Esempi di Ipotesi per la Caccia alle Minacce: Preparati per una Buona Caccia!
Indice:
Una buona ipotesi di threat hunting è fondamentale per identificare i punti deboli nell’infrastruttura digitale di un’organizzazione. Basta imparare a porre le domande giuste, e otterrai le risposte che cerchi. In questo post del blog, esaminiamo una metodologia proattiva di threat hunting: il Threat Hunting Controllato dalle Ipotesi. Immergiamoci subito!
Rileva & Caccia Esplora il Contesto della Minaccia
Che cos’è un’ipotesi di Threat Hunting?
Un’ipotesi di threat hunting è un’assunzione informata su un attacco informatico o uno qualsiasi dei suoi componenti. Proprio come nella ricerca scientifica, nel threat hunting controllato dalle ipotesi, i Threat Hunters fanno delle ipotesi la base delle loro indagini.
Una volta formulata un’ipotesi, un Threat Hunter deve prendere delle misure per testarla. È nella strategia per testare l’ipotesi che si completa la maggior parte del lavoro di threat hunting (ad esempio, formulare una query utile spesso richiede più tempo della sua esecuzione). Ciò spesso include l’identificazione delle fonti di dati correlate (eventi di sicurezza, log di sistema, ecc.), delle tecniche di analisi rilevanti (interrogazioni, conteggio delle pile, ecc.) e quindi l’azione su questa strategia.
Un’ipotesi di threat hunting facilita una routine di difesa informatica proattiva. Una delle molte varianti di quest’ultima consiste in:
- Predire il comportamento degli avversari
- Suggerire modi per trovare una minaccia
- Rilevare anomalie, intrusioni, superamento di soglie
- Studiare la correlazione degli eventi
- Testare campioni in sandbox, honeypot e ambienti emulati
- Documentare i risultati
- Migliorare la protezione degli asset e dell’infrastruttura
- Eseguire la mitigazione
- Informare le autorità (se applicabile)
Nel complesso, il successo del threat hunting dipende enormemente da un’ipotesi perspicace, quindi vediamo come farne una.
Come Generare un’Ipotesi per un Threat Hunt?
Per renderlo più facile all’inizio, puoi pensare alle ipotesi di threat hunting come a delle storie utente ma dal punto di vista del malware.
Ipotesi di Threat Hunting #1
- Come [script malevolo], voglio [inviare una richiesta tramite la porta TCP 50050] in modo da poter [stabilire una connessione].
- Come [zip infetto], voglio [usare WMI] in modo da poter [mantenere la persistenza].
- Come [codice Javascript], voglio [sfruttare BITSAdmin] in modo da poter [scaricare moduli].
In alternativa, facciamo un’ipotesi dal punto di vista di un attaccante.
Ipotesi di Threat Hunting #2
Come APT37 (Corea del Nord), voglio attaccare il governo degli Stati Uniti per motivi politici, quindi userò Cobalt Strike in T1218.011, impiantando rundll32 per l’esecuzione proxy di codice malevolo.
Tuttavia, non esiste un unico modello di formato “giusto” per un’ipotesi di threat hunting. Ad esempio, possono essere anche più complesse di una sola frase. Per malware che eseguono una kill chain multistadio, un’ipotesi di threat hunting potrebbe includere anche alcuni punti.
Ipotesi di Threat Hunting #3
Malware X:
Esegue un comando tramite file EXE
Importa ed esegue cmdlet PowerShell da una fonte esterna
Esegue un binario .NET locale
Utilizza la funzione setenv() per aggiungere la variabile all’ambiente
Ora passiamo a esempi più complessi.
Ipotesi di Threat Hunting Avanzate
Le ipotesi di threat hunting possono essere operative, come gli esempi sopra, o tattiche e strategiche. I Threat Hunters esperti possono formulare ipotesi più ampie che possono comunque portare a test mirati. Per farlo, devono includere:
- Competenza nel dominio – avere esperienza, condividere conoscenze
- Consapevolezza della situazione – conoscenza dell’infrastruttura interna, vulnerabilità, asset principali
- Intelligenza – raccolta di dati di intelligence sulle minacce come IOCs e TTPs
Applica tutto quanto sopra per formulare un’ipotesi profondamente analitica su quali sistemi gli attaccanti prenderanno di mira e cosa cercheranno di ottenere.
