Este documento describe la diferencia entre la informática forense y la ciberinteligencia. La informática forense implica un enfoque reactivo al analizar incidentes después de que ocurren, mientras que la ciberinteligencia toma un enfoque proactivo al investigar amenazas antes de que ocurran incidentes. El documento también proporciona ejemplos de cómo se podría usar cada enfoque, incluido el análisis de un hash malicioso y la investigación de TTP de un actor de amenazas. Concluye que combinar los enfoques proactiv

1. Threat Intelligence en el
ámbito de la ciberinteligencia
y de la informática forense
#Ciberinteligencia
#CyberSecurityDay20
#Ginseg

2. Índice
Whoami
Forense vs Ciberinteligencia
Ejemplo reactivo con un caso forense
Ejemplo proactivo con un caso de ciberinteligencia
Conclusiones
01
02
03
04
05

3. Who am I
wiktornykiel
Ingeniero de Ciberseguridad
Wiktor Nykiel
WiktorNykiel
ivanportillomorales ivanPorMor
Analista Ciberinteligencia & Seguridad
Iván Portillo
p0rt7
WiktorNykiel_GINSEG_Inteligencia

4. Comunidad de ciberinteligencia Ginseg
@Ginseg | @ThreatIntelligence
Presencia enPilares
• Colaboración en comunidad
• Formación y desarrollo
• Operaciones e Investigaciones
Temática
SOCMINT
Amenazas
2 fundadores
8 colaboradores
+1200 seguidores
EspañaLATAM
ginseg.com
OSINT
HUMINT

5. Congreso Online de Ciberinteligencia - IntelCon
https://intelcon.ginseg.com

6. Informática Forense vs Ciberinteligencia
Reactivo vs Proactivo

7. Que es la informática forense en el ámbito del Threat Intelligence
RegistroConexiones
y Peticiones
Aplicaciones Procesos
TTPs
Actor
Para el análisis forense enfocado en el Threat Intelligence disponemos de un
proceso para gestionar la respuesta y remediación de los incidentes. Este
proceso puede permitir ayudar a reducir los tiempos de respuesta frente a
los incidentes, además de servir de apoyo el procesamiento de información
sobre amenazas de manera más eficiente. El proceso de respuesta a
incidentes esta formado por 5 fases.

8. Ejemplo de un análisis forense reactivamente

9. Que es la ciberinteligencia
Ciberinteligencia
OSINT
SOCMINT

10. Explorando un objetivo con ciberinteligencia de manera proactiva
Dominios y DNS (A, MX), Activos, IPs Rangos
Objetivo:
Empresa, institución
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
VulnerabilidadesSistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !

11. Caso Práctico
Ejemplo reactivo con un caso forense

12. Investigación manual de una amenaza
Objetivo
Investigación del hash, junto con las
posibles relaciones con otros IoCs
Donde investigamosTipo de investigación
Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de
seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha
identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna
amenaza conocida.
El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Identificar posible relación del hash
con algún tipo de amenaza
• IBM X-Force
• AlienVault OTX
• VirusTotal
• Hybrid Analysis
• Any RUN

13. Investigación manual de una amenaza
Buscamos el hash en la base de datos de IBM X-Force.
En X-Force podemos encontrar colecciones con información referente a amenazas o bien informes con un análisis sobre una amenaza concreta

14. Investigación manual de una amenaza
https://exchange.xforce.ibmcloud.com/malware/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Detectamos el hash en IBM X-Force dentro de una colección de SilverTerrier sobre COVID-19. Categorizado con un Riesgo Alto, es un SHA256, muestra
dirigida a plataformas Windows, visto por primera vez el 30 de marzo de 2020 y por última vez el 21 de mayo de 2020.

15. Investigación manual de una amenaza
https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c
Dentro de la colección mencionada anteriormente, vemos un
mini análisis de la amenaza y con la presencia del hash como
IoC asociado a la amenaza.

16. Investigación manual de una amenaza
https://otx.alienvault.com/indicator/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Análisis Estático Análisis de RedAnálisis Dinámico
Buscamos el hash en la base de datos de AlienVault.
En su plataforma podemos observar que el hash es detectado en 10 Pulses relacionados con la amenaza BEC nuevamente.

17. Investigación manual de una amenaza
https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirus y que
es un PE EXE.

18. Investigación manual de una amenaza
https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos posibles relaciones del hash con otros
IoCs para obtener hasta donde puede llegar a
alcanzar la arquitectura de la amenaza.

19. Investigación manual de una amenaza
https://www.hybrid-analysis.com/sample/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos el hash en la base de datos de
Hybrid Analysis. Detectamos que la
muestra ha sido categorizada como
maliciosa por un total de 76% de motores
antivirus, dispone de un score de
amenaza de 100 sobre 100.

