Indicador de compromiso

¿Qué son los Indicadores de Compromiso (IOC)?

Los Indicadores de Compromiso son esencialmente las migas de pan que los atacantes dejan tras de sí y pueden incluir una amplia gama de puntos de datos, tales como:

1. URL o nombres de dominio: Indicativos de conexiones a sitios phishing o servidores de comando y control.
2. Direcciones IP: Notable por señalar comunicación con fuentes maliciosas conocidas.
3. Nombres de archivos: Significan alteraciones no autorizadas, potencialmente por un atacante.
4. Hashes de archivos: Únicos para piezas específicas de malware o software no autorizado.

Vectra AI ayuda a identificar y analizar estos IoC, lo que permite a los equipos de los SOC responder rápidamente a las amenazas, mitigando los daños potenciales y reforzando la postura de seguridad de la organización.

Cómo encontrar los IOC (Indicadores de compromiso)

Es importante mantenerse alerta y estar al tanto de cualquier nuevo compromiso que se anuncie. Pero es igual de importante ser capaz de actuar ante nuevos indicadores de compromiso cuando oigas hablar de ellos. En esta sección, describiremos los IOC comunes, lo que pueden indicar, por qué debería importarte y cómo puedes buscar estos IOC en los metadatos de tu red.

Dominio COI

Cualquier actor externo necesita ser capaz de gestionar las brechas desde fuera de la red, y los dominios son una herramienta clave para ello. Como vimos recientemente en el exploit SUNBURST de SolarWinds, las operaciones de Command & Control se realizaban a través de dominios del tipo appsync-api. eu-west-1[.]avsvmcloud[.]com. También es una herramienta común en los intentos de phishing utilizar nombres de dominio que imiten sitios populares para evitar sospechas en su objetivo. Por ejemplo, si en phishing se intenta robar las credenciales de la cuenta de outlook de alguien, se podría utilizar un dominio como outlook.com.enteryourpassword.tk para evitar sospechas.

Los Indicadores de Compromiso de Dominio (IOC) son una fuerte señal de compromiso, ya que estos dominios han sido registrados por un actor malicioso y el tráfico para este propósito expreso. Si se observa alguna comunicación a un IOC de dominio, entonces esto justifica fuertemente la investigación.

Dominios defectuosos conocidos

Puede convertir fácilmente una lista de dominios maliciosos conocidos de cualquier fuente que tenga en una consulta Recall . Hemos creado un archivo de Excel para hacer esto para usted, que puede de un ingeniero de seguridad, y dada una lista como esta:

• Badominio1[.]com
• Badominio2[.]com

Primero convierta esta consulta en una consulta Lucene: Resp_dominio:(dominio_mal1.com OR dominio_mal2.com)

A continuación, ejecute esta consulta en sus metadatos de iSession Stream

Dominios sospechosamente familiares

1. Crea una lista de dominios comunes a los que acceden los usuarios de tu red. Por ejemplo: facebook, gmail, outlook, la intranet de tu empresa.  
2. Busque estos elementos en su actividad Vectra Recall iSession. P. ej. Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. Guardar esta búsqueda
4. Cree una nueva visualización de "Tabla de datos" con esta búsqueda como fuente y divida las filas por "Término" y agregue por "resp_domain" N.B. También podría dividir la fila por "Términos significativos", que mostrará los términos interesantes e inusuales, para reducir el ruido. Más información en: https://www.elastic.co/guide/en/elasticsearch/reference/current/searchaggregations-bucket-significantterms-aggregation.html  
5. Aparecerá una lista de los sitios más visitados que coinciden con su búsqueda. Los dominios legítimos deberían aparecer en primer lugar. Pase el ratón por encima de los elementos legítimos y haga clic para excluirlos.
6. Guardar esta visualización

Cualquier elemento que quede en esta tabla de datos justifica una investigación más profunda, y si son benignos deben ser excluidos. Al principio, es posible que tengas muchas variaciones internas del nombre de dominio de tu empresa. Por ejemplo, en Vectra AI tenemos un gran número de dominios internos Vectra AI como dev.vectrai.ai, activos de RRHH en hr.vectra.ai, etc. Tendrás que eliminar eficazmente estos falsos positivos para obtener datos útiles y procesables.

Después de unos días de comprobar manualmente esta visualización, si está satisfecho con los resultados restantes, debe convertir esta búsqueda en un modelo personalizado guardando la búsqueda subyacente y, a continuación, accediendo a la sección "Gestionar" de la interfaz de usuario de Detect. En la pestaña "Modelos personalizados", busque su nueva búsqueda guardada y actívela dentro de su modal de edición.

