Este documento presenta sobre el estado actual del Blue Team, la ingeniería de detección y la cacería de amenazas. Resume que el Blue Team asume la violación y que la detección es más importante que la prevención. También resume herramientas como ATT&CK, PurpleSharp y Oriana que ayudan a simular adversarios y mejorar la detección mediante el análisis de frecuencia y la cacería de amenazas.
2. ✘ Arequipa, Peru
✘ Geek | Ex pentester |
Threat Management team lead @ FI
✘ Defcon, Derbycon, SANS TH, ATT&CKcon
Bsides ( NY, Baltimore, Long Island )
✘ @mvelazco | github.com/mvelazc0
#whoami
6. Blue Team: Estado del arte
✘ Prevenir todos los ataques es imposible
✘ Assume breach
Detection >= Prevention
✘ Visibilidad es una prioridad
Logs, logs, logs !
Microsoft Enterprise Cloud Red Teaming
https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Micro
soft_Enterprise_Cloud_Red_Teaming.pdf
8. Blue Team: Estado del arte
✘ Conocer al adversario y sus tácticas
Threat Intelligence
ATT&CK Framework - https://attack.mitre.org/
✘ Simular al adversario
Adversary Simulation
Purple Teaming
10. APT38 - Lazarus Group
https://attack.mitre.org/groups/G0082/
✘ Financially motivated
✘ North Korea
✘ Bangladesh Central Bank
($ 1 Billion )
✘ 16 organizaciones en 13 países
13. ✘ El proceso continuo de diseñar,
crear, desplegar, operar y
tunear formas de detección de
amenazas aplicando
conceptos de ingeniería
Detection Engineering
17. ADS Framework By Palantir
✘ Plantillas, procesos y convenciones
✘ Busca resolves algunos challenges:
Falta de rigor/calidad
Documentacion
Fatigue alert
Organización
https://github.com/palantir/alerting-detection-strategy-framework
20. Password Spraying
✘ Iterar sobre una lista de
usuarios utilizando un
password común
✘ Al usar solo un password, se
minimiza la probabilidad de
bloquear cuentas
https://www.citrix.com/blogs/2019/07/19/citrix-concludes-investigation-of-unauthorized-internal-network-access/
21. PurpleSharp
✘ Herramienta en C# que simula
técnicas usadas por atacantes con
el objetivo de
Crear nuevas formas de detección
Poner a prueba los controles
Identificar problemas de visibilidad
✘ github.com/mvelazc0/PurpleSharp
Derbycon 2019 - I simulate therefore i catch: enhancing detection engineering with adversary
simulation
https://www.youtube.com/watch?v=7TVp4g4hkpg
25. Detection Analytics
✘ Event_Id=4771 And Failure_Code=0x18 group by Client_Address
where unique ( Account_Name) > [threshold]
✘ Event_Id=4776 And (ComputerName=Dc1 OR ...) group by
Source_Workstation where unique ( Logon_Account) > [threshold]
✘ Event_Id=4768 And Result_Code=0x12 group by Client_Address
where unique (Account_Name) > [threshold]
26. Measure Detection Maturity
0 Simulation does not generate events
1 Simulation generates events locally
2 Simulation generates events centrally (no detection)
3 Simulation triggers a detection
4 Simulation triggers the response process
29. Threat Hunting
✘ Instrumentar nuevas y
creativas formas de detectar
al adversario proactivamente
✘ Respuesta a incidentes sin
alerta
✘ Assume compromise
30. Proceso
✘ Definir una hipótesis
✘ Identificar/investigar los artifacts relevantes
✘ Recolectar y centralizar los artifacts
✘ Procesar los datos
Reglas
Analytics
✘ Ajustar analytics y/o remediar
31. Hunt #1
✘ Hipótesis: Un binario malicioso ha sido ejecutado en un host de la
red
✘ Artifacts relevantes:
Event Id: 4688 ( Process Creation )
Event Id: 1 (Sysmon )
Listado de procesos
Shimcache
Prefetch
....
…….
37. Hunt #1: Reglas
✘ Binarios de nombre corto (a.exe, 1.exe, x.exe)
✘ Nombres con entropía alta (xxyyz.exe, tldx.exe )
✘ Binarios ejecutados desde folders inusuales ( Temp, Papelera de
Reciclaje, AppData, ProgramData, etc. )
✘ Nombres de binarios del sistema ejecutados fuera de los folders
legitimate: svchost.exe, lsass.exe, etc.
39. Otras Hipotesis
✘ El atacante ha instalado persistencia en un equipo
✘ El atacante ha escalado privilegios a Administrador de Dominio
✘ El atacante ha obtenido acceso a las bases de dato
✘ El atacante ha ejecutado comandos remotamente para moverse
lateralmente
✘ … … ...
40. Oriana
✘ Oriana is a threat hunting tool that leverages a subset of
Windows events to run analytics and help defenders identify
outliers and suspicious behavior in Windows environments.
○ Get-WinEvent & Export-CSV
○ Django Application, Python 2.7
○ Bootstrap & DataTables
42. Oriana
https://github.com/mvelazc0/Oriana
Derbycon 2017 - Hunting Lateral Movement for Fun & Profit
https://www.youtube.com/watch?v=hVTkkkM9XDg
SANS Threat Hunting Summit
www.sans.org/cyber-security-summit/archives/file/summit-a
rchive-1536265369.pdf
44. Idea Final
✘ Los atacantes solo tienen que
encontrar un vector de ataque
que funcione
✘ Los atacantes solo tienen que
equivocarse una vez para
detectarlos