Investigación de una campaña de DNSpionage con Cisco Threat Response, incluido el trabajo remoto

Ya he hablado sobre la solución gratuita Cisco Threat Response (CTR), que puede reducir significativamente el tiempo para investigar incidentes caracterizados por muchos tipos diferentes de indicadores de compromiso: hashes de archivos, direcciones IP, nombres de dominio, direcciones de correo electrónico, etc. Pero las notas anteriores se dedicaron a ejemplos de uso de CTR con soluciones de Cisco separadas o a su integración con GosSOPKA y FinCERT. Hoy me gustaría describir cómo se puede utilizar el CTR para investigar campañas individuales de piratas informáticos que pueden usar muchos vectores en contra de muchos objetivos diferentes dentro de la empresa. Como ejemplo, tome la campaña DNSpionage que mencioné en un artículo anterior .

La última vez mostré cómo se puede detectar con una sola solución: el sistema de análisis de anomalías de red Cisco Stealthwatch Enterprise. Luego registramos la interacción de la parte del cliente malicioso con el servidor de comandos utilizando el protocolo DNS, que sirvió como indicador si se usaba en nodos no autorizados dentro de la red corporativa. De hecho, buscamos anomalías en el tráfico de la red para buscar signos de un incidente. ¿Ahora veamos cómo identificar la campaña DNSpionage utilizando indicadores más familiares de actividad maliciosa (COI)?

Podemos ver la lista de indicadores en cualquier boletín de Inteligencia de amenazas. En este caso, utilizaremos el sitio de Cisco Talos, el grupo de investigación de incidentes no gubernamental más grande del mundo, que reveló por primera vez la campaña DNSpionage (aquí y aquí )



En el boletín vemos una lista de indicadores: hashes de archivos, direcciones IP y de dominio de los servidores de comando y phishing involucrados en el ataque.



Si "manejamos" cada uno de los indicadores a través de los medios de protección apropiados, nos llevará demasiado tiempo. Por ejemplo, en Cisco AMP for Endpoints, una solución de la clase EDR, ingresamos uno o varios hash que nos interesan en la barra de búsqueda (arriba a la derecha):



y obtenemos el resultado que nos interesa: encontramos un nodo en el que se detectó la actividad de un programa malicioso para el que tenemos el hash .



Por cierto, quiero señalar que la búsqueda hash se puede usar no solo para detectar actividad maliciosa, sino también para combatir fugas de información. Recuerde que una de las tecnologías para tratar las fugas (junto con los contenedores / etiquetas y el análisis de contenido) es el uso de huellas digitales, que pueden implementarse utilizando solo los hash que controlará AMP4E (así como otras soluciones de Cisco que pueden incluir motor AMP implementado: Cisco Firepower, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella, etc. Es cierto que dicho mecanismo funciona solo para archivos raramente modificados. Si está interesado en lo que Cisco ofrece para lidiar con las fugas, le puedo recomendar grabación y presentación.nuestro último seminario web, que dedicamos a este tema.

Pero volvamos a nuestra historia. Si intenta rastrear el acceso a los dominios de los servidores de comando o phishing, Cisco Umbrella puede ayudarnos.



Dado que el vector principal de infección en la mayoría de los incidentes es el correo electrónico, también debemos buscar indicadores de interés para nosotros en el correo electrónico. Para hacer esto, indicamos el hash del indicador correspondiente en el Dispositivo de administración de seguridad de Cisco o el Dispositivo de seguridad de correo electrónico de Cisco:



encontramos 5 buzones en los que se encuentran rastros de los archivos que estamos buscando.



Finalmente, Cisco Firepower, el firewall de próxima generación con sistema de prevención de intrusiones incorporado, nos ayuda a rastrear (y bloquear) las direcciones IP con las que interactúa el cliente que forma parte de la campaña maliciosa.



En este ejemplo, aunque detectamos los signos de DNSpionage, no lo estamos haciendo tan rápido como queríamos. Estamos cambiando entre consolas. Llevamos a cabo muchas operaciones de copiado y 4 productos diferentes están buscando 4 tipos diferentes de indicadores de compromiso, lo que aumenta el tiempo de investigación y respuesta. ¿Se puede acelerar este proceso? Por supuesto. Puede usar SIEM, que puede integrarse con fuentes de TI, o en el que puede descargar indicadores de compromiso de fuentes de TI externas. Pero es costoso si es comercial, o requiere altas competencias, si es de la categoría de código abierto. Existe una solución más simple y más gratuita: Cisco Threat Response, que se centra principalmente en las soluciones de Cisco, así como en las soluciones de otros proveedores.Usando el complemento del navegador, "extraemos" todos los indicadores de la página del blog de Cisco Talos que describe la campaña DNSpionage.



