UNIVERSIDAD CATÓLICA DE COLOMBIA

Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Workshop: Threat Hunting con MITRE ATT&CK

Instructor: Diego Osorio Reina

Descripción: El actual entorno de ciber amenazas, ciberataques y constante

crecimiento de la probabilidad de ser víctimas de cibercriminales hacen que las
tendencias en la materia sean pesimistas y que en muchas encuestas 3 de cada 4
profesionales de TI vean altamente probable ser impactados en los próximos
meses, en contexto surge una práctica de ciberdefensa denominada cacería de
amenazas o en Inglés Threat Hunting, que busca aprovechar al máximo la
información técnica existente para buscar de forma temprana potenciales
intrusiones ocultas dentro de la organización, en esta ocasión presentaremos un
taller en este tipo de ejercicio que se soportará en la matriz y metodología de
MITRE ATT&CK.

Instrucciones:

Sitio web: https://7315-190-27-40-172.ngrok.io/

Credenciales:
Usuario: helk
Contraseña: hunting

Contexto: https://attack.mitre.org/groups/G0016/

Ingles:
APT29 is threat group that has been attributed to Russia’s Foreign
Intelligence Service (SVR). They have operated since at least 2008, often
targeting government networks in Europe and NATO member countries,
research institutes, and think tanks. APT29 reportedly compromised the
Democratic National Committee starting in the summer of 2015

In April 2021, the US and UK governments attributed the SolarWinds supply

chain compromise cyber operation to the SVR; public statements included
citations to APT29, Cozy Bear, and The Dukes. Victims of this campaign
included government, consulting, technology, telecom, and other
organizations in North America, Europe, Asia, and the Middle East. Industry
reporting referred to the actors involved in this campaign as UNC2452,
NOBELIUM, StellarParticle, and Dark Halo

Español:
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

APT29 es un grupo de amenazas que ha sido atribuido al Servicio de

Inteligencia Exterior (SVR) de Rusia.Han operado desde al menos 2008, a
menudo dirigidos a redes gubernamentales en Europa y países miembros
de la OTAN, institutos de investigación y grupos de expertos. Según se
informa, APT29 comprometió al Comité Nacional Demócrata a partir del
verano de 2015.

En abril de 2021, los gobiernos de EE. UU. Y el Reino Unido atribuyeron la

operación cibernética de compromiso de la cadena de suministro de
SolarWinds al SVR; las declaraciones públicas incluyeron citas de APT29,
Cozy Bear y The Dukes.Las víctimas de esta campaña incluyeron
organizaciones gubernamentales, de consultoría, tecnología,
telecomunicaciones y otras organizaciones en América del Norte, Europa,
Asia y Medio Oriente. Los informes de la industria se refirieron a los actores
involucrados en esta campaña como UNC2452, NOBELIUM, StellarParticle
y Dark Halo.

Playbook APT 29
https://attackevals.mitre-engenuity.org/enterprise/apt29/
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Herramienta utilizada para la labor de Threat Hunting

https://github.com/Cyb3rWard0g/HELK
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Playbook APT 29
https://www.youtube.com/watch?v=TLg23N_Fa4c
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Ejecución

Paso Discovery HELK Casilla Search Descripción

no.
1 Seleccione la fecha de descubrimiento entre May 1 2020 00:00 – May 2 23:0000 NA
2 En la casilla de búsqueda Image: "*.scr" Se busca por un archivo de tipo
escriba y pique en update salvapantalla
3 En la casilla de búsqueda ProcessGuid: "{47ab858c-e13c-5eac-a903-000000000400}" Se busca por procesos asociados
escriba y pique en update con la creación del archivo
salvapantalla
En la casilla de búsqueda ProcessGuid: "{47ab858c-e13c-5eac-a903-000000000400}" and Se busca por procesos asociados
escriba y pique en update (EventID: 3 or EventID: 22) con la creación del archivo
salvapantalla que se hayan
conectado a la red y que hayan
hecho resolución DNS
4 Seleccione en la parte izquierda (avilable fields) ProcessGuid (add), CommandLine, (add), Image Se complementa la visualización
(add), EventID (add) con tres columnas
5 Explore el EventID 3 e identifique la IP y puertos externos Búsqueda de un sospechoso
Command & Control en puerto no
típico
6 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e13c-5eac-a903-000000000400}" Se busca los procesos
escriba y pique en update hijos del proceso
original creador del
archivo salvapantalla
7 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e188-5eac-b003-000000000400}" Se buscan los procesos hijos del
escriba y pique en update primer cmd
8 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e144-5eac-ab03-000000000400}" Se buscan los procesos hijos del
escriba y pique en update segundo cmd
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Paso Discovery HELK Casilla Search Descripción

