Bsides Latam 2019
1 recomendación592 vistas
Este documento presenta sobre el estado actual del Blue Team, la ingeniería de detección y la cacería de amenazas. Resume que el Blue Team asume la violación y que la detección es más importante que la prevención. También resume herramientas como ATT&CK, PurpleSharp y Oriana que ayudan a simular adversarios y mejorar la detección mediante el análisis de frecuencia y la cacería de amenazas.
![Detection Analytics
✘ Event_Id=4771 And Failure_Code=0x18 group by Client_Address
where unique ( Account_Name) > [threshold]
✘ Event_Id=4776 And (ComputerName=Dc1 OR ...) group by
Source_Workstation where unique ( Logon_Account) > [threshold]
✘ Event_Id=4768 And Result_Code=0x12 group by Client_Address
where unique (Account_Name) > [threshold]](https://image.slidesharecdn.com/bsideslatam2019-191119013934/85/Bsides-Latam-2019-25-320.jpg)
![Hunt #1
✘ Recolección
tasklist.exe
pslist.exe
Get-Process
Sysmon
[Tu EDR]
✘ Analisis:
Reglas/firmas
Análisis de frecuencia ( Stacking )](https://image.slidesharecdn.com/bsideslatam2019-191119013934/85/Bsides-Latam-2019-32-320.jpg)
Bsides Latam 2019
- 1. Blue Team: Cazando y Detectando Amenazas Mauricio Velazco @mvelazco
- 2. ✘ Arequipa, Peru ✘ Geek | Ex pentester | Threat Management team lead @ FI ✘ Defcon, Derbycon, SANS TH, ATT&CKcon Bsides ( NY, Baltimore, Long Island ) ✘ @mvelazco | github.com/mvelazc0 #whoami
- 4. Agenda ✘ Blue Team: Estado del arte ✘ Detection Engineering ✘ Threat Hunting
- 5. 1. Blue Team: Estado del arte
- 6. Blue Team: Estado del arte ✘ Prevenir todos los ataques es imposible ✘ Assume breach Detection >= Prevention ✘ Visibilidad es una prioridad Logs, logs, logs ! Microsoft Enterprise Cloud Red Teaming https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Micro soft_Enterprise_Cloud_Red_Teaming.pdf
- 7. Blue Team: Estado del arte
- 8. Blue Team: Estado del arte ✘ Conocer al adversario y sus tácticas Threat Intelligence ATT&CK Framework - https://attack.mitre.org/ ✘ Simular al adversario Adversary Simulation Purple Teaming
- 10. APT38 - Lazarus Group https://attack.mitre.org/groups/G0082/ ✘ Financially motivated ✘ North Korea ✘ Bangladesh Central Bank ($ 1 Billion ) ✘ 16 organizaciones en 13 países
- 11. APT19 - Codoso https://attack.mitre.org/groups/G0073/ ✘ Cyber Espionage ✘ China ✘ Has leveraged 0day exploits ✘ Likes webshells
- 13. ✘ El proceso continuo de diseñar, crear, desplegar, operar y tunear formas de detección de amenazas aplicando conceptos de ingeniería Detection Engineering
- 14. Requerimientos ✘ Visibilidad apropiada Host Network Application ✘ Logs centralizados y normalizados SIEM ? ✘ Capacidad de hacer consultas
- 17. ADS Framework By Palantir ✘ Plantillas, procesos y convenciones ✘ Busca resolves algunos challenges: Falta de rigor/calidad Documentacion Fatigue alert Organización https://github.com/palantir/alerting-detection-strategy-framework
- 19. Proceso
- 20. Password Spraying ✘ Iterar sobre una lista de usuarios utilizando un password común ✘ Al usar solo un password, se minimiza la probabilidad de bloquear cuentas https://www.citrix.com/blogs/2019/07/19/citrix-concludes-investigation-of-unauthorized-internal-network-access/
- 21. PurpleSharp ✘ Herramienta en C# que simula técnicas usadas por atacantes con el objetivo de Crear nuevas formas de detección Poner a prueba los controles Identificar problemas de visibilidad ✘ github.com/mvelazc0/PurpleSharp Derbycon 2019 - I simulate therefore i catch: enhancing detection engineering with adversary simulation https://www.youtube.com/watch?v=7TVp4g4hkpg
