Threat Hunting - Zerolynx4 Objetivos •Entender qué es el proceso del Threat Hunting •Familiarizaros con los conceptos relacionados •Fuentes de datos y herramientas útiles

Threat Hunting

2

WhoAmI

David Jiménez

• Responsable de Ciberdefensa en Zerolynx

Diego León

• Responsable de Seguridad Ofensiva en Zerolynx

3

WhoAreYou?

4

Objetivos

• Entender qué es el proceso del Threat Hunting

• Familiarizaros con los conceptos relacionados

• Fuentes de datos y herramientas útiles.

• Desplegar una infraestructura Básica HELK + sysmon

• Crear nuestras primeras hipótesis, y lanzar una primera operación de caza.

• Learn and have fun!

5

Topics

Introducción al Threat Hunting

PreHunting

Conceptos de Threat Hunting

Preparando el arco

A la caza! Hands-on

Y ahora qué?


7

C2C

APT

Social Engineering

Buffer overflow

Kill Chain

IOC

Rootkit

Hypothesis

Sysmon

EDR

SOC

TTPs

Spear Phishing

Event ID 4624

Threat Intelligence

Zero-day exploit

Sigma Rules

Botnet

SIEMNTP Keylogger


8


La respuesta a incidentes es un programa formal que prepara a una entidad para un incidente. Lasfases de respuesta a incidentes se pueden describir de la siguiente manera:

9

La respuesta a incidentes es un programa formal que prepara a una entidad para un incidente. Lasfases de respuesta a incidentes se pueden describir de la siguiente manera:


10


El Threat Hunting es una actividad de defensa activa,basada en la búsqueda iterativa y proactiva a través dela red, con el fin de detectar y aislar amenazasavanzadas que están evadiendo las soluciones ycontroles de seguridad existentes.

11

El Threat Hunter es un analista de amenazas deciberseguridad que utiliza métodos proactivos paradescubrir incidentes de seguridad que no están siendodetectados.


12

Microsoft cloud red teaming paper

Threat Hunting

Modelo de compromiso asumido

PreHunting

14

PreHunting: Conoce a tu enemigo

15

Táctica

Acceso Inicial

Técnica

Servicios de acceso remoto

Procedimiento

Acceso al servidor a través de SSH mediante fuerza bruta

El concepto de TTP origina en la doctrina militar, y es acrónimo de Tácticas, Técnicas y Procedimientos, elcual caracteriza el modus operandi de un determinado adversario en el plano cyber, y para ello, describenqué es lo que hace y cómo lo hace.

• Táctica. La forma en que el actor opera, objetivos a alto nivel.

• Técnica. El como se logra nuestro objetivo.

• Procedimiento. El método o modo con el que se logra el objetivo


16

TTP: Permite simular ataques reales


17

Cubre diferentes etapas de la cadena de ataque: Acceso Inicial, Ejecución, Persistencia, Escalada de Privilegios, etc.


18


https://attack.mitre.org/

19

Utilidades

TTPs

Artefactos red y host

Dominios

Direcciones IP

Hashes • Trivial

• Fácil

• Sencillo

• Molesto

• Exigente


20

Gobierno del dato

https://github.com/hunters-forge/ThreatHunter-Playbook/

https://threathunterplaybook.com/pre-hunt/data_management.html

PreHunting: Fuentes y datos

https://github.com/hunters-forge/ThreatHunter-Playbook/

https://threathunterplaybook.com/pre-hunt/data_management.html

Conceptos de Threat Hunting

HM0 – Inicial

•Se basa principalmente en alertas automatizadas

•Ninguna o poca recogida de datos

HM1 – Mínimo

•Búsquedas mediante Threat Intelligence

•Nivel moderado o alto de recogida de datos

HM2 –Procedimental

•Procedimientos de análisis de datos creados por terceros

•Nivel alto o muy alto de recopilación de datos

HM3 – Innovador

•Creación de nuevos procedimientos de análisis de datos


HM4 – Líder

•Automatización de la mayoría de los procedimientos de análisis de datos


22

.Para determinar el nivel de madurez de una organización en Threat Hunting hay que considerar una seriede factores como son:

• La cantidad y calidad de los datos que recopilan.

