Étude d'une campagne DNSpionage à l'aide de Cisco Threat Response, y compris le travail à distance

J'ai déjà parlé de la solution gratuite Cisco Threat Response (CTR), qui peut réduire considérablement le temps d'investigation des incidents caractérisés par de nombreux types d'indicateurs de compromis - hachages de fichiers, adresses IP, noms de domaine, adresses e-mail, etc. Mais des notes antérieures ont été consacrées soit à des exemples d'utilisation du CTR avec des solutions Cisco distinctes, soit à son intégration avec GosSOPKA et FinCERT. Aujourd'hui, je voudrais décrire comment le CTR peut être utilisé pour enquêter sur des campagnes de piratage individuelles qui peuvent utiliser de nombreux vecteurs contre de nombreux objectifs différents au sein de l'entreprise. À titre d'exemple, prenez la campagne DNSpionage que j'ai mentionnée dans un article précédent .

La dernière fois, j'ai montré comment il peut être détecté avec une seule solution: le système d'analyse d'anomalies de réseau Cisco Stealthwatch Enterprise. Ensuite, nous avons enregistré l'interaction de la partie cliente malveillante avec le serveur de commande via le protocole DNS, qui a servi d'indicateur si elle était utilisée sur des nœuds non autorisés au sein du réseau d'entreprise. En fait, nous avons recherché des anomalies dans le trafic réseau pour rechercher des signes d'incident. Voyons maintenant comment identifier la campagne DNSpionage en utilisant des indicateurs plus connus d'activité malveillante (IOC)?

Nous pouvons voir la liste des indicateurs dans n'importe quel bulletin Threat Intelligence. Dans ce cas, nous utiliserons le site de Cisco Talos, le plus grand groupe d'enquête non gouvernemental sur les incidents au monde, qui a révélé pour la première fois la campagne DNSpionage (ici et ici ).



Dans la newsletter, nous voyons une liste d'indicateurs - hachages de fichiers, adresses IP et de domaine des serveurs de commande et de phishing impliqués dans l'attaque.



Si nous «pilotons» chacun des indicateurs par des moyens de protection appropriés, cela nous prendra trop de temps. Par exemple, dans Cisco AMP for Endpoints, une solution de la classe EDR, nous entrons un ou plusieurs hachages qui nous intéressent dans la barre de recherche (en haut à droite):



et nous obtenons le résultat qui nous intéresse - nous avons trouvé un nœud sur lequel l'activité d'un programme malveillant a été détectée pour laquelle nous avons le hachage .



Soit dit en passant, je tiens à noter que la recherche de hachage peut être utilisée non seulement pour détecter une activité malveillante, mais aussi pour lutter contre les fuites d'informations. Rappelons que l'une des technologies de gestion des fuites (avec les conteneurs / balises et l'analyse de contenu) est l'utilisation d'empreintes digitales, qui peuvent être mises en œuvre en utilisant uniquement les hachages contrôlés par AMP4E (ainsi que d'autres solutions Cisco pouvant inclure moteur AMP implémenté - Cisco Firepower, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella, etc.). Certes, un tel mécanisme ne fonctionne que pour les fichiers rarement modifiés. Si vous êtes intéressé par ce que Cisco propose pour traiter les fuites, je peux recommander l' enregistrement et la présentation.notre dernier webinaire, que nous avons consacré à ce sujet.

Mais revenons à notre histoire. Si vous essayez de suivre l'accès aux domaines des serveurs de commande ou de phishing, Cisco Umbrella peut nous aider.



Étant donné que le principal vecteur d'infection dans la plupart des incidents est le courrier électronique, nous devons également rechercher des indicateurs qui nous intéressent dans le courrier électronique. Pour ce faire, nous indiquons le hachage de l'indicateur correspondant dans le Cisco Security Management Appliance ou le Cisco E-mail Security Appliance:



et nous trouvons 5 boîtes aux lettres dans lesquelles se trouvent des traces des fichiers que nous recherchons.



Enfin, Cisco Firepower, le pare-feu de nouvelle génération avec système de prévention des intrusions intégré, nous aide à suivre (et à bloquer) les adresses IP avec lesquelles la partie client de la campagne malveillante interagit.



Dans cet exemple, bien que nous détections les signes de DNSpionage, nous ne le faisons pas aussi vite que nous le voulions. Nous basculons entre les consoles. Nous effectuons de nombreuses opérations de copier-coller et 4 produits différents recherchent 4 types d'indicateurs de compromis différents, augmentant ainsi le temps d'enquête et de réponse. Ce processus peut-il être accéléré? Bien sûr. Vous pouvez utiliser SIEM, qui peut être intégré aux sources TI, ou dans lequel vous pouvez télécharger des indicateurs de compromis à partir de sources TI externes. Mais il est cher s'il est commercial, ou nécessite de hautes compétences, s'il appartient à la catégorie de l'open source. Il existe une solution plus simple et d'autant plus gratuite - Cisco Threat Response, qui se concentre principalement sur les solutions Cisco, ainsi que sur les solutions d'autres fournisseurs.À l'aide du plug-in du navigateur, nous «tirons» tous les indicateurs de la page du blog Cisco Talos décrivant la campagne DNSpionage.



