Este documento describe una herramienta de correlación de procesos Sysmon que monitorea el comportamiento de procesos en un sistema para detectar actividad maliciosa. La herramienta incluye un motor de línea base que establece el comportamiento normal de procesos clave y un motor de jerarquía que detecta anomalías en la relación entre procesos padre e hijo. La herramienta puede usarse para cazar malware avanzado que opera en memoria sin dejar rastros en el disco.
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
El objetivo del taller es realizar una revisión de la seguridad de una aplicación iOS; tanto para la empresa que la ofrece como para los usuarios que la consumen.En el taller veremos las vulnerabilidades más comunes a nivel teórico, se explicarán los métodos para la obtención y reversing de binarios (con varias herramientas) y luego realizaremos una práctica al final para ver lo explicado en apps reales.
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
Se trata de un taller para adquirir los conocimientos básicos y así poder analizar malware tanto en Windows como en Android. Se explicarán conceptos básicos y una metodología a seguir para poder llevar a cabo un análisis con éxito e identificar las acciones que realiza el malware sobre la máquina infectada. No es necesario ningún conocimiento sobre Windows ni Android. Se trata de un nivel de iniciación donde podremos comprobar que con el uso de algunas herramientas de carácter público se pueden obtener grandes resultados.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
En la actualidad existen cada vez más noticias sobre supuestos ciberataques desde Rusia y otros actores hacia intereses tanto públicos como privados de países de nuestro entorno. Estos ciberataques parece que han servido para sustraer información estratégica y competitiva que ha sido utilizada para posteriores acciones como manipulación del mercado o afectación a la continuidad del negocio de compañías estratégicas. Sin embargo, la atribución de estos ataques sigue siendo un tanto difusa y se basa sobre todo en el análisis técnico de las herramientas usadas por los atacantes como exploits, malware, infraestructura de red, etc, y en la información obtenida a través de una incipiente disciplina llamada "ciberinteligencia", que parece que está llamada a ser uno de los grandes pilares de la ciberseguridad en las organizaciones tanto públicas como privadas en los próximos años.En esta charla se quiere mostrar como los actores del tipo estado diseñan y ejecutan operaciones de obtención de información mediante el uso de Internet para mostrar lo que los ponentes consideran errores en la atribución acerca del origen de los ciberataques que se realizan actualmente. Además, se mostrará como la ciberinteligencia tal como es planteada actualmente, es incapaz de precedir este tipo de acciones, siendo algo más reactivo que predictivo.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
Aprende a identificar las Tácticas y Técnicas utilizadas por el equipo rojo o malware en entornos Windows, registra y supervisa las actividades maliciosas o anómalas en los equipos de usuario final
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
El objetivo del taller es realizar una revisión de la seguridad de una aplicación iOS; tanto para la empresa que la ofrece como para los usuarios que la consumen.En el taller veremos las vulnerabilidades más comunes a nivel teórico, se explicarán los métodos para la obtención y reversing de binarios (con varias herramientas) y luego realizaremos una práctica al final para ver lo explicado en apps reales.
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
Se trata de un taller para adquirir los conocimientos básicos y así poder analizar malware tanto en Windows como en Android. Se explicarán conceptos básicos y una metodología a seguir para poder llevar a cabo un análisis con éxito e identificar las acciones que realiza el malware sobre la máquina infectada. No es necesario ningún conocimiento sobre Windows ni Android. Se trata de un nivel de iniciación donde podremos comprobar que con el uso de algunas herramientas de carácter público se pueden obtener grandes resultados.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
En la actualidad existen cada vez más noticias sobre supuestos ciberataques desde Rusia y otros actores hacia intereses tanto públicos como privados de países de nuestro entorno. Estos ciberataques parece que han servido para sustraer información estratégica y competitiva que ha sido utilizada para posteriores acciones como manipulación del mercado o afectación a la continuidad del negocio de compañías estratégicas. Sin embargo, la atribución de estos ataques sigue siendo un tanto difusa y se basa sobre todo en el análisis técnico de las herramientas usadas por los atacantes como exploits, malware, infraestructura de red, etc, y en la información obtenida a través de una incipiente disciplina llamada "ciberinteligencia", que parece que está llamada a ser uno de los grandes pilares de la ciberseguridad en las organizaciones tanto públicas como privadas en los próximos años.En esta charla se quiere mostrar como los actores del tipo estado diseñan y ejecutan operaciones de obtención de información mediante el uso de Internet para mostrar lo que los ponentes consideran errores en la atribución acerca del origen de los ciberataques que se realizan actualmente. Además, se mostrará como la ciberinteligencia tal como es planteada actualmente, es incapaz de precedir este tipo de acciones, siendo algo más reactivo que predictivo.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
Aprende a identificar las Tácticas y Técnicas utilizadas por el equipo rojo o malware en entornos Windows, registra y supervisa las actividades maliciosas o anómalas en los equipos de usuario final
Todavía muchos profesionales de IT creen el mito de que la Seguridad de los servidores Power Systems (IBM i, AS/400, iSeries) es imbatible. La realidad es que son vulnerables si no se configuran de forma adecuada.
