Documentos de Académico
Documentos de Profesional
Documentos de Cultura
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Detección y análisis
En el análisis de los eventos y alertas, se pueden utilizar preguntas como: Que, Como, Cuando,
Porque, Para que, Quien.
Message
Identificar el alcance y la severidad, cuantas maquinas tienen relación con el evento, fue una
infección masiva, cuantos usuarios recibieron el correo electrónico, cuantas maquinas o
recursos se conectaron con una IP, entre otros. Identificar indicadores de compromiso (IOCs),
que pueden ser direcciones dirección IP, hash, dominio, correo electrónico, etc. Investigar de
ellos, si es un malware o un artefacto (archivo-código-ejecutable) poder hacer un análisis
dinámico para identificar sus comportamientos, si son maliciosos, etc. Buscar en fuentes de
información abiertas y cerradas mayor detalle sobre la reputación y relación con actividades
maliciosas de estos indicadores, si han sido parte de una campaña maliciosa, un actor de
amenaza, explotación de vulnerabilidades, entre otros.
Desde cuando se presentó el evento, hacer una trazabilidad y línea de tiempo, cual es el
indicador identificado, cual es la dirección IP que hizo el ataque, con cuantas direcciones de la
empresa tuvo contacto, cuantos recursos internos tuvieron comunicaciones con esta. Hay
maquinas que se intentan conectar a dominios sospechosos o maliciosos.
Se ven varias direcciones IP con las la IP identificada tuvo contacto, varias herramientas de
seguridad detectaron comportamientos maliciosos y bloquearon las conexiones. Las
comunicaciones fueron web, a través de HTTP y HTTPS, por los puertos 80 y 443.
Estamos analizando la dirección IP 61.219.11.153, que el IOC relacionado con este evento, con
el ataque y con el incidente de seguridad. Vamos a suponer que este género afectación sobre
alguna aplicación.
Vamos a obtener mayor información de esta dirección, por ejemplo, con las siguientes fuentes
de inteligencia:
https://www.brightcloud.com/tools/url-ip-lookup.php
https://www.abuseipdb.com/check/
https://talosintelligence.com/reputation_center
https://www.cyren.com/security-center/cyren-ip-reputation-check-gate
https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test/lookup/1
https://www.virustotal.com/gui/home/search
Contención, erradicación y recuperación:
Luego de evidenciar que los IOCs analizados tienen comportamientos maliciosos, mala
reputación y están relacionados a actividades maliciosas, procedemos a aplicar acciones de
contramedidas o contenciones (bloqueos y restricciones). Vamos a contener el ataque, cortar la
cadena de ataque (kill chain) y prevenir que futuros eventos similares.
Message
Apr 13 2021 02:12:08 : %ASA-6-106015: Deny TCP (no connection) from 170.50.30.10 /443 to
61.219.11.153/62912 flags RST ACK on interface DMZ
Message
También para nuestro ejercicio lo podemos bloquear en el firewall de Windows (en tu maquina),
si tienes disponible una herramienta de seguridad como un IPS o web proxy también lo puedes
bloquea allí.
Para este caso (como un ejemplo), vamos a simular que este dominio y la dirección IP publica
que tiene son maliciosos: 35.186.241.3 - filehippo.com
Antes del bloqueo:
Después del bloqueo:
Parte II
Análisis de archivo malicioso, que llego por correo electrónico (phishing) para engañar a los
usuarios y realizar actividades maliciosas.
https://www.virustotal.com/gui/file/839578b02ebd18f94c48a6834f4a941a1830e01e89edc28
108ee7c19808ce159/detection
Verificación de sandboxing en hybrid-analysis
https://www.hybrid-
analysis.com/sample/839578b02ebd18f94c48a6834f4a941a1830e01e89edc28108ee7c19808c
e159/5fc94bfacccff2705f5f7df0
Este dominio también podemos bloquearlo o contenerlo, como contramedidas, para contar la
cadena de ataque (kill chain) y disminuir así las posibilidades de éxito de la amenaza. Esto lo
podemos hacer en un web proxy, una herramienta de protección de endpoint que haga filtrado
de navegación, firewalls, etc.
Se pueden bloquear, eliminar y erradicar todas las muestras de este archivo que se encuentren
en las máquinas de los usuarios o los buzones de correo.