FTPShadowMove, ¿suficientemente sigiloso? Parte 2

RESUMEN

Esta es una continuación en la serie de publicaciones que desglosan la metodología de “The MITRE Cyber Analytics Repository (en adelante mencionado como MITRE CAR), tomando como caso de estudio a la vertiente de la técnica de movimiento lateral, anteriormente presentada como FTPShadowMove. Una de las partes iniciales de esta metodología consiste en la generación de una hipótesis, una fase muy importante al principio de cualquier buena caza de amenazas [1].

Palabras clave: ShadowMove, osquery, MITRE, CAR, hipótesis, PolyLogyx, FTP

GENERACIÓN DE HIPÓTESIS EN EL THREAT HUNTING

Aunque la gran mayoría de los threat hunters realizan sus actividades basándose en automatizaciones y asistencia de máquinas, el propio proceso de caza de amenazas no puede ser enteramente automatizado.

Una de las contribuciones clave en cualquier caza es la selección de una amenaza que el/la analista quiera interceptar. En este caso, es un conjunto de ideas que son comprobables en un entorno determinado y que permiten el rastreo de dicha amenaza. Esta capacidad incluye un esfuerzo humano de entender la relación entre el panorama amenazante y el contexto de la infraestructura operativa de las organizaciones [2].

El panorama amenazante provee de conocimiento sobre las amenazas actuales y emergentes. En este caso, el/la analista estudia inteligencia estratégica y operacional desde fuentes que se encuentren fuera de la organización como informes o investigaciones que describan nuevas tácticas, técnicas o procedimientos (como FTPShadowMove [3]), así como reportes de fuerzas y cuerpos de seguridad estatales o la información compartida dentro de la comunidad de seguridad informática.

El contexto de la infraestructura operativa de las organizaciones provee de fuentes adicionales que incluyen políticas, procedimientos, guías, incidentes de seguridad anteriormente gestionados, ejercicios de pentesting realizados y resultados de escaneos de vulnerabilidades, entre otros.

Descomponiendo este proceso de generación de hipótesis, se presentan dos elementos que incluyen la exploración y el análisis de los datos provistos por sistemas informáticos y redes internas, aprovechándose de fuentes de telemetría como logs, captura de paquetes, flujo de red, memoria, entre otros muchos artefactos.

En primer lugar, la habilidad de un/a analista de crear dichas hipótesis es derivada de las observaciones. Una observación puede proceder de un evento concreto que se desvía de la norma o algo más complejo, como una suposición sobre la actividad de un determinado ciberactor, que es resultado de experiencia pasada y la inteligencia obtenida de manera externa.

En segundo lugar, se establece que como elemento generador de hipótesis que estas mismas puedan ser comprobadas. Los datos y tecnologías que se referencien para la comprobación deben ser accesibles para todos, así como las herramientas y técnicas de análisis deben tomar ventaja de la información del medio, al igual que un atacante.

Existen 3 tipos de hipótesis, las cuales serán definidas para entender cual se ajusta mejor al caso de estudio de FTPShadowMove.

1. Hipótesis impulsada por la inteligencia
2. Hipótesis de conciencia situacional
3. Hipótesis de experiencia en el campo de conocimiento.

A continuación, se describirán sus detalles que puedan permitir su formulación, con el denominador común de que puedan constituir información accionable.

HIPÓTESIS IMPULSADA POR LA INTELIGENCIA

El tipo de seguridad defensiva impulsada por la inteligencia es conocido mediante la concienciación sobre inteligencia de amenazas, el empleo de nuevos indicadores de compromiso y el conocimiento de tácticas, técnicas y procedimientos (a continuación mencionado como TTPs). Aunque la creación de hipótesis se sustenta en procesos humanos, los componentes técnicos sirven de base para que se puedan realizar preguntas que desemboquen en la formación de teorías.

Aunque la búsqueda de indicadores de compromiso no derive en la generación de una hipótesis, pueden resultar en la priorización de otro tipo indicadores como alertas generadas por los ciberactores o determinados registros de incidentes anteriores, que afinen la búsqueda y desarrollen otro tipo de preguntas.

Hay muchas formas en la que el uso de los indicadores de compromiso permite la generación de propuestas por parte de los analistas, como las siguientes:

• Las ubicaciones donde los equipos de seguridad pueden encontrar indicadores de compromiso en su propio entorno.
• Las formas en las que un atacante pueden estar ofuscando u ocultando estos indicadores.
• La reutilización de indicadores de compromiso por diferentes ciberactores. Por ejemplo, una dirección IP que, históricamente, está relacionada con múltiples campañas maliciosas.
• Como la fase de Armado (en inglés, Weaponization) puede suponer el tipo de sofisticación que es demostrada por los ciberactores.