Vea la grabación de nuestro webinar en el que presentamos el Security Scan, la herramienta gratuita que le permite diagnosticar el estado de la Seguridad de su IBM i e identificar qué aspectos de la configuración debe reforzar.
Durante la sesión realizamos un recorrido por las principales áreas: perfiles de usuario, permisos especiales, exit points, valores de sistema, reglas de red, antivirus y más.
Además, podrá conocer vulnerabilidades frecuentes que se desconocen, pero que son fáciles de evitar, y recibir consejos prácticos que puede implementar usted mismo para mejorar su Seguridad.
Solicite aquí su Security Scan Gratuito: https://www.helpsystems.com/es/cta/se...
El Estado de la Seguridad de IBM i en 2020HelpSystems
Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
Generacion simplificada de reportes de cumplimiento en ibm iHelpSystems
Es muy frecuente que administradores o responsables de Seguridad necesiten identificar qué usuario realizó cierta actividad en sus sistemas. A pesar de que IBM i ofrece la posibilidad de auditar lo que ocurre en sus servidores, ¿cómo convertir esa cantidad de datos en información útil?
Las auditorías y el control de políticas internas requieren la revisión de ese volumen de datos de Seguridad y métricas de configuración para garantizar que sus sistemas estén protegidos correctamente. Sin embargo, esta tarea puede demandar mucho tiempo y recursos, por lo que la mayoría de las empresas solo la realiza cuando es necesario, en lugar de incorporarla como un proceso continuo de su plan de Seguridad.
Vea la grabación de nuestro webinar y conozca:
Cómo configurar su IBM i para registrar eventos del sistema y de usuarios
Qué actividades pueden (y cuáles no) ser auditadas
Mecanismos disponibles para extraer datos del journal de auditoría
Qué información adicional requieren los auditores
Cómo simplificar la generación de reportes de auditoría con Powertech Compliance Monitor for IBM i
El ransomware es una práctica maliciosa que se ha popularizado en los últimos años. En esta sesión les mostraremos cómo desde Amazon Web Services nuestros clientes pueden desarrollar una estrategia proactiva de mitigación frente a ataques de ransomware, tanto en escenarios on-premises, como operando en la nube.
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña
MDE permite construir aplicaciones de modo estructurado, trazable y repetible. Estas buenas propiedades son ideales para la construcción de software seguro. Las técnicas de generación de código permiten garantizar cumplimento de normativa y forzado de políticas de seguridad. Se ilustran ejemplos industriales de su uso.
Charla impartida del 12 de mayo de 2018 en SuperSEC, Almería, España.
Security Scan, el primer paso para proteger su IBM iHelpSystems
Muchos profesionales de IT aún creen que la Seguridad de los servidores Power Systems es imbatible. Lo cierto es que, con la configuración errónea, se vuelven altamente vulnerables. Conozca nuestro Security Scan, una herramienta para diagnosticar el estado de la Seguridad de su IBM i e identificar qué configuraciones debe reforzar, en áreas como: perfiles de usuario, exit points, antivirus y más.
Para más información en el LEM: http://www.solarwinds.com/log-event-manager.aspx
Vea este webcast: http://www.solarwinds.com/resources/webcasts/webcast-in-espanol-log-and-event-manager.html
El webcast será la presentación de los puntos importantes de que haga LEM y cómo. También habrá una demostración en vivo de Log & Event Manager
Nuestro Log & Event Manager ofrece una colección de registros robusto, verdadero tiempo real correlación de eventos, y lo adelantó la búsqueda. Mantenga su infraestructura al máximo rendimiento, mientras que la superación de los retos de seguridad y cumplimiento.
