Ejemplos de Hipótesis de Caza de Amenazas: ¡Prepárate para una Buena Caza!
Tabla de contenidos:
Una buena hipótesis de búsqueda de amenazas es clave para identificar puntos débiles en la infraestructura digital de una organización. Solo aprende a hacer las preguntas correctas, y obtendrás las respuestas que estás buscando. En este blog, revisamos una metodología proactiva de búsqueda de amenazas: la Búsqueda de Amenazas Basada en Hipótesis. ¡Vamos a sumergirnos de lleno!
Detectar y Cazar Explorar el Contexto de Amenazas
¿Qué es una Hipótesis de Búsqueda de Amenazas?
Una hipótesis de búsqueda de amenazas es una suposición informada sobre un ciberataque o cualquiera de sus componentes. Al igual que en la investigación científica, en la búsqueda de amenazas basada en hipótesis, los Cazadores de Amenazas hacen que las hipótesis sean la base de sus investigaciones.
Una vez que se formula una hipótesis, un Cazador de Amenazas debe tomar medidas para probarla. Es en la estrategia para probar la hipótesis que se completa la mayor parte del trabajo de búsqueda de amenazas (por ejemplo, formar una consulta útil generalmente lleva más tiempo que su ejecución). Esto a menudo incluye identificar fuentes de datos relacionadas (eventos de seguridad, registros del sistema, etc.), técnicas de análisis pertinentes (consultas, conteo de pilas, etc.) y luego tomar medidas sobre esta estrategia.
La hipótesis de búsqueda de amenazas facilita una rutina de ciberdefensa proactiva. Una de las muchas variantes de esta última consiste en:
- Predecir el comportamiento del adversario
- Sugerir maneras de encontrar una amenaza
- Detectar anomalías, intrusiones, impactos de línea base/umbral
- Estudiar la correlación de eventos
- Probar muestras en entornos de sandbox, honey pots y emulados
- Documentar resultados
- Mejorar la protección de activos e infraestructuras
- Realizar mitigación
- Informar a las autoridades (si aplica)
En general, el éxito de la búsqueda de amenazas depende en gran medida de una hipótesis perspicaz, así que veamos cómo crear una.
¿Cómo Generar una Hipótesis para una Búsqueda de Amenazas?
Para facilitarlo al principio, puedes pensar en las hipótesis de búsqueda de amenazas como una especie de historias de usuario, pero desde la perspectiva del malware.
Hipótesis de Búsqueda de Amenazas #1
- Como un [script malicioso], quiero [enviar una solicitud a través del puerto TCP 50050] para poder [establecer una conexión].
- Como un [zip infectado], quiero [usar WMI] para poder [mantener la persistencia].
- Como un [código Javascript], quiero [explotar BITSAdmin] para poder [descargar módulos].
Alternativamente, hagamos una hipótesis desde la perspectiva de un atacante.
Hipótesis de Búsqueda de Amenazas #2
Como un APT37 (Corea del Norte), quiero atacar al gobierno de EE. UU. por razones políticas, así que usaré Cobalt Strike en T1218.011, plantando rundll32 para la ejecución por proxy de código malicioso.
Sin embargo, no existe una plantilla única para el formato ‘correcto’ de una hipótesis de búsqueda de amenazas. Por ejemplo, también pueden ser más complejas que solo una frase. Para el malware que ejecuta una cadena de eliminación en varias etapas, una hipótesis de búsqueda de amenazas también puede incluir algunos puntos.
Hipótesis de Búsqueda de Amenazas #3
Malware X:
Ejecuta un comando vía archivo EXE
Importa y ejecuta cmdlets de PowerShell desde una fuente externa
Ejecuta un binario .NET local
Usa la función setenv() para agregar la variable al entorno
Ahora pasemos a ejemplos más complejos.