Debe tenerse en cuenta que los indicadores de compromiso que dependan de diferentes fases del modelo de kill chain [4], la cual permite describir las fases de una intrusión, desarrollarán hipótesis diferentes. Por ejemplo, la fase de Armado generará una hipótesis diferente a una que pudiera ser creada mediante los indicadores de la fase de Acciones sobre los objetivos (en inglés, Actions on objectives).

Una de las desventajas de este modelo, es la posible contaminación en la generación de hipótesis por sostenerse en indicadores de compromiso de baja calidad o que carezcan de contexto. Si un/a analista intenta generar hipótesis basándose en cada pieza de información o en cada indicador de compromiso, puede obtener información emparejada de baja calidad, desembocando en una alta tasa de falsos positivos. Es importante moverse mediante la Pirámide del Dolor [5] lo más rápido posible, para poder entender los TTPs desde los indicadores de compromiso.

Como buenas prácticas, es aconsejable considerar el panorama amenazante y la situación geopolítica, combinada con alertas de baja confianza e indicadores que instruyan a los threat hunters a discriminar la información por su contexto, de forma dinámica.

HIPÓTESIS DE CONCIENCIA SITUACIONAL

Este tipo de hipótesis requiere de visibilidad y entendimiento de la infraestructura de telecomunicaciones, así como sus elementos individuales, lo que permitirá entender su naturaleza dinámica respecto al tiempo.

La conciencia situacional proviene de un término militar que es definido como la percepción de los elementos en un entorno dentro de un volumen de tiempo y espacio, la comprensión de su significado y la proyección de su estado en el futuro cercano.

En el mundo de la ciberseguridad, esta capacidad puede desarrollarse a través del modelo de análisis conocido como el de Joyas de la Corona [6]. El análisis de Joyas de la Corona (en inglés, Crown Jewels Analysis o CJA) es un proceso de identificación de los activos más críticos para una organización, que puedan suponer objetivos atractivos para un posible atacante. Este modelo de análisis se basa en las siguientes preguntas:

• ¿Qué es lo más importante? Esta pregunta establece prioridades o Joyas de la Corona en las misiones, identifica dependencias de otros elementos a estas Joyas y realiza análisis de impacto.
• ¿Cuáles son los riesgos? Gracias a esta pregunta se evalúa la susceptibilidad de las amenazas cibernéticas mediante la obtención.
• ¿Cómo mitigar los riesgos? Mediante el análisis de mitigación de riesgos en la infraestructura de telecomunicaciones.

Determinar posibles escenarios de ataque que puede sufrir la organización, anticipando posibles vectores de ataque.

Aunque la tarea que permite la generación de este tipo de hipótesis debe sostenerse en la automatización y las tecnologías conocidas que estén contenida dentro del entorno informático de la organización, se debe mantener una mente abierta y observar también a los individuos, los requisitos del negocio u otros procesos no técnicos como partes críticas del panorama amenazante de una entidad.

HIPÓTESIS DE EXPERIENCIA EN EL CAMPO DE CONOCIMIENTO

Cada analista provee diferentes experiencias en diferentes campos de conocimiento que pueden influenciar a las hipótesis a generar.

A medida que se realizan más procesos de caza de amenazas o encuentros con incidentes de seguridad, cada analista debería documentar las lecciones aprendidas y el conocimiento adquirido en investigaciones anteriores. Es recomendable que comparta esta información con el resto de su equipo, manteniéndolo disponible como material de entrenamiento y recursos de conocimiento para analistas menos experimentados.

Un/a threat hunter con una buena experiencia en su campo de conocimiento tiene, como conocimiento previo, una conciencia situacional de la organización a defender sobre la que puede desarrollar preguntas respecto a los datos presentados, siendo una combinación de los anteriores tipos de hipótesis pero con un contexto histórico.

El problema de este tipo de hipótesis es que se pueden generar juicios parciales, en el que el campo de conocimiento solo haya obtenido experiencia en un tipo de incidentes de seguridad y eso moldee el conocimiento del analista. Debido a esto, es importante que no se prejuzguen situaciones que puedan representar amenazas, ya que esto puede derivar conclusiones pobres.

Algunos tipos de análisis, como el Modelo Diamante, pueden ayudar a analistas experimentadas/os a estructurar la información obtenida en categorías como atacante, infraestructura, capacidad y víctima. Gracias a este tipo de modelos, pueden discriminar su propia parcialidad junto a una esquematización de los elementos encontrados en incidentes de seguridad.

CONCLUSIÓN

Tras esta introducción sobre generación de hipótesis, se desgranará la analítica que se encuentra delante de la hipótesis generada sobre FTPShadowMove, en la que se sostiene que se desarrollarán métodos de detección de esta herramienta en un entorno que disponga de agentes osquery, la cual será desarrollada en formato MITRE CAR.