Cuando un analista detecta una intrusión, el factor más crítico es analizar el contexto de la misma. Para ello, se identifican las tácticas, técnicas y procedimientos (TTP) del atacante. Los modelos de inteligencia de amenazas (kill chain y modelo Diamond) aceleran el análisis de intrusiones determinando rápidamente:
- Cómo actúan los atacantes (múltiples)
- En qué fase de la intrusión se encuentra el ataque
- Qué esperar del ataque
Con la información adicional presentada por la plataforma de detección y respuesta a amenazas Vectra AI, impulsada por Attack Signal Intelligence™, a continuación, verá detecciones contextualizadas durante una intrusión.
Análisis de intrusiones en tiempo real para una toma de decisiones informada
Echemos un vistazo más de cerca a cómo la plataforma de detección y respuesta a amenazasVectra AI permite el análisis de intrusiones en tiempo real para que pueda tomar decisiones informadas con respuestas automatizadas contextualizadas.
Las detecciones correlacionadas dan a la intrusión una puntuación de cuadrante por contexto
Varias detecciones correlacionadas activaron una alerta y situaron al host víctima en Vectra's HIGH quadrant score.
Vectraprioriza el nivel de urgencia de un ataque basándose en el número de técnicas utilizadas por un atacante y el progreso del propio ataque. Los hosts y cuentas en los cuadrantes alto y crítico se consideran urgentes y merecen atención inmediata.
Esta elevada puntuación en el cuadrante fue confirmada por las alertas de punto final del EDR del cliente. Armados con esta información crítica, los analistas de Vectra MDR continuaron su investigación.
Detecciones activadas e inteligencia sobre amenazas Vectra Match
Esta detección desencadenó más análisis, que revelaron que el host estaba generando actividad DNS o realizando conexiones directas asociadas con IPs o dominios externos maliciosos. En este caso, se contacta directamente con el dominio rotation.craigconnors[.]com (denominado "rotation" a continuación) en el puerto 8080 y se considera malicioso. Se intercambian datos (algunos KB enviados y recibidos). La fase de ataque está relacionada con el C&C, lo que indica comunicaciones externas de la infraestructura del adversario.
Cf:
Al comprender y detallar la actividad del grupo de amenazas, Vectra MDR pudo contextualizar el comportamiento, en lugar de preguntarse, ¿fue una huella digital? ¿Se hizo mediante wscript? ¿Cuál era el objetivo del atacante en la cadena de asesinato?
Vectra MDR nos da claridad y contexto al comportamiento de las amenazas.
Anomalía de privilegios: servicio inusual - Insider
Otra detección se activó cuando una cuenta con una puntuación de privilegios baja se utilizó desde un host que también tenía una puntuación de privilegios baja para acceder a un servicio que tiene una puntuación de privilegios sustancialmente más alta. Al otro lado de la cortina, este host infectado estaba realizando un ataque Kerberoasting , y al activar el servicio HTTP solicitando un ticket TGS, detectamos la anomalía privilegiada.
¿Qué es la puntuación de privilegio y cuál es el riesgo?
La puntuación de amenaza de esta detección viene determinada por las puntuaciones de privilegios(consulte este enlace para obtener más detalles sobre lo que denominamos "privilegios" en la sección " AI Detection Case Study: Privilege Credential Abuse in the Network and Cloud ") de las tres entidades Kerberos (cuenta, host y servicio). La puntuación de la amenaza depende del grado de desajuste en las puntuaciones de privilegios, como cuando se accede a un servicio con privilegios altos desde hosts y cuentas con privilegios bajos o medios.
Esta detección forma parte de un intento de fase de movimiento lateral de un atacante. Los movimientos laterales dentro de una red que implican cuentas, hosts o servicios privilegiados exponen a una organización a un riesgo sustancial de adquisición y exfiltración de datos.
Investigación: metadatos y pivotes
Almacenar metadatos es ventajoso, porque permite buscar tanto en tiempo real como retrospectivamente comportamientos sospechosos observados en el entorno.
Siempre es malo que un tercero te notifique una posible intrusión. Sin embargo, es mucho peor cuando la intrusión es real y te das cuenta de que tienes una laguna en tus capacidades de supervisión y recopilación de datos.
Gracias a nuestra plataforma de detección y respuesta a amenazas impulsada por IA con metadatos enriquecidos y almacenados, podemos avanzar hacia la investigación y la respuesta a incidentes, categorizando las actividades y las detecciones desencadenadas para crear una cronología de eventos.
