La inteligencia de amenazas o Cyber Threat Intelligence

La inteligencia de amenazas o Cyber Threat Intelligence. ¿Cómo podemos analizar las ciberamenazas? Por Iván Portillo

Los criminales también están aprovechando el uso de la tecnología a su favor para de alguna manera sacar provecho de este avance. Por este mismo hecho, muchas de las operaciones de los criminales son perpetradas utilizando recursos cibernéticos en vez de realizar actos delictivos de manera física. Esto les permite añadir más capas de anonimato para ocultar sus huellas e identidad, además de poder ejecutar dichas operaciones desde cualquier punto del mundo.

Las amenazas ejecutadas por los criminales están avanzando a pasos agigantados, lo que conlleva a que las propias defensas de una empresa u organización se vean afectadas si utilizan medidas de seguridad tradicionales o si los enfoques operativos no están adecuados a las nuevas amenazas.

Para hacer frente a la gran variedad de amenazas que llevan años produciéndose, apareció en Europa el concepto de Cyber Threat Intelligence por medio del CERT de Reino Unido (CERT-UK). Este concepto también es conocido como CTI o Threat Intelligence, el cual es definido de la siguiente manera: "Conocimiento resultante sobre las amenazas basándose en evidencias concretas incluyendo capacidades, infraestructura, motivación, objetivos y recursos del atacante. Por lo tanto, CTI permite detectar indicadores relacionados a ciberamenazas, extraer información referente a métodos de ataque, identificar amenazas de seguridad y tomar decisiones con antelación con el fin de responder a posibles ataques de manera precisa y contundente"

Al final el Cyber Threat Intelligence no deja de ser una disciplina que permite generar un producto de inteligencia que ayude en la toma de decisiones para protegerse y hacer frente a las ciberamenazas. A través del conocimiento que aporta CTI podemos llegar a ser capaces de recolectar información sobre un adversario con el fin de detectar cuál es su actividad maliciosa relacionada, que patrones suele utilizar y entender cuál es el comportamiento empleado detrás de sus ataques.

El fin del CTI no es recolectar únicamente indicadores de compromiso sobre amenazas, sino generar ese conocimiento mencionado alrededor del adversario con el objetivo de reducir el posible riesgo que pudiera ocasionar a la empresa u organización, además de anteponerse a sus ataques y contrarrestarlos. Para analizar una amenaza en su conjunto es vital detectar una serie de datos que ayuden a identificar el actor o grupo criminal detrás de un ataque. Por este hecho es bastante importante aplicar técnicas de análisis basados en hipótesis y evidencias a través de un proceso analítico de todos los datos recolectados.

Las preguntas claves que debemos plantearnos sobre una amenaza son las siguientes:

• Quiénes son los adversarios, incluyendo a los actores, patrocinadores y empleados.
• Qué usan los adversarios, incluyendo sus capacidades e infraestructura utilizadas.
• Donde suelen atacar los adversarios, detallando industrias, tipo de empresas y regiones geográficas.
• Cuando actúan los adversarios, identificando líneas de tiempo.
• Por qué atacan los adversarios, incluyendo sus motivos e intenciones.
• Cómo operan los adversarios, enfocados en sus comportamientos y patrones.

Un producto de inteligencia basado en Cyber Threat Intelligence debe tener siempre dos elementos finales que son el contexto y la acción, sin ambos, la inteligencia sobre la amenaza no sería ni entendible ni procesable por parte del consumidor.

Las amenazas ejecutadas por los criminales están avanzando a pasos agigantados, lo que conlleva a que las propias defensas de una empresa u organización se vean afectadas si utilizan medidas de seguridad tradicionales o si los enfoques operativos no están adecuados a las nuevas amenazas.

Por medio del contexto podemos llegar a identificar el por qué, por quién y el cómo es efectuada la amenaza. Además, dicho contexto también puede facilitar información sobre qué tipo de empresas son objetivos y pueden llegar a verse afectadas frente a una amenaza concreta. Muchas de estas están dirigidas a un sector profesional específico, una tecnología vulnerable o incluso a un país en particular. Conociendo el contexto de una amenaza, muchas empresas pueden llegar a identificar si dicho incidente puede llegar a afectarles, priorizar de una manera más eficiente o bien saber cómo mitigar la amenaza.

Generalmente un contexto suele incluir lo siguiente:

• Descripción del comportamiento del actor o grupo criminal detrás de la amenaza teniendo en cuenta el KillChain
• Descripciones técnicas a alto nivel como por ejemplo indicadores de compromisos claves usados, breve análisis de la amenaza, actividades maliciosas detectadas, artefactos de red principales, etc
• Industria/s y país/es afectados
• Evaluación del impacto y análisis de riesgos

Un ejemplo de dicho contexto sería el siguiente:

• Amenaza: APT Vicious Panda
• Sector: Gubernamental
• Países objetivo: Mongolia
• Impacto: HIGH

Campaña dirigida hacia el sector público de Mongolia, en concreto a su gobierno. Los adversarios utilizan el miedo generalizado del Coronavirus con el fin de usarlo como anzuelo y engañar a las víctimas a través de correos electrónicos bajo el pretexto de nuevos datos sobre la prevalencia de nuevas infecciones por coronavirus.