Pour accélérer le processus de réponse, nous pouvons bloquer les indicateurs pertinents directement via le plugin.



Mais nous souhaitons enquêter sur l'incident afin de comprendre lesquels de nos nœuds et utilisateurs ont été compromis. Et il est conseillé de tout voir sur un seul écran. CTR nous donne juste cette opportunité. En haut à gauche de l'interface graphique, nous voyons tous nos indicateurs. En bas à gauche - une carte de notre "infection".



La couleur violette montre les cibles déjà affectées dans notre infrastructure - PC, boîtes aux lettres, sous-réseaux, etc. Dans la partie supérieure droite, nous voyons une chronologie qui affiche les dates d'apparition (y compris le premier) des indicateurs dans notre environnement réseau. Enfin, la zone inférieure droite nous permet d'obtenir des informations détaillées sur chaque indicateur, enrichies et vérifiées par des sources TI externes, par exemple, VirusTotal ou des outils de protection tiers.



Après avoir compris l'étendue de l'infection, nous pouvons commencer à répondre de manière appropriée à la menace identifiée en bloquant son occurrence via Cisco Umbrella, qui bloque l'interaction avec les domaines du serveur de commandes:



ou via Cisco AMP for Endpoints, qui isole le fonctionnement d'un fichier ou processus malveillant.



Immédiatement depuis l'interface CTR, nous pouvons voir le résultat du blocage d'un fichier, d'un domaine ou d'un autre indicateur.



En intégrant CTR avec l'appliance de sécurité de messagerie Cisco ou Cisco Firepower, nous pouvons également isoler les boîtes aux lettres infectées ou les sites compromis, respectivement.

Est-il possible de faire la même chose, mais sans utiliser l'interface Cisco Threat Response? Parfois, vous souhaitez utiliser vos propres outils plus familiers pour cela. Oui, vous pouvez. Par exemple, nous pouvons intégrer la fonctionnalité CTR dans n'importe quelle technologie prenant en charge un navigateur (par exemple, dans notre propre portail), et en raison de la disponibilité des API, les fonctions CTR sont accessibles de n'importe où.

Supposons que vous préfériez une interface de ligne de commande et que vous souhaitiez enquêter et répondre en entrant toutes les commandes à partir du clavier. C'est aussi facile à faire. Par exemple, voici comment l'intégration CTR fonctionne avec le système de travail d'équipe Cisco Webex Teams et le bot AskWill développé pour lui en utilisant la campagne DNSpionage comme exemple. Cisco Webex Teams est souvent utilisé par nos clients pour organiser l'interaction des spécialistes de la sécurité de l'information. Cet exemple est d'autant plus intéressant qu'il montre comment construire un processus d'investigation et de réponse en travaillant à distance, quand, la seule chose qui unit les spécialistes SOC est un système de communication.

Par exemple, nous voulons obtenir le statut du domaine 0ffice36o.com, qui a été utilisé par le serveur de commandes dans le cadre de DNSpionage. Nous voyons que Cisco Umbrella nous renvoie le statut de "malveillant".



Et voici comment l'équipe cherchera des informations pour savoir s'il existe plusieurs indicateurs de compromis pour la campagne DNSpionage identifiés par Cisco Talos dans notre infrastructure à la fois.



Ensuite, nous pouvons bloquer le domaine malveillant via Cisco Umbrella ou Cisco Stealthwatch Cloud. Dans ce dernier cas, le système d'analyse d'anomalies bloquera l'interaction avec le serveur de commande pour les infrastructures cloud Amazon AWS, MS Azure que nous utilisons, etc.



Enfin, si nous avons par erreur bloqué un indicateur, ou si au fil du temps il est devenu connu qu'il a cessé de représenter une menace, nous pouvons le retirer de la liste noire des solutions de protection.



C'est ainsi que fonctionne la solution gratuite Cisco Threat Response, dont la tâche principale est de réduire le temps d'enquête et de réponse aux incidents. Et comme le disent nos clients, le CTR leur permet de le réduire considérablement. 60% des utilisateurs ont une réduction de 50%; 23% en ont au moins 25%. Pas mal pour une solution gratuite, hein?!

Information additionnelle:

• Intégration de Cisco Threat Response et de Cisco Stealthwatch Enterprise
• Interaction des solutions Cisco dans GosSOPKoy et FinCERT
• Pourquoi Cisco n'achète-t-il pas Splunk ou une discussion sur le fonctionnement de la plate-forme Cisco pour la chasse aux menaces
• Chasse aux menaces avec Cisco Visibility
• Études de cas pour l'utilisation d'outils d'analyse d'anomalies réseau: découverte de campagne DNSpionage