Los analistas de ciberseguridad se ven desbordados por los eventos de seguridad que hay que clasificar, analizar, correlacionar y priorizar. Si eres analista, probablemente tengas unas habilidades increíbles, pero el trabajo manual y tedioso te está frenando.
En mi último blog, hablé de un cliente del sector manufacturero en el que ayudamos al equipo azul a detectar a su equipo rojo, que utilizaba las herramientas de administración existentes para ocultar sus comportamientos. Esta vez quiero hablar de nuestras nuevas capacidades de caza de amenazas e investigación profunda.
Hace poco ayudé al equipo de seguridad de un cliente que fue víctima de un ataque phishing . Mi objetivo era ayudarles a llevar a cabo una investigación más profunda de un evento que detectaron inicialmente sin mi ayuda. Aunque se me da muy bien encontrar atacantes, mi objetivo es aumentar el número de humanos para que los analistas de seguridad puedan convertirse en cazadores de amenazas y respondedores a incidentes más rápidos y eficientes. La seguridad es mejor cuando trabajamos juntos.
En cualquier caso, empezamos con un empleado que recibió un correo electrónico phishing , en el que se le pedían credenciales de correo electrónico para un enlace a un sitio web incrustado en un PDF adjunto. Una vez que el atacante obtuvo las credenciales de correo electrónico, el atacante, haciéndose pasar por el empleado, envió un segundo correo electrónico phishing a otras personas de la empresa.
El segundo correo contenía otro PDF malicioso destinado a extender la posición del atacante en el interior de la empresa. Por suerte, un empleado diligente se percató del segundo correo electrónico de phishing y el equipo de seguridad fue notificado inmediatamente del incidente. El equipo de seguridad recurrió rápidamente a Recall para investigar lo sucedido.
Análisis de PDF y dominio de phishing
Al almacenar metadatos de red enriquecidos en un índice de búsqueda, permití al equipo de seguridad profundizar en los detalles de lo ocurrido tras sospechar que habían sido víctimas de un ataque phishing . El equipo de seguridad quería comprender mejor los detalles sobre el PDF sospechoso para identificar malware oculto.
Aunque el PDF no contenía ningún malware, la investigación condujo a un archivo alojado en Office 365 y a un enlace a un sitio web phishing en el que se pedía al empleado que introdujera las credenciales de Office 365.
El autor del PDF y el dominio de phishing se identificaron en los metadatos que guardo almacenados durante todo el tiempo que los necesite. El nombre del autor permitió al equipo de seguridad encontrar documentos similares a través de una investigación de código abierto.
También permití al equipo de seguridad utilizar mis capacidades de investigación de incidentes para encontrar el dominio de phishing en el correo electrónico original y determinar qué dispositivos host se comunicaban con ese dominio.
Dispositivos anfitriones primarios
Para agilizar la investigación, correlacioné los metadatos recopilados con cuentas y dispositivos host específicos. Esto permitió al equipo de seguridad realizar búsquedas basadas en un nombre concreto en un rango de datos específico.
En esta investigación, el equipo de seguridad identificó una ventana de tiempo en la que el correo electrónico phishing se envió por primera vez. Esto marcó el inicio del compromiso. A continuación, examinamos la actividad de la cuenta y los dispositivos host relacionados con el correo electrónico para ver exactamente qué había ocurrido antes y después del envío del correo electrónico de phishing .
Uso de LDAP
Nuestra investigación en los dispositivos host primarios mostró dos periodos anómalos poco después del compromiso inicial. El primer periodo coincidió con un pico de tráfico LDAP en toda la red. Una revisión posterior mostró que este pico estaba presente en varios, pero no en todos, los dispositivos host secundarios.
Al analizar el pico inicial de LDAP para los hosts principales, se observó aún más tráfico relacionado con el reconocimiento de LDAP, un signo de comportamiento anómalo. El pico de LDAP indicaba que la amenaza había progresado a través del ciclo de vida del ataque hacia comportamientos de reconocimiento y movimiento lateral.
Uso de DCE/RPC
Ambos dispositivos host experimentaron picos en el tráfico del entorno informático distribuido/llamada a procedimiento remoto (DCE/RPC) durante el ataque. Ninguno de estos picos coincidía con los aumentos en toda la red del entorno del cliente.
Es importante tener en cuenta que estas llamadas requieren la ejecución de código en los dispositivos host. Este tráfico está dirigido por aplicaciones, el sistema operativo o secuencias de comandos que se ejecutan en los sistemas de los dispositivos host.
Al analizar un pico observado en los dispositivos del host principal, encontramos un caso de más de 10.000 llamadas en un periodo de 10 minutos que contenía el tipo y el número de solicitudes típicos del reconocimiento de Active Directory (AD).
Dispositivos anfitriones secundarios
Tras el envío de la comunicación inicial, los dispositivos host secundarios se comunicaron con el dominio de phishing . Se observaron picos similares poco después de la comunicación inicial con el dominio de phishing .
Casi todas las comunicaciones procedían de un dispositivo anfitrión secundario. Al igual que la actividad observada con los hosts primarios, el repentino aumento de las solicitudes y los tipos de solicitudes apuntaban a comportamientos de reconocimiento.
Conclusión
A partir de los artefactos observados y de la investigación, mi Recall proporcionaron al equipo de seguridad un contexto concluyente sobre el ataque de phishing por correo electrónico y orientación detallada sobre cómo responder rápidamente.
Trabajando juntos, determinamos el alcance de la amenaza e identificamos los dispositivos host que estaban en peligro antes de que el ataque pudiera propagarse más y más profundamente dentro de la red.