• De qué manera se pueden visualizar y analizar los diferentes tipos de datos.

• Qué tipo de análisis automatizado se pueden aplicar a los datos para mejorar la información que reciben los analistas.

The Hunting Maturity Model (HMM)

Modelo de madurez en Hunting

23

HM 0 - Inicial

•Se basa principalmente en alertas automatizas


HM1 - Mínimo






HM3 – Innovador



HM4 – Líder



.


HM0 – Inicial

• La detección de actividad maliciosa se basa principalmente en sistema de monitorización y alertas como puedenser Antivirus o firewalls.

• La actividad se centra principalmente en la resolución de las alertas.

• Escasa recopilación de datos de los sistemas de TI, por lo que la capacidad para encontrar amenazas de formaproactiva es muy limitada.


24

HM 0 - Inicial



HM1 - Mínimo






HM3 – Innovador



HM4 – Líder



.


HM1 – Mínimo

• Aunque la detección de actividad maliciosa se sigue basando en las alertas automatizas recibidas delos sistemas de monitorización al menos se realiza una recopilación rutinaria de datos de lossistemas de TI.

• Recopilación de al menos unos pocos tipos de datos de la organización en un repositorio común,como un SIEM o un producto de gestión de logs.


25

HM 0 - Inicial



HM1 - Mínimo






HM3 – Innovador



HM4 – Líder



.


HM2 – Procedimental

• Recopilación de procedimientos de caza en Internet que a menudo combinan un tipo de dato deentrada esperado con una técnica de análisis específica para descubrir un solo tipo de actividadmaliciosa (por ejemplo, detectar malware mediante la recopilación de los binarios que estánconfigurados para iniciarse automáticamente en los hosts).

• Recopilación de grandes cantidades de datos.


26

HM 0 - Inicial



HM1 - Mínimo






HM3 – Innovador



HM4 – Líder



.


HM3 – INNOVADOR

• Se disponen de algunos cazadores que entienden una variedad de diferentes tipos de técnicas deanálisis de datos y pueden aplicarlas para identificar actividades maliciosas. En lugar de depender deprocedimientos desarrollados por otros (como en HM2), estas organizaciones suelen ser las quecrean y publican procedimientos.

• Recopilación de gran cantidad de datos y de alta calidad.


27

HM 0 - Inicial



HM1 - Mínimo






HM3 – Innovador



HM4 – Líder



.


HM4 – LÍDER

• En esencia es lo mismo que la fase HM3, con una diferencia importante: la automatización

• El alto nivel de automatización permite concentrar los esfuerzos en crear nuevos procesos de caza, loque resulta en una mejora continua en la capacidad de detección de amenazas.


28

Modelo Organizativo

SOC

Defensa

Respuesta a Incidentes

Análisis de Malware

Threat Hunting

CSIRT

29

Modelo Organizativo

SOC

30

Modelo Organizativo

Defensa

FirewallsProxy

Segmentación de RedesGestión de Parches

Concienciación

31

Modelo Organizativo

Respuesta a Incidentes

Herramientas de análisis forenseGestión de Logs

32

Modelo Organizativo

Análisis de Malware

Ingeniería InversaSandbox

Bases de Datos de Malware

33

Modelo Organizativo

Threat Hunting

Open Source Threat IntelligenceSoluciones Comerciales

Feeds de PagoComunidad

34

Proceso

ThreatHuntingResearch

ThreatHunting

Operations

IncidentResponse

Inteligencia

35

Proceso

Ciclo de cacería

Crear una hipótesis.

Investigar a través de

herramientas y técnicas

Descubrir nuevos

patrones TTPs

Informar y enriquecer los

análisis

36

Proceso

Hunting

Threat Loop

Crear una hipótesis

Investigar

a través de

herramientas

y técnicas

Descubrir

nuevos

patrones

TTPs

Informar y

enriquecer

los análisis

Toda cacería comienza con la creación de una hipótesis sobre algúntipo de actividad que podría estar ocurriendo en la organización.Ejemplos:

• Los usuarios que han viajado recientemente al extranjerotienen un riesgo elevado de ser objetivo de actores maliciosospatrocinados por el estado, por lo que puede ser interesantebuscar indicadores de compromiso en sus portátiles oasumiendo que sus cuentas han sido comprometidas para serutilizadas en la red.

