Investigasi Kampanye DNSpionage Menggunakan Cisco Threat Response, Termasuk Pekerjaan Jarak Jauh

Saya sudah berbicara tentang solusi Cisco Threat Response (CTR) gratis, yang dapat secara signifikan mengurangi waktu untuk menyelidiki insiden yang ditandai oleh berbagai jenis indikator kompromi - hash file, alamat IP, nama domain, alamat email, dll. Tetapi catatan masa lalu dikhususkan untuk contoh menggunakan CTR dengan solusi Cisco yang terpisah, atau untuk integrasinya dengan GosSOPKA dan FinCERT. Hari ini saya ingin menjelaskan bagaimana CTR dapat digunakan untuk menyelidiki kampanye peretas individu yang dapat menggunakan banyak vektor terhadap berbagai tujuan dalam perusahaan. Sebagai contoh, ambil kampanye DNSpionage yang saya sebutkan di artikel sebelumnya .

Terakhir kali saya menunjukkan bagaimana hal itu dapat dideteksi hanya dengan satu solusi - sistem analisis anomali jaringan Cisco Stealthwatch Enterprise. Kemudian kami mencatat interaksi bagian klien jahat dengan server perintah melalui protokol DNS, yang berfungsi sebagai indikator jika digunakan pada node yang tidak sah dalam jaringan perusahaan. Bahkan, kami mencari anomali dalam lalu lintas jaringan untuk mencari tanda-tanda insiden. Sekarang mari kita lihat cara mengidentifikasi kampanye DNSpionage menggunakan indikator aktivitas jahat (IOC) yang lebih akrab?

Kita dapat melihat daftar indikator dalam buletin Intelijen Ancaman. Dalam hal ini, kami akan menggunakan situs Cisco Talos, grup investigasi insiden non-pemerintah terbesar di dunia, yang pertama kali mengungkapkan kampanye DNSpionage (di sini dan di sini ).



Dalam buletin kami melihat daftar indikator - hash file, IP dan alamat domain dari perintah dan server phishing yang terlibat dalam serangan itu.



Jika kita “mengarahkan” masing-masing indikator melalui cara perlindungan yang tepat, maka itu akan memakan waktu terlalu lama. Misalnya, di Cisco AMP untuk Endpoints, solusi kelas EDR, kami memasukkan satu atau beberapa hash yang menarik bagi kami di bilah pencarian (kanan atas):



dan kami mendapatkan hasil yang kami minati - kami menemukan simpul di mana aktivitas program jahat terdeteksi yang hash yang diinginkan .



By the way, saya ingin mencatat bahwa pencarian hash dapat digunakan tidak hanya untuk mendeteksi aktivitas berbahaya, tetapi juga untuk memerangi kebocoran informasi. Ingatlah bahwa salah satu teknologi untuk menangani kebocoran (bersama dengan wadah / tag dan analisis konten) adalah penggunaan sidik jari digital, yang dapat diimplementasikan hanya dengan menggunakan hash yang akan dikontrol AMP4E (serta solusi Cisco lainnya yang mungkin mencakup menerapkan mesin AMP - Cisco Firepower, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella, dll.). Benar, mekanisme seperti itu hanya berfungsi untuk file yang jarang dimodifikasi. Jika Anda tertarik dengan apa yang Cisco tawarkan untuk mengatasi kebocoran, saya dapat merekomendasikan perekaman dan presentasi.webinar terbaru kami, yang kami dedikasikan untuk topik ini.

Tapi kembali ke kisah kita. Jika Anda mencoba melacak akses ke domain perintah atau server phising, maka Cisco Umbrella dapat membantu kami.



Karena vektor utama infeksi pada sebagian besar insiden adalah email, kami juga perlu mencari indikator yang menarik bagi kami melalui email. Untuk melakukan ini, kami menunjukkan hash dari indikator yang sesuai di Cisco Security Management Appliance atau Cisco E-mail Security Appliance:



kami menemukan 5 kotak surat di mana jejak file yang kami cari ditemukan.



Akhirnya, Cisco Firepower, firewall generasi berikutnya dengan sistem pencegahan intrusi bawaan, membantu kami melacak (dan memblokir) alamat IP yang berinteraksi dengan bagian klien dari kampanye jahat.



Dalam contoh ini, meskipun kami mendeteksi tanda-tanda DNSpionage, kami tidak melakukannya secepat yang kami inginkan. Kami beralih di antara konsol. Kami melakukan banyak operasi copy-past dan 4 produk berbeda mencari 4 jenis indikator kompromi, sehingga meningkatkan waktu untuk investigasi dan respons. Bisakah proses ini dipercepat? Tentu saja. Anda dapat menggunakan SIEM, yang dapat diintegrasikan dengan sumber TI, atau di mana Anda dapat mengunduh indikator kompromi dari sumber TI eksternal. Tetapi mahal jika komersial, atau membutuhkan kompetensi tinggi, jika itu dari kategori open source. Ada solusi yang lebih sederhana dan lebih gratis - Cisco Threat Response, yang berfokus terutama pada solusi Cisco, serta pada solusi dari vendor lain.Menggunakan plug-in browser, kami "menarik" semua indikator dari halaman blog Cisco Talos yang menjelaskan kampanye DNSpionage.



