En mi último blog, hablé de un cliente financiero que realizaba pen testing y de cómo ayudé al equipo azul a detectar al equipo rojo mientras llevaba a cabo un ataque. Hoy vuelvo con otra historia desde las trincheras.
Esta vez, he estado trabajando con un cliente del sector manufacturero que me ha contratado recientemente. Como antes, este cliente prefiere permanecer en el anonimato para que los ciberdelincuentes no se enteren de sus nuevas capacidades de seguridad. Para mantenerse en la cima de su juego, rutinariamente realizan ejercicios de equipo rojo.
Una de las partes más difíciles de encontrar atacantes ocultos dentro de su red es cuando sus comportamientos se mezclan con los de los usuarios normales. Si yo fuera un atacante, lo primero que buscaría serían las herramientas de administración de la red, ya que son de confianza por defecto.
Entender la diferencia entre el comportamiento del atacante y el comportamiento aceptable del usuario se convierte en un ejercicio para detectar los matices entre ambos y proporcionar un mayor contexto sobre qué más está asociado y cómo progresan los comportamientos de amenaza a lo largo del ciclo de vida del ataque.
Es aún más difícil encontrar comportamientos de atacantes cuando tienen acceso a herramientas de seguridad que ya se están ejecutando en su red. Por ejemplo, una herramienta de distribución de software como Microsoft SCCM es totalmente legítima en una empresa. Pero crea ruido que parece la ejecución remota de archivos, que es exactamente lo que haría un atacante.
Las herramientas de seguridad deben crear filtros para eliminar el ruido. Sin embargo, es probable que se trate de un ataque si la máquina empieza a realizar acciones de comando y control que no son de confianza. La mayoría de las herramientas acaban pasando por alto este comportamiento de los atacantes porque ya lo han filtrado como ruido. Los atacantes saben cómo funcionan estas herramientas de seguridad.
En el reciente ejercicio de pen testing con nuestro cliente fabricante, el equipo rojo obtuvo acceso encubierto a un escáner Nessus que normalmente utilizaba el equipo azul para buscar activos expuestos.
El equipo azul me enseñó el escáner Nessus desde el principio para que pudiera aprender cómo se utiliza y quién lo utiliza. Al equipo de seguridad le gusta saber cuándo se producen los escaneos y no quiere que yo interprete los escaneos de Nessus como ataques porque representan un comportamiento aprobado.
Eso sólo daría más trabajo a mis compañeros analistas de seguridad. Y mi trabajo consiste en filtrar el ruido para que puedan centrarse en una investigación más profunda de los incidentes, solucionar los problemas y aprender a garantizar que la red pueda adaptarse.
A medida que avanzaba la prueba de penetración, observé varios comportamientos de reconocimiento y movimiento lateral que emanaban del escáner Nessus y se producían en una secuencia que no había visto antes.
Inmediatamente llegué a la conclusión de que una persona no autorizada había requisado el escáner Nessus.
Los primeros comportamientos de los atacantes que detecté fueron los clásicos barridos de puertos IP y escaneos de puertos. Luego observé un gran conjunto de escaneos internos de la darknet contra rangos de IP que el equipo de seguridad normalmente no escanearía.
Para ahorrar tiempo, correlacioné los comportamientos de ataque y la información contextual para que el equipo azul pudiera ver que el equipo rojo estaba intentando localizar hosts en rangos de subred que no habían existido previamente en la red.
Seguí supervisando la actividad de exploración de la red. Aunque los comportamientos de reconocimiento eran sospechosos, le di una puntuación de amenaza media porque no vi comportamientos asociados más adelante en el ciclo de vida del ataque que indicaran que un atacante se había adentrado más en la red.
Después de escanear durante algún tiempo, me di cuenta de que el equipo rojo descubrió un conjunto de servidores que ejecutaban bases de datos vulnerables y otro con contraseñas de administrador débiles. Rápidamente vi que el equipo rojo pasaba a la fase de movimiento lateral del ciclo de vida del ataque, que incluía inyección SQL, replicación automatizada y un ataque de fuerza bruta contra las contraseñas de administrador.
En tiempo real, correlacioné todos estos comportamientos de los atacantes con el host utilizado por el equipo rojo y los servidores del centro de datos que habían puesto en peligro. A medida que observaba los ataques a lo largo de su ciclo de vida, los reasignaba con una puntuación de amenaza crítica y un nivel de certeza alto.
Mis colegas del equipo azul -gente como tú- actuaron con rapidez para aislar al equipo rojo y detenerlo antes de que pudiera pasar a fases de ataque más dañinas, como la filtración de datos.