• Búsqueda de movimientos laterales dentro la red mediantetécnicas de Pass the Hash (Método de autenticación sinnecesidad de conocer la contraseña, solo se necesita el hash)

37

Proceso

Hunting

Threat Loop


Investigar

a través de

herramientas

y técnicas

Descubrir

nuevos

patrones

TTPs

Informar y

enriquecer

los análisis

En segundo lugar, las hipótesis se investigan a partir de diversasfuentes y técnicas:

Fuentes como:

• Alertas de usuarios

• Informes de amenazas externos e internos

• Todo tipo de Logs: firewalls, IDS, aplicaciones, proxies,bases de datos de malware, etc.

Técnicas como :

• Búsqueda

• Clustering

• Grouping

• Stack Counting

38

Proceso

Hunting

Threat Loop


Investigar

a través de

herramientas

y técnicas

Descubrir

nuevos

patrones

TTPs

Informar y

enriquecer

los análisis

Las herramientas y técnicas descubren nuevos patrones maliciosos decomportamiento y TTPs

Esta es una parte crítica del ciclo de caza. Un ejemplo de este procesopodría ser:

• Una investigación previa reveló que una cuenta de usuario seestaba comportando de manera anómala, y que la cuentageneraba una gran cantidad de tráfico saliente.

• Después de realizar esta investigación, se descubre que lacuenta del usuario se vio comprometida inicialmente a travésde un exploit dirigido a un proveedor de servicios externo de laorganización.

• Este TTP (compromiso inicial a través de un sistema de terceros a través de un tipo particular demalware) debe registrarse, compartirse (tanto interna como externamente) y rastrearse dentro delcontexto de una campaña de ataque mayor.

39

Proceso

Hunting

Threat Loop


Investigar

a través de

herramientas

y técnicas

Descubrir

nuevos

patrones

TTPs

Informar y

enriquecer

los análisis

Por último, las búsquedas exitosas forman la base para informar yenriquecer el análisis automatizados.

No hay que perder el tiempo del equipo de hunting haciendo lasmismas cacerías una y otra vez.

Una vez que encuentre una técnica que funcione para encontraramenazas, hay que automatizarla mediante su análisis para que suequipo pueda continuar concentrándose en la próxima nueva cacería.

Las automatizaciones se pueden realizar mediante herramientas comoHELK o SOF-ELK

40

Proceso

• Hacer una pregunta

• Investigar

• Preparar hipótesis

Preparar

• Experimentar

• Funciona? Sí/No/Mejorable

• Afinar y automatizar

Buscar

• Analizar y sacar conclusiones

• Comunicar resultados

• Aprender para futuras búsquedas

Comunicar

41

Matriz de caza

El ciclo de la caza se compone de cuatro pasos y esta sehace más efectiva cuando estos cuatro pasos se llevan acabo de manera iterativa.

Las organizaciones en diferentes niveles del modelo demadurez de caza ejecutarán los pasos del ciclo de caza devarias maneras.

La matriz de caza combina los cuatro pasos del ciclo decaza y las cinco fases del modelo de madurez junto a lacapacidad de recolectar datos

42

Matriz de caza

Ampliar la madurez en la capacidad de caza a través del ciclo de caza depende de ciertos puntos clave atener en cuenta.

• La creación de hipótesis maduras depende de la elaboración de preguntas cada vez más dinámicas yde pasar de la creación manual a la generación automática de hipótesis.

• La madurez de las herramientas y técnicas utilizadas para dar seguimiento a las hipótesis depende depasar de usar búsquedas simples e histogramas a usar herramientas con visualizaciones avanzadas ycapacidades de búsqueda grafica.

• La madurez de los patrones y la detección de TTPs depende de la cantidad de los tipos deindicadores de compromiso (IoC) que se pueden recopilar en base a la pirámide del dolor. Estoimplica pasar de la colección de IoC simples como IP maliciosas a tareas más complejas como elseguimiento de TTP adversarios.

• La madurez en el análisis y la automatización dependen de pasar de realizar un proceso manual a unproceso automatizado donde aquellas cacerías repetitivas se encuentra automatizadas.

