• Comenzar a usar ATT&CK y la APT38 - Inteligencia sobre Amenazas [I]
• Comenzar a usar ATT&CK [II]
• Comenzar a usar ATT&CK [III]
• Cómo usar ATT&CK [IV] - Detección y Análisis Nivel 1
• Cómo usar ATT&CK [V] - Detección y Análisis Nivel 2

Detección y Análisis - Nivel 2

Una vez que tenga análisis que otras personas escribieron en las operaciones, puede comenzar a expandir la cobertura escribiendo sus propios análisis. Este es un proceso más complicado que requiere comprender cómo funcionan los ataques y cómo se reflejan en los datos. Para comenzar, se puede ver la descripción de las técnicas de ATT&CK y los informes de información de amenazas vinculados en los ejemplos.

Imaginemos que no hubo buenas detecciones para Regsvr32. La página de ATT&CK enumera varias variantes diferentes de cómo usar Regsvr32. En lugar de escribir una analítica para cubrirlos a todos, se puede concentrar el esfuerzo en un solo aspecto. Por ejemplo, es posible que desee detectar la variante "Squiblydoo" que fue descubierta por Casey Smith (aka @subtee) en Red Canary. Los informes vinculados de los ejemplos muestran varias instancias de líneas de comando donde se usó Regsvr32, como este ejemplo del análisis de Cybereason de Cobalt Kitty [PDF].

Una vez que comprenda cómo los adversarios usan esta técnica, debe descubrir cómo ejecutarla usted mismo para poder verla en sus propios registros. Una manera fácil de hacerlo es usar Atomic Red Team, un proyecto de código abierto dirigido por Red Canary que proporciona contenido de Red Tem alineado con ATT&CK y que se puede usar para probar análisis. Por ejemplo, puede encontrar la lista de ataques para Regsvr32, incluido Squiblydoo. Por supuesto, si su Red Team ya está formado, puede de ejecutar sus propios ataques que ya conoce (en sistemas donde tiene permiso) y luego intentar desarrollar análisis para ellos.

Bonus Track: ¿Realmente desea crear sus propios análisis y ejecutar sus propios ataques, pero no tiene su propia red? Puede levanat una máquina virtual y monitorízala como se indica arriba y luego ejecutar los ataques sobre eso. Detection Lab proporciona un buen conjunto de scripts de configuración para hacer precisamente eso.
Una vez que haya ejecutado el ataque, mire dentro de su SIEM para ver qué datos de registro se generaron. En esta etapa, está buscando cosas que hagan que este evento malicioso se vea distintivo. Squiblydoo es fácil de encontrar: no hay una razón legítima para que Regsvr32.exe se conecte a Internet, por lo que un análisis simple es buscar los momentos en que se crea el proceso Regsvr32.exe y que la línea de comando incluya "/i: http".
Un patrón general a seguir es escribir la búsqueda para detectar comportamientos maliciosos, revisarla para filtrar los falsos positivos, asegurarse de que aún detecte el comportamiento malicioso y luego repetir para reducir otros tipos de falsos positivos.

• Comenzar a usar ATT&CK y la APT38 - Inteligencia sobre Amenazas [I]
• Comenzar a usar ATT&CK [II]
• Comenzar a usar ATT&CK [III]
• Cómo usar ATT&CK [IV] - Detección y Análisis Nivel 1
• Cómo usar ATT&CK [V] - Detección y Análisis Nivel 2

Cristian de la Redacción de Segu-Info