Uso de Threat Hunting Open Source para detectar e identificar agentes de la amenaza

Tiempo de lectura estimado: 8 minutos

Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es explicar qué es y cómo funciona MISP e integrarlo con TheHive, OpenCTI y Cortex para automatizar tareas de threat hunting.

Ciberamenazas

Para combatir las ciberamenazas actuales (APT, ransomwares, phishing…) se utiliza un software a nivel internacional, originalmente desarrollada en Bélgica, con la finalidad de apoyar las misiones OTAN en el ámbito NCIRC, llamado MISP. 

MISP (Malware Information Sharing Platform) es una plataforma de inteligencia contra amenazas especialmente utilizada para la compartición, almacenaje y correlación de indicadores de compromiso, persiguiendo tener una comunidad colaborativa sobre amenazas existentes, cuyo objetivo es ayudar a mejorar las contramedidas utilizadas contra los ataques dirigidos y establecer acciones preventivas y de detección (Mario Guerra Soto, Inteligencia de la amenaza).

Algunas de sus características son:

• Almacenar información tanto técnica como no técnica sobre malware y ataques ya detectados.
• Crear automáticamente relaciones entre malware y sus atributos.
• Almacenar datos en un formato estructurado, permitiendo así un uso automatizado de la base de datos para alimentar sistemas de detección o herramientas forenses.
• Generar reglas para NIDS (Network Intrusion Detection System) para luego importarse a IDS (IPs, dominios, hashes de archivos maliciosos, ...)
• Compartir los atributos de malware y amenazas con otras organizaciones y grupos de confianza.
• Mejorar de la detección y el reverse del malware para promover el intercambio de información entre distintas organizaciones
• Posibilidad de almacenar localmente toda la información de otras instancias.
• Conexión por interfaz web o bien por su API (PyMISP, muy usado por dispositivos IDS o SIEM).
• Búsqueda de información multidireccional.
• Mecanismos para su distribución dentro de la comunidad.
• Automatizar la importación y exportación de datos.
• Establecer una arquitectura federada entre comunidades para intercambiar información.

Al acceder a MISP, encontramos la lista de eventos. En cada uno detalla cada evento entrante y algunas etiquetas. Dentro de cada evento encontramos, una cabecera (con el ID y el Uuid), etiquetas, fecha, nivel de amenaza, nivel de análisis, breve resumen y si ha sido publicado en la organización o no.

Debajo de la cabecera encontramos los organizadores de compromiso (atributos que componen el evento como tipo, categoría, valor, comentario…). Las etiquetas (tags) pueden utilizarse para categorizar eventos, atributos u objetos, y pueden hacer referencia a taxonomías o ser creadas por el usuario. Los objetos son indicadores de compromiso que están relacionados entre ellos. 

Para extraer más información de los indicadores se utilizan herramientas adicionales como Cortex. Se puede integrar en diferentes analizadores y ofrece una interfaz gráfica para lanzarlos. Además, tiene integración con MISP y TheHive y permite la creación de analizadores en Python. Cada analizador se puede habilitar o deshabilitar si lo vamos a utilizar o no.

TheHive, otra herramienta, permite una gran escalabilidad y permite la cooperación de diferentes grupos ofreciendo una integración completa con Cortex. Gestiona alertas y cruces de entidades en los diferentes casos y se integra con las taxonomías y tags de MISP.

Una de las plataformas de inteligencia es OpenCTI, basada en una base de datos de grafos, permite exploración y correlación, tiene un modelo unificado con el estándar STIX2 y un razonador automático.

Redes sociales

El auge de las fake news se ha dado principalmente en fuentes abiertas como redes sociales, y aunque las herramientas que hemos comentado nos dan algo de ventaja,  es imposible categorizar todos los eventos de redes sociales a mano y meterlos en una herramienta inteligente.

En la masterclass en vídeo se explica con detalle cómo crear dos analizadores en Cortex, nmap y twint.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Carlos Loureiro

Trabaja en la Comisaría General de la Información de la Policía Nacional. Estudió ciencias políticas y criminología y es miembro de Mundo Hacker Team y de HackMadrid%27. Es profesor de varios másteres de ciberseguridad y es formador de FFCCSS Cybersecurity Summer BootCamp INCIBE. También ha sido ponente en CCN-CERT LABS, C1b3rwall, Mundo Hacker Day, Mundo Hacker Academy…