Preparando el arco

Comandos Windows

45

Discovery en Windows

Comandos de Windows útiles para Discovery

Muestra información de configuración detallada sobre un equipo y su sistema operativo, incluida laconfiguración del sistema operativo, la información de seguridad, el ID. de producto y las propiedades dehardware, los nombre de todos los registros..

• systeminfo

Muestra información acerca de las sesiones de usuario en un servidor host

• query user

Mostrar las propiedades del equipo

• net config workstation

• net config server

Mostar nombre del equipo

• hostname

46

Muestra el nombre del dominio al que pertenecemos

• net view /domain

Listado de los usuarios que pertenecen a un grupo

• net group "domain computers" /domain

• net group "domain admins" /domain

• net group "enterprise admins" /domain

• net group "Admins. del dominio" /domain

Listado de las cuentas de usuario local

• net user

Listado de grupos locales

• net localgroup


47

Listado de usuarios de pertenecen al grupo administradores locales

• net localgroup administradores

• net localgroup administrators

Configuración de red

• ipconfig /all

Listado de las tablas de enrutamiento de red

• route print

Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que utiliza el protocolo deresolución de direcciones (ARP).

• arp -a

Muestra estadísticas de protocolo y conexiones de red de TCP/IP actuales.

• netstat -ano


48

Muestra la configuración del firewall de windows

• netsh firewall show state

• netsh advfirewall show allprofiles

Habilita a un administrador a crear, eliminar, consultar, cambiar, ejecutar y terminar tareas programadas enun sistema local o remoto.

• schtasks /query /fo LIST /v

Muestra los servicios hospedados en cada proceso.

• Tasklist

• tasklist /svc

Listado de los controladores de dispositivo.

• driverquery


49

Claves de registro

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

• HKLM\Software\Microsoft\SharedTools\MSConfig\startupreg


Event Viewer

51

Visor de eventos de Windows

C:\windows\system32\eventvwr.exe

52

El visor de eventos de Windows, esta dividido en varios registros donde los principales son:

• En el registro de Aplicación se almacenan todos los eventos relacionados con el funcionamiento delos programas instalados del equipo.

• En el registro de Seguridad se almacenan los eventos relacionados con la protección del equipo,como por ejemplo, todos los intentos de inicio de sesión , válidos y no válidos.

• En el registro Instalación se almacenan todos los eventos relacionados con las instalaciones de losprogramas en el sistema operativo.

• En el registro del Sistema se almacenan los eventos relacionados directamente con el sistemaoperativo.

Se encuentran en el siguiente directorio:

• %SystemRoot%\System32\Winevt\Logs\


53

Eve

nto

s cr

ític

os

a m

on

ito

riza

r

4624 – Se ha iniciado sesión correctamente con una cuenta

4625 – No se pudo iniciar sesión con una cuenta

4648 – Se intentó iniciar sesión con credenciales explícitas

Inicios de sesión

4697 – Se instaló un servicio en el sistema

Servicios de Windows

4657 – Se modificó un valor de registro

Registro de Windows

4704 – Se asignó un derecho de usuario.

4705 – Se quitó un derecho de usuario.

Asignaciones de derechos de usuario

4717 – Se concedió acceso de seguridad del sistema a una cuenta.

4718 – Se quitó el acceso de seguridad del sistema a una cuenta

Cambios en los derechos de acceso

4719 – Se ha modificado la directiva de de auditoria del sistema.

Cambios en la política de auditoría


54

4720 – Se creo una cuenta de usuario.

4722 – Se habilito una cuenta de usuario.

4723 – Se intentó cambiar la contraseña de una cuenta de usuario.

4724 – Se intentó restablecer la contraseña de una cuenta de usuario.

4725 – Se deshabilitó una cuenta de usuario.

4726 – Se eliminó una cuenta de usuario.

4738 – Se modificó una cuenta de usuario.

4740 – Se bloqueó una cuenta de usuario.

4767 – Se desbloqueó una cuenta de usuario.

4781 – Se modificó el nombre de una cuenta.

Cambios en la cuenta de usuario local

4798 – Se enumeró la pertenencia a grupos locales de un usuario.