Para acelerar el proceso de respuesta, podemos bloquear los indicadores relevantes directamente a través del complemento.



Pero estamos interesados ​​en investigar el incidente en un intento por comprender cuáles de nuestros nodos y usuarios se vieron comprometidos. Y es recomendable ver todo en una pantalla. CTR simplemente nos da esta oportunidad. En la esquina superior izquierda de la interfaz gráfica, vemos todos nuestros indicadores. En la esquina inferior izquierda, un mapa de nuestra "infección".



El color morado muestra los objetivos ya afectados en nuestra infraestructura: PC, buzones, subredes, etc. En la parte superior derecha vemos una línea de tiempo que muestra las fechas de aparición (incluido el primero) de los indicadores en nuestro entorno de red. Finalmente, el área inferior derecha nos permite obtener información detallada sobre cada indicador, enriquecida y verificada por fuentes externas de TI, por ejemplo, VirusTotal o herramientas de protección de terceros.



Habiendo entendido el alcance de la infección, podemos comenzar a responder adecuadamente a la amenaza identificada bloqueando su ocurrencia a través de Cisco Umbrella, que bloquea la interacción con los dominios del servidor de comandos:



o a través de Cisco AMP for Endpoints, que aísla la operación de un archivo o proceso malicioso.



Inmediatamente desde la interfaz CTR, podemos ver el resultado de bloquear un archivo, dominio u otro indicador.



Al integrar CTR con el dispositivo de seguridad de correo electrónico de Cisco o Cisco Firepower, también podemos aislar los buzones infectados o los sitios comprometidos, respectivamente.

¿Es posible hacer lo mismo, pero sin usar la interfaz de Cisco Threat Response? A veces quieres usar tus propias herramientas más familiares para esto. Sí tu puedes. Por ejemplo, podemos incorporar la funcionalidad CTR en cualquier tecnología que admita un navegador (por ejemplo, en nuestro propio portal), y debido a la disponibilidad de API, se puede acceder a las funciones CTR desde cualquier lugar.

Suponga que prefiere una interfaz de línea de comandos y desea investigar y responder ingresando todos los comandos desde el teclado. Esto también es fácil de hacer. Por ejemplo, así es como funciona la integración CTR con el sistema de trabajo en equipo Cisco Webex Teams y el bot AskWill desarrollado para ello utilizando la campaña DNSpionage como ejemplo. Cisco Webex Teams a menudo es utilizado por nuestros clientes para organizar la interacción de especialistas en seguridad de la información. Este ejemplo es aún más interesante porque muestra cómo se puede construir un proceso de investigación y respuesta cuando se trabaja de forma remota, cuando lo único que une a los especialistas en SOC es un sistema de comunicación.

Por ejemplo, queremos obtener el estado del dominio 0ffice36o.com, que fue utilizado por el servidor de comandos como parte de DNSpionage. Vemos que Cisco Umbrella nos devuelve el estado de "malicioso".



Y así es como el equipo buscará información sobre si hay varios indicadores de compromiso para la campaña DNSpionage identificada por Cisco Talos en nuestra infraestructura a la vez.



Entonces podemos bloquear el dominio malicioso a través de Cisco Umbrella o Cisco Stealthwatch Cloud. En el último caso, el sistema de análisis de anomalías bloqueará la interacción con el servidor de comandos para las infraestructuras de nube Amazon Azure, MS Azure que utilizamos, etc.



Finalmente, si bloqueamos por error un indicador, o con el tiempo se supo que ha dejado de representar una amenaza, podemos eliminarlo de la lista negra de soluciones de protección.



Así es como funciona la solución gratuita Cisco Threat Response, cuya tarea principal es reducir el tiempo para investigar y responder a incidentes. Y como dicen nuestros clientes, CTR les permite reducirlo significativamente. El 60% de los usuarios tiene una reducción del 50%; otro 23% tiene al menos el 25%. No está mal para una solución gratuita, ¿eh?

Información Adicional:

• Integración de Cisco Threat Response y Cisco Stealthwatch Enterprise
• Interacción de las soluciones de Cisco en GosSOPKoy y FinCERT
• ¿Por qué Cisco no compra Splunk o habla sobre cómo funciona la plataforma Cisco para la caza de amenazas?
• Amenaza de caza con visibilidad de Cisco
• Estudios de casos para usar herramientas de análisis de anomalías de red: descubrimiento de campañas de DNSpionage