no.
9 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e1f8-5eac-bc03-000000000400}" Se buscan los procesos hijos del
escriba y pique en update primer cmd/ primer powershell
10 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e18b-5eac-b103-000000000400}" Se buscan los procesos hijos del
escriba y pique en update primer cmd/ segundo powershell
11 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e1e3-5eac-b503-000000000400}" Se buscan los procesos hijos del
escriba y pique en update primer cmd/ primer sdclt.exe
12 En la casilla de búsqueda Image: "*sdclt.exe" and EventID: 1 Se tiene la hipótesis de un intento
escriba y pique en update de bypass User Acces Control
13 En la casilla de búsqueda ParentProcessGuid: "{47ab858c-e1e3-5eac-b603-000000000400}" Se buscan los procesos hijos del
escriba y pique en update primer cmd/ primer
sdclt.exe/control
14 Explore el commandline en busca de la mención del archivo monkey.png Se busca alguna anomalía en el
powershell
15 En la casilla de búsqueda System.Drawing.Bitmap and EventID: 1 Se buscan anomalías similares a la
escriba y pique en update anterior
16 Seleccione en la parte izquierda (avilable fields) ParentProcessGuid (add) Se adiciona una columna de
visualización
17 Evalúe si los eventos (5) tienen el mismo proceso padre Se ratifica la hipótesis de bypass
de User Access Control a través de
una imagen png ofuscada
18 En la casilla de búsqueda EventID: 12 and Message: "*DeleteKey*" and Image: Se confirma que uno de los
escriba y pique en update "*powershell.exe" procesos powershell vistos borro
llaves de registro, se observan 4
eventos para el 1 de mayo y 4 para
el 2 de mayo (el evento 12 es crear
o borrar llaves de registro)
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Paso Discovery HELK Casilla Search Descripción

no.
19 Seleccione en la parte izquierda (avilable fields) ParentProcessGuid (add), TargetObject (add) Se adiciona una columna de
visualización
20 En la casilla de búsqueda TargetObject: "HKU\S-1-5-21-1830255721-3727074217- Se encuentran 4 eventos borrando
escriba y pique en update 2423397540-1107_Classes\Folder\shell\open\command" llaves de registro en mayo 1, la
hipótesis es que el cibercriminal
esta encubriendo su actividad
21 Inspeccione los 4 hits y en el campo “messages” identifique si está borrando o creando una llave de la hipótesis es que el cibercriminal
registro esta encubriendo su actividad, el
proceso b103 ya se había vista, se
trata de uno de los powershell hijos
de un cmd
22 En la casilla de búsqueda "*\\Microsoft\\Windows\\Start Menu\\Programs\\StartUP" and Image: Se tiene la hipótesis de
escriba "*powershell.exe" persistencia

Examine el TargetFileName
23 Examine el TargetFileName en el capo “messagess” Se ratifica que esta creando un
archivo para mantener persistencia
en la máquina, el procesos
poweshell c603 es uno de los ya
identificados donde se manipulaba
el archivo monkey.png

Ayuda – Referencia EventID Sysmon

https://static1.squarespace.com/static/552092d5e4b0661088167e5c/t/5d5588b51fd81f0001471db4/1565886646582/Wind
ows+Sysmon+Logging+Cheat+Sheet_Aug_2019.pdf
UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Sysmon
 UNIVERSIDAD CATÓLICA DE COLOMBIA
Noviembre de 2022
WORKSHOP

Threat Hunting con MITRE

ATT&CK

Ayuda – Adversary Emaulation APT29

https://www.youtube.com/watch?v=fJAuBrzYTzI