4799 – Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Enumeración de una cuenta local

4731 – Se creó un grupo local con seguridad habilitada

4732 – Se agregó un miembro a un grupo local con seguridad habilitada

4733 – Se eliminó un miembro de un grupo local con seguridad habilitada

4734 – Se eliminó un grupo local con seguridad habilitada

4735 – Se modificó un grupo local con seguridad habilitada

Cambios en la pertenencia a un grupo local


Eve

nto

s cr

ític

os

a m

on

ito

riza

r

55

4946 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Una regla fue agregada

4947 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Se modificó una regla.

4948 – Se ha realizado un cambio en la lista de excepciones de Firewall de Windows. Se eliminó una regla.

Cambios en las políticas de Firewall

5140 – Se obtuvo acceso a un objeto de recurso compartido de red

5142 – Se agregó un objeto de recurso compartido de red.

5143 – Se modificó un objeto de recurso compartido de red.

5144 – Se eliminó un objeto de recurso compartido de red.

Recursos compartidos


Eve

nto

s cr

ític

os

a m

on

ito

riza

r

56

Wevtutil permite recuperar información acerca de los registros de eventos. También puede se puede utilizar estepara instalar y desinstalar los manifiestos de eventos, ejecutar consultas, y exportar, archivar y borrar registros.

• Mostar los nombre de todos los registros

• wevtutil el

• Mostrar la información de configuración del registro especificado, esto incluye si el registro está habilitadoo no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena elregistro.

• wevtutil gl system /f:text

• wevtutil gl application /f:xml

• Modificar el tamaño máximo del eventlog

• wevtutil.exe sl <nombre del log> /ms:<tamaño>

• wevtutil.exe sl System /ms:2097152


https://docs.microsoft.com/es-es/windows-server/administration/windows-commands/wevtutil

57

• Muestra los publicadores de eventos en el equipo local.

• wevtutil ep

• Muestra la información de configuración para el publicador de eventos especificado.

• wevtutil gp Microsoft-Windows-Audit /ge:true /gm:true

• Mostrar el estado del registro de la aplicación

• wevtutil gli Application

• Exportar eventos del registro del sistema a c:\log\system2510.evtx

• wevtutil epl System C:\log\system2510.evtx

• Borrar todos los eventos del registro de aplicaciones después de guardarlos en C:\log\app2510.evtx

• wevtutil cl Application /bu:C:\log\app2510.evtx


Sysmon

59

¿Qué es Sysmon?

System Monitor, (Sysmon), es un servicio del sistema de Windows y un controlador de dispositivo que,permite supervisar y registrar la actividad del sistema en el registro de eventos de Windows. Proporcionainformación detallada sobre:

• Creación de procesos

• Conexiones de red

• Cambios en el tiempo de creación de los ficheros

Requisitos:

• Cliente: A partir de Windows 7

• Servidor: A partir de Windows Server 2008 R2

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

60

Capacidades de Sysmon

Sysmon dispone de la siguientes capacidades

• Registra la creación de procesos mostrando la línea de comando completa para los procesos actualesy principales.

• Registra el hash de los ficheros de los procesos utilizando SHA1 (predeterminado), MD5, SHA256 oIMPHASH.

• Se pueden usar múltiples hashes al mismo tiempo.

• Añade un GUID de proceso en el proceso de creación de los eventos para permitir la correlaciónincluso cuando Windows reutiliza los ID

• Añade un GUID de sesión para cada evento con el objetivo de permitir la correlación de eventos enel mismo inicio de sesión.

• Registra la carga de controladores o archivos DLL con sus firmas y hashes.

• Registra la apertura de accesos en bruto de lectura de discos y volúmenes

https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html

61

Capacidades de Sysmon

• Opcionalmente, permite registrar las conexiones de red, incluido el proceso de origen de cadaconexión, las direcciones IP, los puertos, los nombres de host y puerto.

• Detecta cambios en el tiempo de creación de archivos para comprender cuándo se creó realmenteun archivo. La modificación del timestamp en la creación de archivos es una técnica muy utilizadapor el malware para no ser detectados.

• Recargar de forma automática la configuración si es necesario

• Permite reglas de filtrado para incluir o excluir eventos de forma dinámica

• Capacidad de generar eventos desde el inicio en el proceso de arranque para capturar la actividadrealizada incluso por el malware avanzado incluso en modo kernel.