Direcciones IP COI

Puedes convertir fácilmente una lista de direcciones IP malas conocidas de cualquier fuente que tengas en una consulta a Recall . Hemos creado un archivo excel para hacer esto por ti, el cual puedes obtener de cualquier Ingeniero de Seguridad, pero dada una lista como esta:

• 192.0.2.1  
• 192.0.2.2

Primero convierta esta consulta en una consulta Lucene: Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

A continuación, ejecute esta consulta en su iSession Metatada Stream.

Puertos IOC

Nuevo uso del puerto

La mayoría del software utiliza un conjunto estándar de puertos externos para comunicarse. Cuando se observan nuevos puertos en la red, esto puede indicar la instalación de nuevo software en el entorno; o, en algunos casos, la comunicación desde un host comprometido. Vectra AI crea detecciones de nivel de información que informan cuando se observan nuevas conexiones externas en el entorno.

Es posible que desee agregar estos eventos utilizando stream para aprovechar la monitorización si se está utilizando nuevo software en la red o potencialmente si se están estableciendo canales C2 maliciosos. Estos eventos son causados principalmente por la actividad benigna de los usuarios, pero si su organización tiene una política de limitar las aplicaciones autorizadas, entonces la detección de nuevos puertos de sistemas fuera de su equipo de administración de TI puede ser un signo de actividad maliciosa, o una violación de la política, como mínimo.

Picos en el uso de puertos no comunes

Los picos de actividad en la red que afectan a puertos poco comunes pueden ser significativos y justifican una investigación más a fondo, ya que este puerto puede estar siendo utilizado por malware para comunicarse. Un aumento de la actividad requiere más investigación.

La mejor manera de revisar esta actividad es con una visualización de series temporales. Ya hemos creado una para usted en Vectra Recall llamada "Hunting off Indicators: Spikes in Uncommon Port Usage - data" ? Eje Y para contar.

A continuación se muestra un ejemplo de actividad. Los puertos más comunes usados han sido excluidos, y puedes ver dos puertos claramente en uso. El puerto 3283 se utiliza para iChat, que es benigno, y por lo tanto podría ser excluido, pero el puerto 40063 es nuevo, y podría justificar una investigación más a fondo. También deberías centrarte en los puntos aislados, que indican picos de tráfico que no se han visto en ningún otro momento durante el periodo de búsqueda.

Los pasos anteriores fueron:

• Crear un histograma de fechas con 24 horas de datos de iSession, con el recuento de conexiones como eje y
• Dividir los datos en una serie separada por puerto de respuesta (id.resp_p)
• Filtra puertos muy comunes, por ejemplo 80/443, etc.
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

Deberías intentar duplicar esta visualización y actualizar la consulta de búsqueda con puertos que sepas que son seguros dentro de tu organización. (Nota: si intenta realizar cambios en la visualización predeterminada de Recall , los cambios se sobrescribirán).

Del mismo modo, un pico de transferencia de datos desde un puerto poco común también es algo que merece la pena investigar y asegurarse de que has validado que es seguro.

Funciona de la misma manera que con el recuento de tráfico, pero debe ajustar el eje y para que muestre el total de datos enviados. Hemos creado una visualización llamada "Hunting off Indicators: Spikes in Uncommon Port Usage - data" que puedes utilizar como punto de partida para esto.

Véase también la sección Protocolos sobre puertos no estándar

Nombres de los archivos COI

Los archivos maliciosos pueden ser transportados en la red a través de SMB u otros protocolos, y luego podrían ser ejecutados en los hosts de destino, ya sea a través de procesos remotos o de ingeniería social. La vigilancia de determinadas extensiones de archivos maliciosos conocidas que pueden ser utilizadas por agentes malintencionados permite encontrar casos en los que los archivos se transfieren con fines nefastos.

El flujo de metadatos de archivos SMB en Vectra Recall muestra cada nombre de archivo con el que se ha interactuado, y estos datos pueden ser minados para encontrar datos que puedan ser sospechosos.

A continuación describiremos dos ejemplos concretos, pero su experiencia puede variar.

• Nombres de archivos sospechosos
• Caminos sospechosos

Nombres de archivos sospechosos

Los nombres de archivo escritos por los usuarios suelen contener palabras en inglés real, mientras que, por experiencia, los nombres de archivo pueden ser indicadores débiles de compromiso.

Algunos ejemplos son:

• Nombres de archivo muy largos, p. ej. TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• Archivos sin vocales, p. ej. dwtdfh.doc

Pero este tipo de búsquedas pueden ser muy ruidosas sin un contexto organizativo.

Puedes buscar nombres de archivo como estos utilizando búsquedas de expresiones regulares (regex). Estas búsquedas pueden ser bastante lentas, por lo que recomendamos realizar una búsqueda inicial de 15 minutos y ampliar el intervalo de tiempo una vez que se reduzca el ruido.