Investigadores detectaron dos documentos maliciosos en formato RTF adjuntados en dichos correos electrónicos, los cuales fueron enviados al sector público de Mongolia, supuestamente desde el Ministerio de Relaciones Exteriores de Mongolia. Los documentos mencionados fueron recibidos en idioma mongol aprovechando el miedo generalizado del COVID-19 ocasionado en el mundo entero para engañar a las víctimas.

El proceso de infección parte del envío del correo electrónico con el documento en formato RTF adjunto bajo el nombre de “About the prevalence of New coronavirus infections.rtf”. Dicho documento explota la vulnerabilidad del editor de ecuaciones de Microsoft Word (CVE-2017-11882 y CVE-2018-0798). En el propio documento RTF (aparentemente creado con la herramienta RoyalRoad) es insertado un objeto malicioso embebido que explota la vulnerabilidad anteriormente mencionada. La ejecución del payload presente en el documento copia el fichero intel.ws dentro del directorio de arranque de Microsoft Word (%APPDATA%\Microsoft\Word\STARTUP) con el fin de ganar persistencia en cada inicio del software indicado.

El fichero intel.ws se comunica con el servidor malicioso 95.179.242[.]6, desde donde se descarga el loader minisdllpub.dll. Dicha librería mencionada será ejecutada por medio de Rundll32, el cual se comunicará con un servidor C&C (95.179.242[.]27) para recibir funcionalidades extra.

El propio loader descargará y descifrará un módulo RAT (Troyano de Acceso Remoto) a través de un plugin que funciona como backdoor (mdll.dll), el cual lo carga en memoria, permitiendo la ejecución de una serie de operaciones directamente en la víctima. Entre estas son descubiertas capacidades básicas bastante comunes, tales como realizar capturas de pantalla, listar archivos y directorios, crear y eliminar archivos, mover y eliminar archivos, descargar un archivo, ejecutar un nuevo proceso y obtener una lista de todos los servicios en ejecución. 

Por medio de diversas fuentes se contrasta que parte de la carga maliciosa de Vicious Panda es utilizada en otros ataques registrados por medio de diferentes actores, en concreto en el bucle de descifrado utilizado por cada muestra de las cuatro amenazas.

Los actores detectados son Microcin (Objetivo Rusia), BYEBY (Objetivo Bielorrusia) y Mikroceen (Objetivo Asia Central).

Analizando todos los Indicadores de Compromiso (IoC) de las cuatro amenazas detectamos que los dominios y direcciones IP utilizados en los ataques de BYEBY y Vicious Panda comparten la misma infraestructura a través de los servicios de Vultr y GODADDY.

Para hacer frente a la gran variedad de amenazas que llevan años produciéndose, apareció en Europa el concepto de Cyber Threat Intelligence por medio del CERT de Reino Unido (CERT-UK). Este concepto también es conocido como CTI o Threat Intelligence

En el caso de que no fuera identificado el contexto, únicamente dispondríamos de indicadores sin sentido y sin un propósito conocido. Al carecer de elementos claves para identificar correctamente el porqué de la amenaza, no sería posible obtener un producto de inteligencia que ayudara a tomar una decisión determinada sobre la amenaza en cuestión.

El otro elemento final mencionado anteriormente, la acción, proporciona recomendaciones técnicas y posibles soluciones para resolver una incidencia concreta. Además, debe informar también del comportamiento que utiliza la amenaza y el impacto asociado. La información recogida dentro de la acción tiene que resultar interesante para cualquier tipo de profesional relacionado con el Cyber Threat Intelligence, desde indicadores de compromiso o cualquier detalle técnico que ayude a un perfil técnico (por ejemplo, analistas de malware y forenses) hasta el riesgo y el impacto que puede repercutir económicamente a una empresa proporcionando información útil a un perfil estratégico como pudiera ser el CEO de una compañía, o bien, quien está detrás de la amenaza y que TTPs utilizan para ayudar de esta manera a un perfil táctico (director de seguridad de una empresa - CISO).

Una acción debería incluir lo siguiente:

• Procedimientos y políticas que permitan prevenir y proteger la empresa u organización de cualquier tipo de amenaza
• Adjuntar Técnicas, Tácticas y Procedimientos (TTP) utilizadas por la amenaza para poder buscar similitudes con otras amenazas y protegerse de ellas
• Recomendaciones recolectando información de valor referentes a diferentes TTP de diversas fuentes para una detección de amenazas más efectiva y proactiva
• Planes de mitigación de la amenaza

Un ejemplo de la acción sería el siguiente:

• Amenaza: APT Vicious Panda
• Impacto: HIGH

Campaña dirigida hacia el sector público de Mongolia explotando el miedo generalizado del Coronavirus con el fin de usarlo como anzuelo y engañar a las víctimas a través de correos electrónicos bajo el pretexto de la prevalencia de nuevas infecciones por el coronavirus. Según lo mencionado en el contexto, existen similitudes con campañas anteriores que indican que el grupo malicioso lleva ejecutando operaciones desde el 2016.