A continuación se muestran algunos "cubos" en los que pudimos buscar para reconstruir la actividad maliciosa y hacer comentarios e hipótesis.
* Recordatorio: Un COI es un indicador con contexto: Una IP NO es un IOC. Una IP que indica una infraestructura C2 o adversaria (por ejemplo, un WordPress comprometido, que sirve al descargador del adversario es un IOC).
** Ataque de cifrado downgrade observado e investigado.
*** Único en Vectra, no en la salida estándar de Bro.
Análisis de intrusión-Grupos de actividad
A continuación, evaluamos y agrupamos algunas actividades en función de su funcionamiento.
A continuación describimos el "modus operandi" de varias actividades vinculadas. Para ello, utilizamos el modelo kill chain para describir las fases de las intrusiones y mapear los indicadores del adversario para la identificación (y luego la prevención) de la actividad de intrusión cibernética.
En la siguiente parte de este artículo, nos centraremos más en la cadena de muerte verde anterior. Como se muestra en la imagen anterior, se pueden identificar varios grupos de actividad en las intrusiones modernas. Algunos de ellos no están relacionados con la intrusión real que investigamos (aquí el "Grupo de Actividad 1" vinculado a otras capacidades del Cibercrimen). Algunos dependen de otros.
¿Y si no se detiene el ataque?
¿Qué podría haber pasado si no hubiéramos detenido el "Grupo de Actividad 2" en verde? El "Grupo de Actividad 3" en rojo habría podido continuar sus operaciones. Algunos grupos de amenazas dependen de otros, como cuando el "Grupo de actividad 3" utiliza el acceso previo del "Grupo de actividad 2" para cargar sus propios malwares y cargas útiles (léase Cobalt Strike, malwares y, a continuación, despliegue de ransomware).
Esto podría ser una posible dependencia de negocio, indicando que el "Grupo de Actividad 2" está proporcionando el servicio de pago por instalación, o el servicio de pago del Agente de Acceso Inicial.
Modelo Diamante
Procedente del mundo de la Inteligencia, el Modelo Diamante puede utilizarse para la actividad maliciosa "así como para los conceptos analíticos básicos utilizados para descubrir, desarrollar, rastrear, agrupar y, en última instancia, contrarrestar tanto la actividad como al adversario". Este modelo puede aplicarse a cada uno de los niveles de eventos de intrusión que se describen a continuación (es decir, las fases KC de la izquierda).
Describe las cuatro características principales presentes en todo evento malicioso: que por cada evento de intrusión existe: "Un adversario dando un paso hacia un objetivo previsto mediante el uso de una capacidad sobre la infraestructura contra una víctima produciendo un resultado".
¿Por qué no utilizamos MITRE ATT&CK solamente? Lo hicimos.
Como analistas, utilizamos un modelo para abarcar no sólo las capacidades/tradecraft y las metodologías de ataque desde las que se cuenta MITRE ATT&CK , sino los cuatro vértices del Modelo Diamante (Adversario, Capacidades, Infraestructura y Víctima) para describir una "amenaza" que no puede definirse sólo con TTPs o Malware(s).
Por último, podemos mapear el grupo de actividad en sí, observado con este modelo de representación.
Los elementos en rojo son lo que consideramos características de "máxima" confianza de este grupo de actividad. Esto significa que si una de ellas cambia, el grupo de actividad es diferente.
Intentamos definir aquí los componentes centrales de este grupo de actividad, que pueden ser, por ejemplo: La forma en que ofuscan el JavaScript, las metodologías de ataque observadas o las preferencias de uso del hosting ruso pueden ser puntos comunes para rastrearlo.
Conclusión
La detección y priorización basadas en IA combinadas con el análisis humano mediante metadatos enriquecidos para la investigación pueden ayudar a identificar y combatir las amenazas en su organización. Esta combinación de herramientas basadas en IA, conocimientos humanos y metadatos proporciona la experiencia, el contexto y la claridad necesarios, en un proceso coherente y repetible. Este proceso es primordial a la hora de aplicar la inteligencia sobre amenazas al análisis de intrusiones. Permite a los analistas abarcar y describir las amenazas con el mismo lenguaje a lo largo del tiempo, simplificando y mejorando nuestra inteligencia sobre amenazas al aportar claridad a lo que observamos. Las acciones de caza y defensa resultantes de estas amenazas modelizadas podrían ser beneficiosas para todos los clientes al permitirles tomar decisiones informadas más rápidamente en el ciclo de vida de la amenaza.