Investigando uma campanha de DNSpionage usando o Cisco Threat Response, incluindo trabalho remoto

Eu já falei sobre a solução gratuita Cisco Threat Response (CTR), que pode reduzir significativamente o tempo para investigar incidentes caracterizados por muitos tipos diferentes de indicadores de comprometimento - hashes de arquivos, endereços IP, nomes de domínio, endereços de email etc. Porém, as notas anteriores foram dedicadas a exemplos de uso da CTR com soluções separadas da Cisco ou à sua integração com o GosSOPKA e o FinCERT. Hoje, eu gostaria de descrever como a CTR pode ser usada para investigar campanhas de hackers individuais que podem usar muitos vetores contra diversos objetivos dentro da empresa. Como exemplo, veja a campanha de DNSpionage que mencionei em um artigo anterior .

Na última vez, mostrei como ele pode ser detectado com apenas uma solução - o sistema de análise de anomalias de rede Cisco Stealthwatch Enterprise. Em seguida, registramos a interação da parte do cliente mal-intencionado com o servidor de comando por meio do protocolo DNS, que serviu como indicador se fosse usado em nós não autorizados na rede corporativa. De fato, procuramos anomalias no tráfego de rede para procurar sinais de um incidente. Agora vamos ver como identificar a campanha de DNSpionage usando indicadores mais familiares de atividade maliciosa (IOC)?

Podemos ver a lista de indicadores em qualquer boletim de Inteligência contra Ameaças. Nesse caso, usaremos o site do Cisco Talos, o maior grupo não governamental de investigação de incidentes do mundo, que primeiro revelou a campanha de DNSpionage (aqui e aqui ).



No boletim informativo, vemos uma lista de indicadores - hashes de arquivos, endereços IP e de domínio dos servidores de comando e phishing envolvidos no ataque.



Se “conduzirmos” cada um dos indicadores através de meios adequados de proteção, isso nos levará muito tempo. Por exemplo, no Cisco AMP for Endpoints, uma solução da classe EDR, inserimos um ou vários hashes de interesse na barra de pesquisa (canto superior direito):



e obtemos o resultado em que estamos interessados ​​- encontramos um nó no qual a atividade de um programa mal-intencionado foi detectada para a qual temos o hash .



A propósito, quero observar que a pesquisa por hash pode ser usada não apenas para detectar atividades maliciosas, mas também para combater vazamentos de informações. Lembre-se de que uma das tecnologias para lidar com vazamentos (junto com contêineres / tags e análise de conteúdo) é o uso de impressões digitais digitais, que podem ser implementadas usando apenas os hashes que o AMP4E controlará (assim como outras soluções da Cisco que podem incluir mecanismo AMP implementado - Cisco Firepower, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella etc.). É verdade que esse mecanismo funciona apenas para arquivos raramente modificados. Se você estiver interessado no que a Cisco oferece para lidar com vazamentos, recomendo a gravação e a apresentação.nosso mais recente seminário on-line, dedicado a este tópico.

Mas voltando à nossa história. Se você tentar rastrear o acesso aos domínios de servidores de comando ou phishing, o Cisco Umbrella pode nos ajudar.



Como o principal vetor de infecção na maioria dos incidentes é o email, também precisamos procurar indicadores de seu interesse por email. Para fazer isso, indicamos o hash do indicador correspondente no Cisco Security Management Appliance ou no Cisco E-mail Security Appliance:



encontramos 5 caixas de correio nas quais os traços dos arquivos que procuramos são encontrados.



Por fim, o Cisco Firepower, o firewall de última geração com sistema de prevenção de intrusões integrado, ajuda-nos a rastrear (e bloquear) os endereços IP com os quais a parte cliente da campanha maliciosa interage.



Neste exemplo, embora detectemos os sinais de DNSpionage, não estamos fazendo isso tão rápido quanto desejávamos. Estamos alternando entre consoles. Realizamos muitas operações de cópia passada e 4 produtos diferentes procuram 4 tipos diferentes de indicadores de comprometimento, aumentando assim o tempo de investigação e resposta. Esse processo pode ser acelerado? Claro. Você pode usar o SIEM, que pode ser integrado às fontes de TI ou nos quais você pode baixar indicadores de comprometimento de fontes externas de TI. Mas é caro se for comercial ou exigir altas competências, se for da categoria de código aberto. Existe uma solução mais simples e gratuita - o Cisco Threat Response, focado principalmente nas soluções da Cisco, bem como nas soluções de outros fornecedores.Usando o plug-in do navegador, “extraímos” todos os indicadores da página de blog do Cisco Talos que descrevem a campanha de DNSpionage.