- 25. Detection Analytics ✘ Event_Id=4771 And Failure_Code=0x18 group by Client_Address where unique ( Account_Name) > [threshold] ✘ Event_Id=4776 And (ComputerName=Dc1 OR ...) group by Source_Workstation where unique ( Logon_Account) > [threshold] ✘ Event_Id=4768 And Result_Code=0x12 group by Client_Address where unique (Account_Name) > [threshold]
- 26. Measure Detection Maturity 0 Simulation does not generate events 1 Simulation generates events locally 2 Simulation generates events centrally (no detection) 3 Simulation triggers a detection 4 Simulation triggers the response process
- 27. Measure Detection Maturity Name Date TXXX TXXX TXXX TXXX Analyst 1 12/1 0 0 1 1 Analyst 2 12/8 0 1 2 1 Analyst 3 12/15 1 2 3 2 Analyst 1 12/22 2 3 3 3
- 29. Threat Hunting ✘ Instrumentar nuevas y creativas formas de detectar al adversario proactivamente ✘ Respuesta a incidentes sin alerta ✘ Assume compromise
- 30. Proceso ✘ Definir una hipótesis ✘ Identificar/investigar los artifacts relevantes ✘ Recolectar y centralizar los artifacts ✘ Procesar los datos Reglas Analytics ✘ Ajustar analytics y/o remediar
- 31. Hunt #1 ✘ Hipótesis: Un binario malicioso ha sido ejecutado en un host de la red ✘ Artifacts relevantes: Event Id: 4688 ( Process Creation ) Event Id: 1 (Sysmon ) Listado de procesos Shimcache Prefetch .... …….
- 32. Hunt #1 ✘ Recolección tasklist.exe pslist.exe Get-Process Sysmon [Tu EDR] ✘ Analisis: Reglas/firmas Análisis de frecuencia ( Stacking )
- 33. Hunt #1
- 34. Hunt #1: Colección ✘ Get-Process -ComputerName pc1 | Select-Object ProcessName. Path, Company | Export-Csv -NoTypeInformation hunt1.csv ✘ Invoke-Command -ComputerName pc1 -Credential $cred -ScriptBlock {Get-Process | Select-Object ProcessName, Path, Company } | Export-Csv pc1.csv ✘ $pcs = Get-Content ./hosts.txt $pcs | % { $pc=$_; Invoke-Command -ComputerName $pc -Credential $cred -ScriptBlock { Get-Process | Select-Object ProcessName, Path, Company } | Export-Csv “$pc.csv”}
- 37. Hunt #1: Reglas ✘ Binarios de nombre corto (a.exe, 1.exe, x.exe) ✘ Nombres con entropía alta (xxyyz.exe, tldx.exe ) ✘ Binarios ejecutados desde folders inusuales ( Temp, Papelera de Reciclaje, AppData, ProgramData, etc. ) ✘ Nombres de binarios del sistema ejecutados fuera de los folders legitimate: svchost.exe, lsass.exe, etc.
- 38. Hunt #1: Frequency Analysis
- 39. Otras Hipotesis ✘ El atacante ha instalado persistencia en un equipo ✘ El atacante ha escalado privilegios a Administrador de Dominio ✘ El atacante ha obtenido acceso a las bases de dato ✘ El atacante ha ejecutado comandos remotamente para moverse lateralmente ✘ … … ...
- 40. Oriana ✘ Oriana is a threat hunting tool that leverages a subset of Windows events to run analytics and help defenders identify outliers and suspicious behavior in Windows environments. ○ Get-WinEvent & Export-CSV ○ Django Application, Python 2.7 ○ Bootstrap & DataTables
- 42. Oriana https://github.com/mvelazc0/Oriana Derbycon 2017 - Hunting Lateral Movement for Fun & Profit https://www.youtube.com/watch?v=hVTkkkM9XDg SANS Threat Hunting Summit www.sans.org/cyber-security-summit/archives/file/summit-a rchive-1536265369.pdf
- 44. Idea Final ✘ Los atacantes solo tienen que encontrar un vector de ataque que funcione ✘ Los atacantes solo tienen que equivocarse una vez para detectarlos
- 45. Blue Team: Cazando y Detectando Amenazas Mauricio Velazco @mvelazco