IOCs: Defensa
Colaborativa frente
Amenazas Avanzadas
David Pérez Comendador
@perez_1987
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2
Índice
1. Datos sobre el CiberCrimen en
2015
2. Servicios del CiberCrimen
3. Casos conocidos del CiberCrimen
en 2015
4. ¿Cómo podemos combatir ante el
CiberCrimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 3
1. Datos sobre el CiberCrimen en 2015
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 4
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 5
Datos Víctimas del
CyberCrimen en 2015
431 MILLONES
Víctimas del CiberCrimen
(69 % ADULTOS)
+1 MILLON / DIA
50000 / HORA
820 / MINUTO
15 VICTIMAS POR
SEGUNDO!!!!!!
Fuente: Microsoft
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 6
2. Servicios del CiberCrimen
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 7
El servicio del
CiberCrimen• Infraestructura
• Datos
• Pago por instalación
• Hacking
• Traducción
• Lavado de dinero
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 8
3. Casos conocidos del CiberCrimen en
2015
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 9
Casos del CiberCrimen
conocidos en 2015:
Anthem en febrero reconoció un robo
de datos de 80 millones de clientes por
un ataque con un coste aprox 100
millones de $
AdultFriendFinder en marzo sufrió el
robo de los datos de clientes. Los
atacantes ofrecieron 70 bitcoint s
(17000 $) por la BBDD. Fue publicada.
En febrero una comisaría de Illinois
pagó 500 $ por recuperar la info de uno
de sus ataques
Fuente: Informe PandaLabs 2015.
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2014/07/Pandalabs-2015-anual-ES.pdf
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 10
4. ¿Cómo podemos combatir ante el
CiberCrimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 11
Fuente: IBM
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 12
¿Cómo podemos combatir ante el ciber
crimen organizado?
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 13
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 14
¿De qué manera podemos compartir
información?
“IOC es la descripción de un
incidente de ciberseguridad,
actividad y/o artefacto malicioso
mediante patrones para ser
identificado en una red o endpoint
pudiendo mejorar así las
capacidades ante la gestión de
incidentes.”
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 15
¿Cómo y dónde podemos generar y/o
compartir IOCs?
• ¿Dónde?:
• ¿Cómo?:
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 16
Representa un lenguaje para la
especificación, la captura, la
caracterización y comunicación de
información estandarizada amenaza
cibernética de una manera estructurada
para apoyar los procesos de gestión de
amenaza cibernética más eficaces y
aplicación de automatización, soportado
por OASIS
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 17
¿Qué caracterizamos con cada tipo de objeto?
Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 18
Ejemplos:
+90 Tipos (Ficheros, IPs, E-mails, Claves de Registro)
IP: 192,168,1,1
Hash: a98079807649123..
Fichero: FileName prueba_malware.exe
Descripción de algo que se pueda ver
El md5 a98079807649123… es un MW del tipo Kido
Email desde [email protected] es phishing
Información acerca de una investigación de un incidente de ciberseguridad
El equipo PANDA-DAVID, propietario David Pérez, está infectado por el MW Kido
Tácticas, técnicas y procedimientos: Descripción del comportamiento y los recursos utilizados por el atacante, incluyendo el MW, patrones, infraestructura, herramientas, personajes o localización
El Malware Kiko ha accedido mediante SQL Injection atacando al departamento de Retail conectándose a la IP 1.2.3.4
Describen vulnerabilidades u errores de configuración. Se pueden describir CVE, CCE, CWE.
CVE-2014-0160 Heartbleed
Describe un patrón de actividad en curso con un propósito u objetivo común
Campaña contra la banca
Información sobre amenazas y/o individuos que ejecutan ataques.
