos electrónicos. Incluso si la regla está escrita de acuerdo a algunas palabras clave como bitcoin y hack, los atacantes pueden enviar su texto de chantaje como un archivo adjunto, en un PDF protegido con contraseña, archivo de imagen en el cuerpo. Así, eluden las reglas de filtrado de contenido de esta manera.

La pandemia es otro desafío para un profesional de ciberseguridad. Cuéntanos cómo ha influido en tu trabajo diario. ¿Quizás puedas compartir algunos trucos de la vida en casa con nosotros? 

Se puede decir que estoy trabajando más duro ahora porque los ciberataques están aumentando cada día que pasa. Por ejemplo, ha aumentado la cantidad de ataques de phishing en la entrega de compañías de carga y campañas temáticas de COVID-19.

Como en todo el mundo, continúo mi trabajo en casa. No creo que sea un problema para los expertos en ciberseguridad, porque nos encanta estar en casa frente a nuestra computadora.

Espero no haber observado ningún efecto negativo aún, aparte de los sociológicos. Gracias a esta pregunta, les deseo a todos una vida saludable.

¿Cuáles herramientas son las más utilizadas por diferentes actores de amenazas y cuál sería su recomendación para mejorar la defensa contra esas herramientas? ¡Ejemplos serían geniales!

De hecho, hay muchas herramientas comunes utilizadas por diferentes actores de amenazas.

Creo que PowerShell sería un gran ejemplo. Es legítimo y realmente poderoso. No solo los atacantes, sino también la mayoría de los administradores de sistemas necesitan PowerShell y generalmente utilizan scripts de PS para hacer su trabajo diario. Debido a esta razón, es difícil entender si se utiliza para fines maliciosos; sin embargo, hay algunas pistas para detectar actividades maliciosas. Si PowerShell no es necesario para hacer un trabajo, por favor desactívelo. Si es necesario, el registro de PowerShell debe estar habilitado y ser monitoreado por SOC. Se deben escribir reglas SIEM para PowerShell y siempre deben enriquecerse.

Aparte de PowerShell, webshell se usa comúnmente por diferentes actores de amenazas. Webshells son scripts maliciosos que se cargan en el objetivo y acceden de manera remota a servidores comprometidos. Se sabe que webshell es una de las puertas traseras más comunes y efectivas. Los atacantes primero explotan una vulnerabilidad en un servidor web para cargar webshell o pueden cargarlo desde un servidor/host diferente que se comprometió anteriormente. Por lo tanto, lo más importante es asegurarse de que todos los servidores/hosts estén actualizados con parches de seguridad. Con registros sysmon de todos los servidores web siendo monitoreados, puedes desarrollar reglas de correlación para detectar webshell. Hay muchas reglas Sigma en TDM para detectar webshells. Quiero dar un ejemplo rápido. Si el proceso de IIS (w3wp.exe) llama a cmd.exe, esto debe etiquetarse como sospechoso y ser analizado por un analista SOC.

Mucho contenido de detección de amenazas que has contribuido al Mercado de Detección de Amenazas está disponible de forma gratuita y ayuda a los especialistas en ciberseguridad de todo el mundo a detectar amenazas, ¿qué te motiva a compartir tu contenido con la comunidad?

Los atacantes siempre están un paso adelante. Por lo tanto, es necesario aprender sus métodos, tácticas y técnicas para prevenir sus ataques.

En mi opinión, compartir inteligencia y conocimiento entre investigadores e instituciones es muy importante para prevenir ciberataques y evitar cualquier pérdida material y moral.

De hecho, al ver que algunos grupos atacan a los hospitales durante la pandemia y los atacantes se benefician del estado de pánico de las personas, me siento más motivado para compartir mi contenido con la comunidad.

Emir, ¿cuál crees que es el mayor beneficio del Programa de Recompensas por Amenazas de SOC Prime?

Hay muchos beneficios del Programa de Recompensas por Amenazas para empresas y desarrolladores. Desarrollar nuevas reglas SIEM siguiendo nuevas amenazas es un gran desafío para todas las empresas. Con la ayuda del Programa de Recompensas por Amenazas, las empresas pueden acceder a muchas detecciones para amenazas específicas y actuales. Este contenido podría implementarse fácilmente en la solución SIEM. Además, los desarrolladores están siguiendo la nueva amenaza y desarrollando nuevo contenido. Este programa ofrece una gran oportunidad para que los desarrolladores publiquen su contenido, se mejoren, sean recompensados y honrados por SOC Prime.

Lea más entrevistas con participantes en el Programa de Recompensas por Amenazas en nuestro blog: https://socprime.com/en/tag/interview/