ADHD: Una herramienta de defensa activa para monitoreo y respuesta ante ciberataques
1. UNA MIRADA A LA ACTIVE DEFENSE
HARBINGER DISTRIBUTION (ADHD)
COMO HERRAMIENTA DE MONITOREO Y
DEFENSA ACTIVA ANTE ATAQUES
Jaime Andrés Bello Vieda
Septiembre 2 de 2017
@avechuch0
2. • Ofensivo vs Defensivo
• Escala deslizante de ciberseguridad
• Ciclo Ciberdefensa Activa
• ¿Qué es ADHD?
• ¿Qué ofrece?
• Las 3A de la Defensa Activa
• Annoyance
• Attribution
• Attack
Parte 1 - Conceptualización
AGENDA
Parte 2 – Del concepto a la práctica (ADHD)
3. Del latín... Un homo 'hombre' que se
esfuerza día a día por ser un sapiens
'sabio’.
root@avechuch0:~# whoami
jaime
Máster en Seguridad de las TIC (Actual)
Ingeniero de Sistemas
ISACA CSX, PMI PMP, Computing Analysis Forensics
Specialized Certification, Auditor Interno ISO 27001.
Profesor de piano y guitarra.
Investigar – Compartir conocimiento… ¡For free!
He trabajado…
Webmaster.
Administrador de infraestructura TI.
Auditor de procesos y sistemas.
Seguridad informática.
Respuesta a Incidentes
e Informática Forense.
5. OFENSIVO VS. DEFENSIVO A muchos nos gusta,
queremos saber como es:
• Metasploit.
• Intrusiones / Exfilftración.
• Phishing.
• Malware.
• Password cracking.
Atacar… ¡¡¡ATACAR!!!
¡Ofensivos!
MMM…
ATACAAAR
Aunque para muchos no es tan
“interesante”. Hay una gran
mayoría inmersa allí.
Pero…
En Defensa Pasiva!!!
¡Defensivos!
6. Planear,
establecer y
mantener los
sistemas con
seguridad en la
mente.
Diseño,
desarrollo,
adquición,
implementación.
Arquitectura Inteligencia
Recolección
datos, explotación
en información, y
su evaluación,
para obtener
conocimiento
especializado de
una brecha
previamente
identificada.
Ofensa
Acción deliberada
en contra del
adversario.
Étapas previas ya
tienen el máximo
retorno de
inversion. La
venganza es un
acto illegal y no
de autodefensa.
Defensa Activa
Millitar “Contraatacar
para ganar una posición
al enemigo”.
Ciber “Monitorear
responder,
aprender y aplicar
conocimiento ante
las amenazas de
la red interna.
OJO, NO ES
HACKEAR AL
ADVERSARIO.
Defensa Pasiva
Sistemas de la
arquitectura.
Protección contra
amenazas… SIN
ACCIÓN
HUMANA
CONSTANTE.
Firewalls, anti-
malware,
IDS/IPS.
LA ESCALA DESLIZANTE DE CIBERSEGURIDAD
A Sans whitepaper – Robert M. Lee. 2015
7. VALOR EN SEGURIDAD VS. COSTOS
El “piso” de de la seguridad
está en la arquitectura.
Costos son inversamente
proporcionales al valor que
entrega cada nivel de
seguridad en ascenso.
Étapas superiores no se
pueden surtir si sus
antecesoras no están
implementadas.
Ibíd
8. 4
Manipulación de
amenaza y su
entorno
1
Realizar
inteligencia
sobre las
amenazas
3
Respuesta a
incidentes
2
Monitoreo de
seguridad de la
red
Analizar fuentes de
amenazas para
entender su impacto
real.
Crear mejores IoC.
Cambios en el
entorno para mitigar
con efectividad.
Organización debe ser
consciente de sus
objetivos, necesidades, y
tolerancia de ataques.
Alcance e impacto de
la actividad maliciosa
mientras se contiene
y erradica.
Hallar causa raíz para
evitar la reincidencia
del problema.
CICLO DE (CIBER)DEFENSA ACTIVA
Las herramientas NO
crean inteligencia. Sólo
las personas PUEDEN
crear inteligencia.
”
Recopilar: Tráfico,
registros, logs.
Detectar: IoCs y TTPs
para identificar
posibles brechas.
Analizar: Descartar
falsos positivos.
Fuente
Sans
10. Y
exactamente
• Proyecto de Black Hills IS.
• Bajo Fundación del Cyber Fast
Track (CTF), programa del Defense
Advanced Research Projects Agency
(DARPA).
Algo de
historia
¿Dónde
está?
PERO BUENO,
¿QUÉ ES EL ADHD?
• Distribución Linux basado en
Ubuntu 14.04 LTS.
• GRATUITO Y LIBRE.
• Contiene una suite de herramientas
preinstaladas y configuradas de
defensa activa.
• https://www.blackhillsinfosec.com/projects/adhd/
• https://github.com/adhdproject/buildkit
• https://sourceforge.net/projects/adhd/
12. “Cuanto más podamos complicar
la vida al atacante, más opciones tendrá
que tomar... Y es más probable que lo atrapemos”
J. Strand.
La idea de esta fase es “fastidiar” la
labor del atacante, incrementando su
cantidad de esfuerzo y trabajo.
Honeypots, Falsas DNS, Directorios
web recursivos para romper web
crawlers.
LAS 3A DE LA DEFENSA ACTIVA
Annoyance - Fastidiar
14. “Comprender la metodología del
atacante, es el primer paso de cualquier
estrategia de atribución” – Offensive
Countermeasures: The Art of Active Defense
Dar trazabilidad y obtener la ubicación del
origen que nos está atacando.
Web bugs, applets, controles ActiveX, macros,
para identificar datos IP y coordenadas
de georeferenciación del atacante.
LAS 3A DE LA DEFENSA ACTIVA
Attribution - Atribución
16. OTRO EJEMPLO – HoneyBadger (Attribution) Cont.
Tracking por “Compartir localización”
En caso de no aceptar, de
inmediato pasa al tracking por
“ Java Applet”
18. Donde la mayoría piensa que
la Defensa Activa toma lugar.
Recuerden, Defensa Activa
¡¡¡NO ES HACKEAR AL ADVERSARIO!!!
Étapa abierta a todas las TTPs (Táctica,
técnica o procedimiento). No proceda sin
participación específica de alguna “…ía”.
LAS 3A DE LA DEFENSA ACTIVA
Attack - Atacar
Algunas en ADHD son
BeEF, SET. Recon-ng, Pushpin, Java Applet
Web Attack.
Cualquier cosa de Kali, Github…
20. REFERENCIAS
• The sliding scale of Cyber Security
https://www.sans.org/reading-room/whitepapers/analyst/sliding-scale-cyber-security-
36240
• Cyber Threat Intelligence Consumption
https://www.sans.org/security-resources/posters/dfir/cyber-threat-intelligence-
consumption-130
• How I learned to love Active Defense – John Strand
https://www.darkreading.com/attacks-breaches/how-i-learned-to-love-active-defense/a/d-
id/1321361
• Into the Gray Zone – Center for Cyber & Homeland Security, George Washington University
https://cchs.gwu.edu/sites/cchs.gwu.edu/files/downloads/CCHS-
ActiveDefenseReportFINAL.pdf
• HoneyBadger
https://bitbucket.org/LaNMaSteR53/honeybadger
• Opening a Can of Active Defense and Cyber Deception to Confuse and Frustrate Attackers
https://pen-testing.sans.org/blog/2017/02/28/opening-a-can-of-active-defense-and-cyber-
deception-to-confuse-and-frustrate-attackers