Analizando las Tácticas, Técnicas y Procedimientos asociadas a las muestras de malware detectadas, descubrimos la presencia de 10 tácticas y 30 técnicas. Entre estas podemos encontrarnos con las tácticas de acceso inicial (mediante Phishing), ejecución (el usuario ejecuta un fichero malicioso), persistencia (carga de una librería DLL y persistencia con esta en el inicio de la aplicación Microsoft Word), elevación de privilegios (bypass del control de cuentas de usuario de Windows), evasión defensiva (desofuscacion/ofuscación de archivos o información, modificación de registros, ejecución de binarios firmados como Regsvr32 o Rundll32), acceso a credenciales (captura de credenciales a través de API Hooking), descubrimiento (enumeración de archivos y directorios y descubrimiento de llaves de registro), movimiento lateral (transferencia lateral de herramientas en los sistemas internos de la víctima), colección (pantallazo del escritorio, datos desde unidades de red compartidas, el sistema local o repositorios de información, colección automatizada para recolectar información) y comando y control (codificación de datos, uso de canales cifrados, utilización de canales de comunicación alternativos o de puertos no comunes).

Alguna de las herramientas utilizadas por Vicious Panda en las operaciones son las siguientes: Enfal / Lurid (Downloader), Pylot / Travle (Backdoor), Cmstar (Downloader), Byeby (Backdoor), BBSRAT (Backdoor) y 8.t Dropper / RoyalRoad (Dropper).

Mitigación de la amenaza:

• Aislar de la red las máquinas infectadas por la amenaza.
• Generar reglas para bloquear tráfico entrante y saliente hacia cualquier IoC relacionado con la amenaza en cortafuegos, IDS, IPS, proxies y resto de dispositivos defensivos perimetrales
• Añadir todas las direcciones IP y dominios relacionados con la amenaza en blacklists
• Analizar mediante un sandbox todos los archivos adjuntos en correos electrónicos para verificar su legitimidad
• Bloquear por defecto los archivos adjuntos desconocidos o no utilizados habitualmente y que no deban transmitirse por correo electrónico como los siguientes formatos entre otros: .exe, .scr, .pif, .cpl, etc
• Inspeccionar manualmente las configuraciones establecidas en los archivos manifest para comprobar que no existan vulnerabilidades relacionadas con la carga o subida de cualquier tipo de fichero o software
• Desactivar la ejecución de macros y complementos de Microsoft Office. En el caso de ser necesarias, deben ir firmadas
• Instalar el software necesario en ubicaciones que estén protegidas contra la escritura
• Eliminar usuarios del grupo de administradores locales en los sistemas
• Añadir permisos para evitar que los usuarios modifiquen claves de registro de cualquier componente del sistema
• Tener activado el UAC (control de cuentas de usuario de Windows) al nivel más alto, siempre que sea posible
• Identificar y bloquear la ejecución de funcionalidades a través de regsvr32 y rundll32 que estén categorizadas como software potencialmente malicioso
• Desactivar servicios relacionados con el protocolo SMB sino son utilizados, en el caso de que sean necesarios, mantener actualizados estos con los últimos parches de seguridad.

Recomendaciones:

• Disponer de las últimas actualizaciones de aplicaciones y sistema operativo instaladas (siempre que sea posible)
• Revisar periódicamente las cuentas y los privilegios de los repositorios críticos y sensibles
• Software antivirus y antimalware actualizados para disponer de los últimos parches de seguridad sobre vulnerabilidades conocidas
• Detectar nuevos IoC asociados a la amenaza realizando un triage en el SIEM para la monitorización de reglas a partir de patrones, reglas YARA y expresiones regulares como medida proactiva para evitar nuevos incidentes
• Emplear la detección de malware basada en la heurística
• Verificar logs de dispositivos perimetrales de seguridad en busca de patrones de comportamiento de la amenaza
• Evitar instalar software no oficial
• Formación de concienciación sobre amenazas de ciberseguridad a los empleados como por ejemplo el Phishing
• Cifrar todo el almacenamiento con información sensible tanto en la red interna como externa. Con esto conseguimos proteger los activos más valiosos de la organización en el caso de que el adversario consiga adquirir la información por medio de alguna técnica de colección. 

Enlaces de interés:

• https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign/
• https://www.welivesecurity.com/2020/05/14/mikroceen-spying-backdoor-high-profile-networks-central-asia/