Untuk mempercepat proses respons, kita dapat memblokir indikator yang relevan secara langsung melalui plugin.



Tetapi kami tertarik untuk menyelidiki insiden tersebut dalam upaya untuk memahami node dan pengguna mana yang kami kompromikan. Dan disarankan untuk melihat semuanya di satu layar. RKT hanya memberi kita kesempatan ini. Di kiri atas antarmuka grafis, kami melihat semua indikator kami. Di kiri bawah - peta "infeksi" kami.



Warna ungu menunjukkan target yang sudah terpengaruh dalam infrastruktur kami - PC, kotak surat, subnet, dll. Di bagian kanan atas kita melihat garis waktu yang menampilkan tanggal penampilan (termasuk yang pertama) dari indikator di lingkungan jaringan kami. Akhirnya, area kanan bawah memungkinkan kita untuk mendapatkan informasi terperinci tentang setiap indikator, diperkaya dan diverifikasi oleh sumber TI eksternal, misalnya, VirusTotal, atau alat perlindungan pihak ketiga.



Setelah memahami luasnya infeksi, kita dapat mulai merespons dengan tepat ancaman yang teridentifikasi dengan memblokir kejadiannya melalui Cisco Umbrella, yang memblokir interaksi dengan domain server perintah:



atau melalui Cisco AMP untuk Endpoints, yang mengisolasi operasi file atau proses berbahaya.



Segera dari antarmuka CTR, kita dapat melihat hasil pemblokiran file, domain, atau indikator lainnya.



Dengan mengintegrasikan CTR dengan Alat Keamanan E-mail Cisco atau Cisco Firepower, kami juga dapat mengisolasi kotak surat yang terinfeksi atau situs yang disusupi.

Apakah mungkin untuk melakukan hal yang sama, tetapi tanpa menggunakan antarmuka Cisco Threat Response? Terkadang Anda ingin menggunakan alat Anda sendiri yang lebih familiar untuk ini. Ya kamu bisa. Misalnya, kami dapat menyematkan fungsi CTR dalam teknologi apa pun yang mendukung browser (misalnya, di portal kami sendiri), dan karena ketersediaan API, fungsi CTR dapat diakses dari mana saja.

Misalkan Anda lebih suka antarmuka baris perintah dan ingin menyelidiki dan merespons dengan memasukkan semua perintah dari keyboard. Ini juga mudah dilakukan. Misalnya, inilah cara integrasi CTR bekerja dengan sistem kerja tim Tim Cisco Webex dan bot AskWill yang dikembangkan untuknya menggunakan kampanye DNSpionage sebagai contoh. Cisco Webex Teams sering digunakan oleh pelanggan kami untuk mengatur interaksi spesialis keamanan informasi. Contoh ini semakin menarik karena menunjukkan bagaimana Anda dapat membangun proses investigasi dan respons ketika bekerja dari jarak jauh, ketika, satu-satunya hal yang menyatukan spesialis SOC adalah sistem komunikasi.

Sebagai contoh, kami ingin mendapatkan status untuk domain 0ffice36o.com, yang digunakan oleh server perintah sebagai bagian dari DNSpionage. Kami melihat bahwa Cisco Paybrella mengembalikan kepada kami status "jahat".



Dan di sini adalah bagaimana tim akan mencari informasi tentang apakah ada beberapa indikator kompromi untuk kampanye DNSpionage yang diidentifikasi oleh Cisco Talos dalam infrastruktur kami sekaligus.



Kemudian kita dapat memblokir domain jahat melalui Cisco Umbrella atau Cisco Stealthwatch Cloud. Dalam kasus terakhir, sistem analisis anomali akan memblokir interaksi dengan server perintah untuk infrastruktur Amazon AWS, infrastruktur cloud MS Azure yang kami gunakan, dll.



Akhirnya, jika kita secara keliru memblokir suatu indikator, atau seiring waktu diketahui bahwa indikator tersebut tidak lagi menjadi ancaman, kita dapat menghapusnya dari daftar hitam solusi perlindungan.



Inilah cara solusi Cisco Threat Response gratis bekerja, yang tugas utamanya adalah mengurangi waktu untuk menyelidiki dan merespons insiden. Dan seperti kata pelanggan kami, CTR memungkinkan mereka untuk menguranginya secara signifikan. 60% pengguna memiliki pengurangan 50%; 23% lainnya memiliki setidaknya 25%. Tidak buruk untuk solusi gratis, ya ?!

Informasi tambahan:

• Integrasi Cisco Threat Response dan Cisco Stealthwatch Enterprise
• Interaksi solusi Cisco di GosSOPKoy dan FinCERT
• Mengapa Cisco tidak membeli Splunk atau berbicara tentang cara kerja platform Cisco untuk berburu ancaman
• Ancaman Berburu dengan Visibilitas Cisco
• Studi Kasus untuk Menggunakan Alat Analisis Anomali Jaringan: Penemuan Kampanye DNSpionage