Para acelerar o processo de resposta, podemos bloquear os indicadores relevantes diretamente através do plugin.



Mas estamos interessados ​​em investigar o incidente na tentativa de entender quais de nossos nós e usuários foram comprometidos. E é aconselhável ver tudo em uma tela. A CTR apenas nos dá essa oportunidade. No canto superior esquerdo da interface gráfica, vemos todos os nossos indicadores. No canto inferior esquerdo - um mapa da nossa "infecção".



A cor púrpura mostra os alvos já afetados em nossa infraestrutura - PCs, caixas de correio, sub-redes etc. Na parte superior direita, vemos uma linha do tempo que exibe as datas da aparência (incluindo a primeira) dos indicadores em nosso ambiente de rede. Por fim, a área inferior direita permite obter informações detalhadas sobre cada indicador, enriquecidas e verificadas por fontes externas de TI, por exemplo, VirusTotal ou ferramentas de proteção de terceiros.



Tendo compreendido a extensão da infecção, podemos começar a responder adequadamente à ameaça identificada, bloqueando sua ocorrência pelo Cisco Umbrella, que bloqueia a interação com os domínios do servidor de comando:



ou pelo Cisco AMP for Endpoints, que isola a operação de um arquivo ou processo malicioso.



Imediatamente a partir da interface CTR, podemos ver o resultado do bloqueio de um arquivo, domínio ou outro indicador.



Ao integrar a CTR ao Cisco E-mail Security Appliance ou Cisco Firepower, também podemos isolar caixas de correio infectadas ou sites comprometidos, respectivamente.

É possível fazer a mesma coisa, mas sem usar a interface do Cisco Threat Response? Às vezes, você deseja usar suas próprias ferramentas mais familiares para isso. Sim você pode. Por exemplo, podemos incorporar a funcionalidade CTR em qualquer tecnologia que suporte um navegador (por exemplo, em nosso próprio portal) e, devido à disponibilidade das APIs, as funções CTR podem ser acessadas de qualquer lugar.

Suponha que você prefira uma interface de linha de comando e deseje investigar e responder digitando todos os comandos do teclado. Isso também é fácil de fazer. Por exemplo, veja como a integração da CTR funciona com o sistema de trabalho em equipe do Cisco Webex Teams e o bot AskWill desenvolvido para isso usando a campanha de DNSpionage como exemplo. O Cisco Webex Teams é frequentemente usado por nossos clientes para organizar a interação de especialistas em segurança da informação. Este exemplo é ainda mais interessante porque mostra como você pode criar um processo de investigação e resposta ao trabalhar remotamente, quando, a única coisa que une os especialistas em SOC é um sistema de comunicação.

Por exemplo, queremos obter o status do domínio 0ffice36o.com, que foi usado pelo servidor de comandos como parte da DNSpionage. Vimos que o Cisco Umbrella nos devolve o status de "malicioso".



E aqui está como a equipe procurará informações sobre se existem vários indicadores de comprometimento para a campanha de DNSpionage identificados pelo Cisco Talos em nossa infraestrutura de uma só vez.



Em seguida, podemos bloquear o domínio malicioso por meio do Cisco Umbrella ou Cisco Stealthwatch Cloud. Neste último caso, o sistema de análise de anomalias bloqueará a interação com o servidor de comando das infraestruturas de nuvem Amazon AWS, MS Azure que usamos, etc.



Por fim, se bloquearmos por engano um indicador ou, com o tempo, se souber que ele deixou de representar uma ameaça, podemos removê-lo da lista negra de soluções de proteção.



É assim que a solução gratuita Cisco Threat Response funciona, cuja principal tarefa é reduzir o tempo para investigar e responder a incidentes. E, como dizem nossos clientes, a CTR permite que eles a reduzam significativamente. 60% dos usuários têm uma redução de 50%; outros 23% têm pelo menos 25%. Nada mal para uma solução gratuita, hein ?!

Informação adicional:

• Integração do Cisco Threat Response e Cisco Stealthwatch Enterprise
• Interação das soluções Cisco no GosSOPKoy e FinCERT
• Por que a Cisco não compra o Splunk ou fala sobre como a plataforma Cisco funciona para a caça de ameaças
• Caça às ameaças com visibilidade da Cisco
• Estudos de caso para o uso de ferramentas de análise de anomalias de rede: descoberta de campanhas de DNSpionage