Gestión de incidentes de seguridad

Guía del NIST para la gestión de incidentes de seguridad:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Detección y análisis

Correlación de eventos, análisis, detección, inteligencia, alertas

En el análisis de los eventos y alertas, se pueden utilizar preguntas como: Que, Como, Cuando,
Porque, Para que, Quien.

Message

Apr 14 13:47:07 GMT IPS_CTG AlertLog: N/A,Signature,2021-04-14 13:47:06 UTC,MALWARE:

njRat,TrafficDetected,High,6,Medium,IPS,61.219.11.153,63901,170.50.30.10,80,Malware,bot
net,Outbound,Attack Blocked,signature,http,tcp
Message

17-04-2021 20:41:32 WARNING 16398 Intrusions "HTTP-MISC-AnonGhost-DOS-4" TCP

61.219.11.153 64200 170.50.30.10 80 3 Regular "DDoS " occur 1 0 N/A high dest-reset
Realizar el análisis/investigación, obtener eventos, logs, pistas y documentar lo obtenido.
Identificar el alcance y severidad que tiene el evento, ¿es un incidente?, o puede ser una
comunicación conocida de un sistema interno y confiable. Hacer un Triage y darle una
clasificación y severidad (Critico-alto-medio-bajo, malware-intrusion-fraude).

Identificar el alcance y la severidad, cuantas maquinas tienen relación con el evento, fue una
infección masiva, cuantos usuarios recibieron el correo electrónico, cuantas maquinas o
recursos se conectaron con una IP, entre otros. Identificar indicadores de compromiso (IOCs),
que pueden ser direcciones dirección IP, hash, dominio, correo electrónico, etc. Investigar de
ellos, si es un malware o un artefacto (archivo-código-ejecutable) poder hacer un análisis
dinámico para identificar sus comportamientos, si son maliciosos, etc. Buscar en fuentes de
información abiertas y cerradas mayor detalle sobre la reputación y relación con actividades
maliciosas de estos indicadores, si han sido parte de una campaña maliciosa, un actor de
amenaza, explotación de vulnerabilidades, entre otros.
Desde cuando se presentó el evento, hacer una trazabilidad y línea de tiempo, cual es el
indicador identificado, cual es la dirección IP que hizo el ataque, con cuantas direcciones de la
empresa tuvo contacto, cuantos recursos internos tuvieron comunicaciones con esta. Hay
maquinas que se intentan conectar a dominios sospechosos o maliciosos.
Se ven varias direcciones IP con las la IP identificada tuvo contacto, varias herramientas de
seguridad detectaron comportamientos maliciosos y bloquearon las conexiones. Las
comunicaciones fueron web, a través de HTTP y HTTPS, por los puertos 80 y 443.

Estamos analizando la dirección IP 61.219.11.153, que el IOC relacionado con este evento, con
el ataque y con el incidente de seguridad. Vamos a suponer que este género afectación sobre
alguna aplicación.

Vamos a obtener mayor información de esta dirección, por ejemplo, con las siguientes fuentes
de inteligencia:

https://www.brightcloud.com/tools/url-ip-lookup.php

https://www.abuseipdb.com/check/

https://talosintelligence.com/reputation_center

https://www.cyren.com/security-center/cyren-ip-reputation-check-gate

https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test/lookup/1

https://www.virustotal.com/gui/home/search
Contención, erradicación y recuperación:

Luego de evidenciar que los IOCs analizados tienen comportamientos maliciosos, mala
reputación y están relacionados a actividades maliciosas, procedemos a aplicar acciones de
contramedidas o contenciones (bloqueos y restricciones). Vamos a contener el ataque, cortar la
cadena de ataque (kill chain) y prevenir que futuros eventos similares.

Luego de bloquear la dirección IP 61.219.11.153 en diferentes herramientas y plataformas de

seguridad, como firewalls, ips, antiDoS, etc. Las comunicaciones van a ser denegadas.

Message

Apr 13 2021 02:12:08 : %ASA-6-106015: Deny TCP (no connection) from 170.50.30.10 /443 to
61.219.11.153/62912 flags RST ACK on interface DMZ
Message

Apr 22 2021 07:17:56%ASA-4-106023: Deny tcp src Public_146:61.219.11.153/61152 dst

Interna_170.50.30.10/4782 by access-group "access"

También para nuestro ejercicio lo podemos bloquear en el firewall de Windows (en tu maquina),
si tienes disponible una herramienta de seguridad como un IPS o web proxy también lo puedes
bloquea allí.

Para este caso (como un ejemplo), vamos a simular que este dominio y la dirección IP publica
que tiene son maliciosos: 35.186.241.3 - filehippo.com
Antes del bloqueo:
Después del bloqueo:

Parte II

Análisis de archivo malicioso, que llego por correo electrónico (phishing) para engañar a los
usuarios y realizar actividades maliciosas.

Archivo (artefacto) llamado: estado de cuenta.pdf

Hash del archivo:

839578b02ebd18f94c48a6834f4a941a1830e01e89edc28108ee7c19808ce159

Verificación en virus total:

https://www.virustotal.com/gui/file/839578b02ebd18f94c48a6834f4a941a1830e01e89edc28
108ee7c19808ce159/detection
Verificación de sandboxing en hybrid-analysis

https://www.hybrid-
analysis.com/sample/839578b02ebd18f94c48a6834f4a941a1830e01e89edc28108ee7c19808c
e159/5fc94bfacccff2705f5f7df0

Análisis dinámico con sandboxing (Cisco AMP)

Se identifican comportamientos maliciosos del artefacto, como que contiene un enlace o link
malicioso, que es detectado por el motor de antivirus, contiene hipervínculos el archivo pdf y
contiene URIs.
Al igual que como se identificó la IP maliciosa en la parte superior, aquí identificamos el dominio
acortaul[.]com dentro del artefacto y podemos verificar la reputación de este dominio, sin
embargo, por estar dentro de un archivo malicioso, ya nos deja mucho que desear.

Este dominio también podemos bloquearlo o contenerlo, como contramedidas, para contar la
cadena de ataque (kill chain) y disminuir así las posibilidades de éxito de la amenaza. Esto lo
podemos hacer en un web proxy, una herramienta de protección de endpoint que haga filtrado
de navegación, firewalls, etc.

También, podemos bloquear el hash del archivo malicioso, en herramientas de antivirus,

protección de endpoint como EDR, web proxy, protección de correo electrónico, etc.

Se pueden bloquear, eliminar y erradicar todas las muestras de este archivo que se encuentren
en las máquinas de los usuarios o los buzones de correo.