20. Investigación manual de una amenaza
https://app.any.run/tasks/cc29fa4f-5cd5-4084-bce0-425b3e9cd8cb/
Buscamos el hash en la base de datos de ANY RUN.

21. Investigación manual de una amenaza
Mediante ANY RUN son detectados diversos TTPs asociados al hash analizado.

22. Caso Práctico
Ejemplo proactivo con un caso de
ciberinteligencia

23. Investigación sobre TTPs - ATT&CK NAVIGATOR
https://mitre-attack.github.io/attack-navigator/enterprise/
Simulador de TTPs de MITRE
ATT&CK que permite navegar por
toda la matriz, seleccionar TTPs de
varios actores y visualizar la
frecuencia de las técnicas
detectadas.

24. Investigación sobre TTPs - ATT&CK NAVIGATOR

25. Investigación sobre TTPs - ATT&CK NAVIGATOR
Exportación

26. Plataformas de Threat Intelligence (TIP) - YETI
Yeti es una plataforma enfocada a la organización de observables y la recopilación de indicadores de compromiso (IoC) y TTPs
relacionados a estos. Esta herramienta esta ideada para agrupar en un único repositorio todo el conocimiento sobre inteligencia de
amenazas con el fin de descubrir y analizar posibles relaciones entre los IoC. Yeti enriquece automáticamente todos los observables de
manera transparente para el usuario y proporciona una interfaz atractiva para él. Es un proyecto independiente que tuvo la ayuda del
equipo del CERT Société Générale para probar la propia herramienta y orientar en el desarrollo de este. Yeti está pensado para hacer que
la gestión de la inteligencia de amenazas sea rápida, eficiente e interoperable.
https://ginseg.com/comunidad/plataformas-ciberinteligencia/yeti-your-everyday-threat-intelligence-platform/

27. Plataformas de Threat Intelligence (TIP) - YETI
Seleccionamos investigación
https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/

28. Plataformas de Threat Intelligence (TIP) - YETI
Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti

29. Plataformas de Threat Intelligence (TIP) - TheHive
OVA TheHive
Contiene:
• TheHive
• Cortex
• TheHive4py
• Cortex4py
• Cortex analyzers & responder
Enlace:
https://drive.google.com/open?id=1v_8GMdXrZnWRiW2X5zw6fXYnCj
UD2DPm
OVA MISP
Enlace: https://www.circl.lu/misp-images/latest/

30. Plataformas de Threat Intelligence (TIP) - TheHive
Credenciales TheHive:
• Sistema (OVA): thehive/thehive1234
• URL: http://IP_OF_VM:9000
• Web: admin/thehive1234
Credenciales Cortex:
• Sistema (OVA): thehive/thehive1234
• URL: http://IP_OF_VM:9001
• Web (SuperAdmin): admin/thehive1234
• Web (Org Admin): thehive/thehive1234
Credenciales MISP
• Sistema (OVA): misp/Password1234
• URL: https://IP_OF_VM
• Credenciales: admin@admin.test/admin

31. Plataformas de Threat Intelligence (TIP) - TheHive
Métricas personalizables de casos forenses
• Ejemplo plantilla sobre caso: https://github.com/TheHive-
Project/TheHive-Resources/tree/master/case_templates/vulnerable
• Awesome TheHive: https://github.com/TheHive-Project/awesome
• Documentación: https://github.com/TheHive-Project/TheHiveDocs
• Paquete con todas las plantillas de reportes:
https://dl.bintray.com/thehive-project/binary/report-templates.zip

32. Plataformas de Threat Intelligence (TIP) - TheHive
Caso a investigar:
https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c
https://otx.alienvault.com/pulse/5ebd49f1d79dd0fc894c5bc1
IoCs a investigar:
• 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
• welheadcontrol.com
• posqit.net
• 185.126.202.111

33. Conclusiones

34. Conclusiones
• Hay que dedicar tiempo, recursos y esfuerzo en analizar indicios maliciosos de manera proactiva
• Los analistas forenses empiezan a trabajar cuando el incidente ya ha ocurrido, estando un paso por detrás de
los actores maliciosos
• Disponer de una base de datos sobre incidentes pasados tantos internos como externos a la organización
• La inteligencia de amenazas no trata de recolectar únicamente indicadores sobre amenazas o información
sobre adversarios
• Si tratamos una amenaza desde el punto de vista de la ciberinteligencia, tenemos que ser capaces de
responder a las famosas preguntas de quienes son, que usan, donde atacan, cuando actúan, por que atacan
y como operan los adversarios
• El valor del conocimiento generado del análisis reactivo de los casos forenses combinándolo con técnicas
empleadas a través de la ciberinteligencia de manera proactiva

35. # CIBERINTELIGENCIA
Muchas Gracias
# COMUNIDAD

36. # CIBERINTELIGENCIA
ginseg
@gIntelSeg
@ginseg | @ThreatIntelligence
ginseg.com# COMUNIDAD