Similar a Rooted2020 hunting malware-using_process_behavior-roberto_amado (20)
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3. Introducción
Técnicas y actores avanzados
Trabajan en memoria sin tocar disco
Usan los procesos legítimos del propio equipo
Cuando crean algún proceso es de una imagen de
disco legítima
Pueden inyectarse en procesos sin ni siquiera crear
un hilo remoto (APC)
Su malware solo se ejecutan en los equipos víctima
Suplantan la jerarquía de procesos
5. Introducción
Instrumentación / Monitorización
SYSMON de SysInternals
Focaliza en entornos Microsoft Windows
Necesitamos poder monitorizar que sucede, que
hacen los procesos del equipo
Sysmon identifica 22 tipos de actividad
7. Sysmon Process Correlator Engine
• Desarrollo en Python
• Licencia GNU GPL
• Implementa 2 motores de correlación
• Baseline Engine
• Hierarchy Engine
• Fuente de datos
• Ficheros .evtx de sysmon
• Eventlog de la máquina (incluso en
tiempo real)
• Alertas Eventlog y/o stdout
• Detecta comportamiento anómalo de los
procesos
• Proceso de Hunting buscando
actividad maliciosa en ficheros .evtx
descargados de equipos sospechosos
• Entornos sandbox como
complemento de detección
• Forense
• Complemento de monitorización
activa para Blue Team
• Testeo previo de reglas de correlación
en SIEM
• Búsqueda eventos en ficheros .evtx
Capacidades Usos
(Sysmon Processes Correlation Engine)
8. Sysmon Process Correlator Engine – Baseline Engine
• Establece una base de comportamiento de los principales procesos del
sistema, en especial aquellos susceptibles a ser inyectados.
• Línea base parte de un proceso de investigación con metodología empírica (No ML)
de un conjunto de máquinas con diferentes SO de Microsoft.
• El resultado es un catalogo de comportamiento modelado en eventos de
Sysmon
• Se establece un puntaje de confianza para cada uno de ellos, si alguno realiza una
acción fuera de la línea base pierde puntos. 0 puntos ->Alerta
BASELINE ENGINE
Características
OBJETIVO
Detectar procesos
legítimos con código
inyectado
9. Sysmon Process Correlator Engine – Baseline Engine
BASELINE ENGINE
Funcionamiento
Tipo Acción
Sysmon
Ej. (1) Process
Create
Baseline Eng.
Comprueba
OK
Atributos no
habituales
Resta
confianza al
proceso
Características ID 1
• Imagen
• Padre
• Path
• Integridad
• Sesión
• …
Baseline
Rules
No hay alerta
OK
Comprueba
puntos
Quedan
puntos? NO Alerta
11. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
Comportamiento
General
Atributo Valor
Momento de ejecución Cuando un usuario inicia sesión interactiva, por lo tanto en cualquier
momento.
Tiempo de vida TTL Normalmente minutos u horas incluso días. Podemos encontrar alguna
ejecución que dura milésimas (<1s), que el SO mata por no ejecutar
otra instancia de shell.
Creación de procesos hijo Numerosa y diferente, anormal a partir de 20 en 1 hora
Instancias de ejecución 1 por usuario y sesión, si esta esta iniciada. Es posible llegar a tener 2
por usuario, si se activa “Abrir ventanas de carpeta en un proceso
independiente” (hija de svchost, no userinit) [1]
13. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 1
Process Create
Atributo Valor
En general
muy pocos
eventos
Imagen disco C:Windowsexplorer.exe
Procesos Padre C:WindowsSystem32userinit.exe (Normal)
C:WindowsSystem32winlogon.exe (Cuando Crash)
C:Windowsexplorer.exe (Muy rara vez)
C:WindowsSystem32svchost.exe (Muy rara vez, se instancia un objeto
mediante DCOM, al habilitar “Abrir ventanas de carpeta en un proceso
independiente”)
Directorio de ejecución C:Windows
Usuario Diferente siempre de System
Sesión Diferente siempre de 0
14. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 1
Process Create
Atributo Valor
En general
muy pocos
eventos
Integridad Media
(PE) Imagen Descripción Windows Explorer
(PE) Compañía Microsoft Corporation
(PE) Nombre original EXPLORER.EXE
Instancias de ejecución 1 por usuario y sesión si esta esta iniciada y 2 si se habilita “Abrir
ventanas de carpeta en un proceso independiente”
15. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 2
File Creation Time
Changed
Atributo Valor Frecuencia
En general
muy pocos
eventos
Nombre fichero
destino
Por debajo de la jerarquía de la carpeta de usuario en especial