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

Esta búsqueda es una expresión regular, con la lógica de la expresión regular contenida en las barras inclinadas /

• .* = coincide con cualquier ruta
• \\ = barra invertida para indicar el inicio de un nombre de archivo
• [bcdfghjklmnpqrstvwxyz]{{4,} = 4 o más consonantes seguidas
• . = punto (indica el inicio de la extensión)
• .* = coincide con cualquier extensión

También puede realizar búsquedas similares en metadata_httpsessioninfo para supervisar el tráfico http no cifrado.

Utilizando la búsqueda anterior, debería intentar eliminar cualquier nombre de archivo común que sepa que no es malicioso. Por ejemplo, si un servidor de actualizaciones de Microsoft añade archivos a una carpeta específica con un nombre de archivo largo, puede excluir esos archivos de la búsqueda con un filtro de exclusión. Una vez que haya eliminado estos falsos positivos de la red, si es que aparecen, debería ampliar el intervalo de tiempo de búsqueda a su periodo de retención completo. Si hay muy pocos archivos implicados y cree que tienen importancia para la seguridad, debería intentar convertir su búsqueda en un modelo personalizado y empezar a disparar detecciones para estos nombres de archivo.

Rutas de archivos sospechosas

Algunas rutas pueden ser sospechosas en su red, y justifican una investigación, y para ello debe utilizarse una búsqueda similar a la del ejemplo anterior de nombres de archivo sospechosos.

Deberías recopilar una lista de rutas de archivos que sepas que son relevantes en tu org y crear una búsqueda para monitorizar los accesos contra ellas. Para este ejemplo, vamos a centrarnos en los accesos a archivos en /App/Data/Roaming/.

La búsqueda que debe realizar es: name:/ /App/Data/Roaming/.*/

Esta búsqueda coincidirá con cualquier acceso a archivos en ese directorio. En nuestro sistema, tuvimos muchos accesos legítimos a ellos desde 2 servidores de actualización. Para reducir el ruido de esta búsqueda, busca servidores legítimos que esperes que accedan a la carpeta que te preocupa y haz clic en el icono de alejar situado junto a su IP para excluir las peticiones de ese servidor.

Ja3 y Hassh

Ja3 y Hassh son métodos de huellas dactilares que pueden reconocer el origen de la actividad SSL o SSH, respectivamente, basándose en la información disponible de los paquetes de texto en claro enviados antes de que se complete el protocolo de cifrado.

Ja3

Ja3 es un método para crear huellas digitales SSL/TLS que pueden utilizarse para reconocer al cliente o servidor en una sesión dada. Por ejemplo, un cliente Tor estándar tendrá una huella Ja3 de e7d705a3286e19ea42f587b344ee6865.

Las huellas Ja3 pueden indicar la actividad realizada por la misma aplicación en varios clientes, y también pueden utilizarse para comprobar los IOC. No se trata de una solución infalible, ya que es posible que los atacantes avanzados alteren las huellas subyacentes. Por ejemplo, para comprobar si se ha visto actividad de TOR en su red, vaya al flujo metadata_ssl* y busque: Ja3:e7d705a3286e19ea42f587b344ee6865

Puedes leer más sobre Ja3 en el perfil de github, el repositorio de huellas dactilares de Ja3 impulsado por la comunidad, la lista de huellas dactilares de JA3 de malicius se puede encontrar en abuse.ch.

Hassh y HasshServer

Hassh utiliza una lógica similar a Ja3 en las conexiones SSH, creando huellas dactilares de las conexiones SSH, esto se puede utilizar para detectar donde un cliente específico se ha estado comunicando a través de SSH con múltiples servidores diferentes, y para ver si alguna actividad que aparece es novedosa.

Hassh es particularmente útil en entornos estrechamente controlados. Si hay alguna sección importante en una red, entonces se podría buscar específicamente en la actividad SSH de esa subred para ver qué Hassh se utilizan allí. Se debe realizar la debida diligencia en estas conexiones para asegurarse de que ninguna de esta actividad es maliciosa, y luego cada Hassh seguro debe ser excluido de la búsqueda haciendo clic en el al lado del campo. Finalmente, no debería ver ningún Hassh nuevo en esta subred, por lo que podría guardar esta búsqueda y activarla como modelo personalizado (Desde gestionar -> modelos personalizados en la interfaz de usuario de detección).

El perfil de la comunidad Github para Hassh enumera muchos otros usos de estos datos.

Para mejorar su postura de seguridad y garantizar que su organización está bien equipada para detectar y responder a las amenazas con rapidez, la detección de IoC es esencial. Vectra AI ofrece soluciones avanzadas que se integran perfectamente con su infraestructura de seguridad existente, proporcionando detección en tiempo real e inteligencia procesable. Póngase en contacto con nosotros hoy mismo para reforzar su ciberdefensa.