Hipótesis Avanzadas de Búsqueda de Amenazas
Las hipótesis de búsqueda de amenazas pueden ser operativas, como los ejemplos anteriores, o tácticas y estratégicas. Los Cazadores de Amenazas experimentados pueden formular hipótesis más amplias que sin embargo resultan en pruebas altamente focalizadas. Para eso, necesitan incluir:
- Experticia en el dominio – tener experiencia, compartir conocimiento
- Conciencia situacional – conocer la infraestructura interna, vulnerabilidades, activos clave
- Inteligencia – obtener datos de inteligencia sobre amenazas como IOCs y TTPs
Aplica todo lo anterior para formular una hipótesis profundamente analítica sobre qué sistemas atacarán los atacantes y qué intentarán lograr.
Por ejemplo, un Cazador de Amenazas llamado Bob ha estado investigando algunos IOCs obtenidos a través de un feed de inteligencia sobre amenazas. Habiendo realizado un Análisis de Joyas de la Corona (CJA), sabe que la joya de la corona de su empresa es el lugar donde almacenan algoritmos propietarios. Su experiencia con cacerías anteriores y una conversación con un investigador colega llamado Alice le permiten sugerir el comportamiento del adversario más probable en una situación dada. Así que formula una hipótesis.
Hipótesis de Búsqueda de Amenazas #4
Los atacantes que intentaron obtener acceso inicial a través de un correo electrónico de phishing harán movimiento lateral y escalamiento de privilegios para llegar al corazón del sistema y exfiltrar datos.
Las hipótesis también pueden dirigirse no a predecir los próximos pasos de los atacantes sino a entender patrones, dependencias, etc. En otras palabras, ver el panorama completo.
¿Dónde tienen sus servidores C2? ¿Cómo los ofuscan? ¿Cómo mantienen la persistencia? ¿Cuál es la relación entre servidores específicos y varias campañas de ataque?
En este caso, la ciberseguridad no se trata solo de ver problemas y remediarlos rápidamente. También es necesario hacer preguntas. Un poco como el periodismo de investigación con su regla de las 5W:
- Who
- Qué
- Cuándo
- Dónde
- Why
Porque a menudo la situación es así. Hay múltiples eventos en múltiples lugares. Millones de scripts, tareas programadas, archivos y acciones de usuario. Todos hacen algo. Esos diversos eventos podrían ser etapas de una cadena de eliminación. Pero no lo sabes porque una pieza de malware se encriptó a sí misma y se ocultó en un archivo legítimo. También robó certificados, por lo que se ejecuta como parte del software reputado que compró la empresa. Podrías haber abordado los IOCs, pero no fue suficiente. La empresa podría estar siendo espiada, pero no hay evidencia contundente de eso. Así que en la superficie, no ocurrió nada catastrófico. Una hipótesis ayudará a identificar un ataque tan sofisticado o a probar su ausencia.
Hipótesis de Búsqueda de Amenazas #5
Un actor de amenazas patrocinado por el estado A usa los mismos servidores C2 que el actor de amenazas B, por lo que podrían ser parte del mismo botnet. Usan una infección en la tubería de software y plantan malware con un período de dormancia de 1-2 semanas antes de activar reconocimiento que dura 2-6 meses. Si nuestro escaneo muestra datos ofuscados dentro de binarios legítimos, deberíamos buscar señales de establecer una conexión con un servidor C2 para concluir que esos archivos son malware.
Conclusión
La práctica hace al maestro, así que no te preocupes si cosas como informes de amenazas y datos sin procesar parecen un poco incomprensibles para ti al principio. Aprende materias de ciencias de la computación como redes, lenguajes de bajo nivel y arquitectura de aplicaciones para sentirte más cómodo con términos específicos y valores numéricos (como números de puerto, etc.). En cualquier caso, siempre hay mucha información con la que lidiar: no te sientas desanimado si no comprendes todo lo que encuentras. Es casi imposible saberlo todo, por lo que a veces usar Google también ayuda mucho.
Una buena hipótesis de búsqueda de amenazas permite llegar a conclusiones valiosas y prevenir posibles ataques. Además, ayuda a los Cazadores de Amenazas a examinar los datos correctos en el momento adecuado en lugar de tener que buscar entre millones de registros por millones de razones posibles. Únete a nuestra plataforma Detectar como Código para obtener acceso a algoritmos de detección casi en tiempo real compatibles con más de 25 soluciones SIEM, EDR y XDR y buscar instantáneamente las amenazas más recientes en tu entorno.