Anonymous, KDZ-23, APT
También se puede incluir información adicional como la nacionalidad
Respuestas preventivas o reactivos a la actividad de amenazas
Instalar el KB-343432 o limpiar la cache o eliminar la entrada de registro X
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 19
Arquitectura:
Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 20
Casos de uso: 1. Analizar Ciber amenazas
2. Especificación de Patrones de los
indicadores de Ciber Amenazas
3. La gestión de incidentes de ciber
seguridad:
1. Prevención
2. Detección
3. Respuesta
4. Compartición de ciber amenazas
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 21
Fuente: stix.mitre.org
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 22
Caso práctico de caracterización de un incidente
de ciber seguridad
(Locky: Primera Campaña)Fuente: Panda Security
Un usuario en una empresa española recibió un correo con un fichero adjunto:
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 23
El correo fue abierto y ejecutado su contenido el cual contenía una variante de Cryptolocker
(Locky). Después de la apertura del correo y la ejecución del fichero adjunto, al usuario se le abrió
el notepad con el siguiente texto:
Todos los ficheros de su ordenador quedaron cifrados. La máquina se procede a su
desconexión inmediata y se pasa al Departamento de Seguridad el incidente para la
recopilación de evidencias, respuesta y prevención.
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 24
Una vez hecho un primer análisis el Dep Seguridad se encuentra con los siguientes indicadores de
compromiso:
IOCs en Email:
Subject: ATTN: Invoice J-62163564
Sender: [email protected]
Filename: invoice_J-62163564.doc
SENDER SUBJECT FILENAME
OBJECT
O E-MAIL
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 25
IOCs en Disco:
El dropper se descarga un fichero dentro de la carpeta temporal:
Filename: c:\Users\<username>\AppData\Local\Temp\[A-Z]{10}.exe
El fichero con la información para desencriptar los ficheros:
Filename: _Locky_recover_instructions.txt
MD5 del fichero descargado (Generado de forma aleatoria)
Hash: d10a376572a1b107fa4157009223edb1
Claves de registro creadas:
Registry keys:
HKEY_USERS\Software\Locky\"completed"
HKEY_USERS\Software\Locky\"paytext"
HKEY_USERS\Software\Locky\"id"
HKEY_USERS\Software\Locky\"pubkey“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Locky"
REGISTR
YFILENAME
OBJECT
O FILE
HASH
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 26
IOCs de Red:
El dropper se intenta descargar desde varias URLs:
Value:
www.iglobali.com/34gf5y/r34f3345g.exe
www.jesusdenazaret.com.ve/34gf5y/r34f3345g.exe
www.villaggio.airwave.at/34gf5y/r34f3345g.exe
VALUE
OBJECT
O URI
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 27
Si hacemos una primera relación de IOCs:Campaña Locky
IOCs Ficheros IOCs Red IOCs Email
TTP Relacionado TTP RelacionadoTTP Relacionado
Variante de
Víctimas
Ataque Usado
Usa el Malware
Cryptolocker
Locky
SPAM
Víctimas en ES
Contiene
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 28
PR: Prevención y RespuestaPreventiva:
• Bloqueo del acceso en los sistemas perimetrales a los IOCs de Red y
de Email
• Búsqueda en los endpoints del parque de los IOCs de ficheros que ha
podido crear el MW (Entradas de Registro, Nombres de fichero,
Hash..)
• Detección y bloqueo de procesos que intenten borrar las copias de
seguridad del sistema
• Búsqueda en los sistemas perimetrales de más equipos que hayan
podido recibir más emails o se hayan conectado a las URLs
relacionadas con el malware dentro del parque.
Recovery:
Debido al cifrado de los ficheros encriptados la única solución sería
acceder al pago y seguir las instrucciones del notepad
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 2920/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 29
Si conectamos las COAs:Campaña Locky
IOCs Ficheros IOCs Red IOCs Email
TTP Relacionado TTP RelacionadoTTP Relacionado
Variante de
Víctimas
Ataque Usado
Usa el Malware
Cryptolocker
Locky
SPAM
Víctimas en
ES
COAs
Sugeridas
20/06/2016IOCs: Defensa Colaborativa frente Amenazas Avanzadas 30
Más info:
Página oficial: http://stix.mitre.org
(Tecnologias, fabricantes, comunidades que soportan STIX, como compartir y crear
perfiles de compartición, comunidades..)
Github: https://github.com/STIXProject/
Cualquier duda: [email protected]
Top Related