en AppData Ej. C:Users[USUARIO]AppData …
Menos de 30 al
día
ID Sysmon 3
Conexión
Atributo Valor Frecuencia
En general
muy pocos
eventos
(Iniciadas por el)
Puerto destino
"80", "443", "3128“ (Proxy si se usa) Menos de 12 al
día
(Recibidas por el)
Puerto destino
No es normal que levante sockets a la escucha, por lo que no
deberíamos ver intentos de conexión hacia el explorer.exe
(Iniciadas por el)
IP destino
IPs de Microsoft
16. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 7
Carga módulos
Atributo Valor
En general
pocos
eventos
Path de la imagen en disco
de la DLL
Varias localizaciones, debido a extensiones, pero mayormente de:
C:Windows
C:Program Files
C:Program Files (x86)
C:PROGRA~1
OneDrive
Firma Status Valid
ID Sysmon 8
Create Remote
Thread
Atributo Valor Frecuencia
En general
muy pocos
eventos
Crea hilos remotos No debería generar eventos de este tipo
Recibe creación de hilos de C:WindowsSystem32wbemWmiPrvSE.exe 1 por ejecución
de explorer
17. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 9
Escritura RAW
Atributo Valor Frecuencia
Acceso habitual Dispositivo DeviceHarddiskVolume Menos de 100 al día
ID Sysmon 11
Creación ficheros
Atributo Valor Frecuencia
Normal que se produzca Menos de 100 al día
ID Sysmon 12
Object create and
delete
Atributo Valor Frecuencia
Normal que se produzca Alta
ID Sysmon 10
Open process
Atributo Valor Frecuencia
Normal que se produzca Alta
18. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 13
Value Set
Atributo Valor Frecuencia
Normal que se produzca Alta
ID Sysmon 14
Key and Value
Rename
Atributo Valor Frecuencia
No debería generar Nunca
ID Sysmon 15
ADS Create
Atributo Valor Frecuencia
No debería generar Nunca
19. Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 18
PIPE CONNECT
Atributo Valor Frecuencia
Pocos eventos Nombre PIPE srvsvc
MsFteWds
wkssvc
TDLN
Menos de 20 a la hora
ID Sysmon 17
Create PIPE
Atributo Valor Frecuencia
No debería generar Nunca
21. Sysmon Process Correlator Engine – Hierarchy Engine
• Permite detectar situaciones anómalas basadas en la jerarquía de los procesos
(relación Padre->Hijo) y sus acciones asociadas.
• Construye el árbol de ejecución de procesos y asigna las acciones que estos van
haciendo al PID correspondiente.
• Permite detectar situaciones reiteradas de un comportamiento (N veces un
hecho)
• Presenta una visión rápida de la cadena de sucesos de una amenaza alertada
HIERARCHY ENGINE
Características
OBJETIVO
Detectar ejecuciones de
código malicioso basado
en la cadena de acciones
22. Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Ataque de Phising
{"RuleID":8, "Rulename":"Successful phising attack", "Content": [
{"1c":{"Image":"EMAIL_AGENTS"}},
{"1":{"Image":"OFFICE_PROCESS"},"3":{"Image":"OFFICE_PROCESS"}},
{"1c":{"Image":"SCRIPTING_ENGINES_AND_SHELLS"}}
]},
Conecta
23. Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Ataque de Phising
{"RuleID":8, "Rulename":"Successful phising attack", "Content": [
{"1c":{"Image":"OFFICE_PROCESS"}
{"3c":{"Image":“*“, “DstIP”:”INTERNET”}}
]},
Todavía más generalizable
Conecta
24. Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Inyecciones de código
mal gestionadas
{"RuleID":17, "Rulename":"Possible bogus injected code in System process because too many werfaults", "Content": [
{"1c":{"Image":"wininit.exe"}},
{"N":2, "Seconds":86400},
{"1c":{"Image":“*"}},
{"1":{"Image":"werfault.exe"}}
]},
{"RuleID":18, "Rulename":"Too many explorer crashes, possible bogus injected code", "Content": [
{"1c":{"Image":"winlogon.exe"}},
{"N":3, "Seconds":86400},
{"1":{"Image":"explorer.exe"}}
]},
25. Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Elevaciones de privs
{"RuleID":19, "Rulename":"System process on user session (priv scalation)", "Content": [
{"1c":{"-TerminalSessionId":"0", "User":"System","-Image":"SYSTEM_PROCESS_ON_USER_SESSION"}}
]},
{"RuleID":20, "Rulename":"User process create system process", "Content": [
{"1c":{"-TerminalSessionId":"0", "-User":"System"}},
{"1":{"User":"System"}}
]},
{"RuleID":21, "Rulename":"Accessing to a System token from sesion 1 (priv scalation)", "Content": [
{"1c":{"User":"system"},"110c":{"-SourceUser":"system", GrantedAccess":"PROCESS_QUERY_INFORMATION"}}
]}
[2]