Ad esempio, un Threat Hunter, Bob, stava cercando alcuni IOCs ottenuti tramite un feed di intelligence sulle minacce. Avendo eseguito un’analisi Crown Jewels (CJA), sa che il gioiello della corona della loro azienda è il luogo dove conservano algoritmi proprietari. La sua esperienza con cacce precedenti e una conversazione con un ricercatore collega, Alice, gli permettono di suggerire il comportamento più probabile dell’avversario in una data situazione. Così formula un’ipotesi.
Ipotesi di Threat Hunting #4
Gli attaccanti che hanno cercato di ottenere l’accesso iniziale tramite un’email di phishing faranno movimento laterale ed escalation dei privilegi per arrivare al cuore del sistema e esfiltrare dati.
Le ipotesi possono anche essere mirate non a predire i futuri passi degli attaccanti, ma a capire i modelli, le dipendenze, e così via. In altre parole, vedere il quadro completo.
Dove hanno i loro server C2? Come li offuscano? Come mantengono la persistenza? Qual è la relazione tra server specifici e varie campagne di attacco?
In questo caso, la cybersicurezza non riguarda solo vedere i problemi e risolverli rapidamente. È anche necessario porsi delle domande. Un po’ come il giornalismo investigativo con la sua regola delle 5W:
- Who
- Cosa
- Quando
- Dove
- Why
Perché spesso la situazione è così. Ci sono molti eventi in molti luoghi. Milioni di script, attività programmate, file e azioni degli utenti. Tutti fanno qualcosa. Quei vari eventi possono essere fasi di una kill chain. Ma non lo sai perché un pezzo di malware si è criptato e nascosto in un file legittimo. Ha anche rubato certificati, quindi si esegue come parte di un software rinomato che l’azienda ha acquistato. Potere occuparsi degli IOCs, ma non era sufficiente. L’azienda potrebbe essere spiata, ma non c’è alcuna prova concreta di ciò. Quindi, in superficie, non è successo niente di catastrofico. Un’ipotesi aiuterà a identificare un attacco così sofisticato o a provarne l’assenza.
Ipotesi di Threat Hunting #5
Un attore di minacce sponsorizzato dallo stato A utilizza gli stessi server C2 dell’attore di minacce B, quindi potrebbero far parte dello stesso botnet. Usano un’infezione da pipeline software e piantano malware con un periodo di inattività di 1-2 settimane prima di innescare il riconoscimento che dura 2-6 mesi. Se la nostra scansione mostra dati offuscati all’interno di binari legittimi, dovremmo cercare segni di stabilire una connessione con un server C2 in modo da poter concludere che quei file sono malware.
Conclusione
La pratica rende perfetti, quindi non preoccuparti se cose come i rapporti di minacce e i dati grezzi sembrano un po’ incomprensibili all’inizio. Impara materie informatiche come le reti, i linguaggi di basso livello e l’architettura delle applicazioni per sentirti più a tuo agio con termini specifici e valori numerici (come i numeri di porta, ecc.) In ogni caso, c’è sempre un sacco di informazioni da gestire – non sentirti scoraggiato se non capisci tutto ciò che incontri. È quasi impossibile conoscere tutto, quindi utilizzare Google a volte aiuta molto.
Una buona ipotesi di threat hunting permette di arrivare a conclusioni preziose e prevenire possibili attacchi. Inoltre, aiuta i Threat Hunters a esaminare i dati giusti al momento giusto anziché dover cercare tra milioni di log per milioni di possibili motivi. Unisciti alla nostra piattaforma Detection as Code per accedere ad algoritmi di rilevamento quasi in tempo reale compatibili con oltre 25 soluzioni SIEM, EDR e XDR e cercare istantaneamente le minacce più recenti nel tuo ambiente.
