Las herramientas y técnicas de ataque pueden cambiar con el tiempo, pero los comportamientos de ataque siguen siendo un indicador estable de los atacantes dentro de la red. Utilizar el comportamiento de ataque como una señal de alta fidelidad le permite tomar medidas rápidamente para detener los ataques o evitar daños mayores.
Utilizando metadatos de red, puede crear detecciones dirigidas a herramientas, exploits o técnicas de ataque específicas. Estas detecciones se pueden utilizar para dar una indicación temprana de la actividad de los atacantes de bajo nivel o para etiquetar las herramientas y los exploits utilizados por los atacantes para las detecciones de comportamiento.
Vectra ofrece los mejores modelos de IA y ML para descubrir a los atacantes dentro de su red, centrándose en estos comportamientos estables de los atacantes. También proporcionamos metadatos de red con formato Zeek que puede consumir con nuestro producto Vectra Recall producto, o directamente a su gestión de eventos de información de seguridad (SIEM) con nuestra Vectra Stream oferta. Puede utilizar nuestros metadatos de red para complementar las detecciones de comportamiento integradas basadas en IA y ML para descubrir herramientas y exploits de atacantes.
Los componentes básicos para encontrar herramientas de ataque y exploits
La combinación de los metadatos de red de Vectra y una serie de técnicas puede ayudar a identificar herramientas y exploits de atacantes dentro de su red. Estas técnicas pueden utilizarse por separado o conjuntamente para crear coincidencias generalizadas contra clases de herramientas o exploits, o coincidencias muy especializadas contra herramientas o exploits específicos.
Algunos de los componentes básicos de los metadatos de red para encontrar herramientas y exploits de atacantes son:
- Dominios DNS
¿Es el dominio DNS un dominio malo conocido? WannaCry, por ejemplo, utilizó dominios DNS como kill switch, pero otros utilizan DNS para C2 y para la exfiltración de datos.
- Emisor del certificado
¿Es el emisor del certificado la raíz esperada y de confianza? Los emisores de certificados baratos o gratuitos se utilizan con frecuencia en la usurpación de dominios para interceptar el tráfico a través de ataques man-in-the-middle (MITM) para robar credenciales.
- IP de origen y destino
¿Se sabe que la subred de origen o destino es mala o sospechosa? Las direcciones IP pueden utilizarse para identificar tráfico inusual o sospechoso dentro de su red.
- Agentes usuarios
¿Son los agentes de usuario esperados dentro de esta red o subred? Los agentes de usuario se utilizan para describir el navegador o el marco utilizado y pueden indicar un uso inusual o sospechoso.
- JA3/JA3S hashes
¿Es el cliente o el servidor un malhechor conocido? JA3 toma las huellas dactilares de los clientes (JA3) y servidores (JA3S) examinando una amplia variedad de información revelada durante el apretón de manos TLS. (Consulte este blog para conocer más formas de utilizar los hashes JA3/JA3S en las investigaciones y la caza de amenazas).
Búsquedas curadas con Vectra Recall
Elaborar buenas búsquedas puede ser difícil, incluso cuando se dispone de las mejores herramientas y bloques de construcción. Algunas búsquedas serán demasiado amplias y ruidosas, mientras que otras pueden pasar por alto una amenaza real debido a un alcance ligeramente reducido en la búsqueda.
Pero Vectrate cubre las espaldas. Nuestro equipo de investigación de seguridad y ciencia de datos invierte continuamente en nuevas búsquedas de exploits, herramientas y marcos específicos. Estas búsquedas se publican en nuestra plataforma Recall y te dan una ventaja a la hora de encontrar y etiquetar comportamientos de ataque de bajo nivel en tu red.
En el pasado reciente, hemos creado y publicado búsquedas de alta calidad en Recall para las siguientes amenazas y vulnerabilidades:
- Vulnerabilidad de Citrix ADC (CVE-2019-19781)
- Vulnerabilidad Curveball en las bibliotecas criptográficas de Microsoft (CVE-2020-0601)
- El troyano de acceso remoto Pupy, utilizado por conocidas APTs
- Campaña Fox Kitten, utilizada por APT que atacan vulnerabilidades de VPN
Estas nuevas incorporaciones complementan nuestra amplia biblioteca de búsquedas existentes que pueden ayudar a encontrar y etiquetar las amenazas que utilizan los siguientes exploits y herramientas:
- EternalBlue
- Cobalt Strike
- Metasploit
- Kali Linux
- Imperio
- Y muchas otras malas tácticas, técnicas y procedimientos (TTP) conocidos.
Automatización de búsquedas con Vectra Recall Modelos personalizados
Las búsquedas de alta calidad son valiosas para las investigaciones, pero crearlas y probarlas puede llevar mucho tiempo. Deje que Vectra haga el trabajo duro. Con Recall Custom Models, podemos automatizar estas búsquedas de detecciones casi en tiempo real. Sólo tiene que activar las detecciones de "Modelos personalizados" para que una búsqueda en Vectra Recall coincida automáticamente y alerte cuando se encuentren coincidencias.
La activación de modelos personalizados para una herramienta de ataque, un exploit o un TTP permite realizar un seguimiento rápido y sencillo de los comportamientos de ataque de bajo nivel dentro de la red antes de que se conviertan en un ataque en toda regla. El etiquetado de esta actividad también permite una respuesta más rápida y eficaz mediante la identificación de los libros de jugadas del atacante.
Para ver más de cerca cómo utilizar Vectra Recall para encontrar herramientas de ataque y exploits, programe una demostración.