62

Eventos de SysmonID Tag

1 ProcessCreate Process Create

2 FileCreateTime File creation time

3 NetworkConnect Network connection detected

4 n/a Sysmon service state change (cannot be filtered)

5 ProcessTerminate Process terminated

6 DriverLoad Driver Loaded

7 ImageLoad Image loaded

8 CreateRemoteThread CreateRemoteThread detected

9 RawAccessRead RawAccessRead detected

10 ProcessAccess Process accessed

11 FileCreate File created

12 RegistryEvent Registry object added or deleted

13 RegistryEvent Registry value set

14 RegistryEvent Registry object renamed

15 FileCreateStreamHash File stream created

16 n/a Sysmon configuration change (cannot be filtered)

17 PipeEvent Named pipe created

18 PipeEvent Named pipe connected

19 WmiEvent WMI filter

20 WmiEvent WMI consumer

21 WmiEvent WMI consumer filter

22 DNSQuery DNS query

63

Instalación de Sysmon

Instalación de sysmon

• Instalación por defecto (Hash SHA1 and no monitoriza la red).

• sysmon -accepteula -i

• Instalación utiliznado como hash md5 y sha256 con monitorización de red.

• sysmon -accepteula -i -h md5,sha256 –n

• Instalación mediante un fichero de configuración.

• sysmon -accepteula -i c:\windows\config.xml

• Desinstalación.

• sysmon –u

• Mostar la configuración actual.

• sysmon -c

64

• Cambiar la configuración actual para usar todo los hashes, sin montorización de red y monitorizando las DLLs del proceso LSASS.

• sysmon -c -h * -l lsass.exe

• Cambiar la configuración de sysmon mediante un fichero de configuración.

• sysmon -c c:\windows\config.xml

• Cambiar a la configuración por defecto.

• sysmon -c --

• Mostrar el esquema de configuración.

• sysmon -s

Ficheros de configuración:

• https://github.com/olafhartong/sysmon-modular

Instalación de Sysmon

https://github.com/olafhartong/sysmon-modular

A la caza!

Hands-on

Hipótesis

67

Nuestra primera hipótesis

Uno de los primeros objetivos a conseguir por parte de un atacante es la escalada deprivilegios dentro de la organización. Un usuario administrador local permite accedera determinadas funciones de Windows útiles para continuar con el proceso deexplotación, funciones que no son accesibles en caso de disponer de un usuariolimitado.

Actualmente no contamos con ningún mecanismo de monitorización de cuentaslocales en los equipos de nuestra compañía.

¿Podemos detectar cualquier intento de creación de usuarios administradores en un equipo local?

68

Segunda hipótesis

Las herramientas antivirus sirven como primer línea de defensa, pero no soninfalibles. Un atacante dedicado puede modificar con éxito prácticamente cualquierejecutable conocido, o generar muestras propias, con el objetivo de evadir nuestrosmotores antivirus.

Analizando nuestras fuentes de inteligencia, llegamos a la conclusión de que una delas principales técnicas utilizadas por los atacantes para comprometer unaorganización es el Credential Dumping (T1003). Una de las formas más habituales deextraer credenciales del sistema es mediante la inyección en el proceso lsass.exe deWindows.

Existen numerosas técnicas que permiten extraer información del proceso lsass.exe, ypuede que no hayan sido detectadas anteriormente en nuestra organización:mimikatz, procdump, task manager, process explorer.

¿Las detectamos correctamente?

69

Tercera hipótesis

En numerosos casos la principal vía de entrada para los atacantes suele ser laingeniería social. En multitud de escenarios, se ha abusado de las macros quelegítimamente permite ejecutar la suite de Microsoft Office.

A través de macros maliciosas es posible hacer que Office ejecute comandos desistema, como por ejemplo powershell, que permiten infectar un equipo de usuario.

¿Se ha producido un ataque de este tipo en nuestra compañía?

HELK

71

HELK

HELK es una de las primeras plataformas de código abierto con capacidades analíticas avanzadas, como lenguajeSQL, gráficos, transmisión estructurada e incluso aprendizaje automático a través de cuadernos Jupyter y ApacheSpark sobre la pila ELK. Este proyecto fue desarrollado principalmente para investigación, pero debido a su diseñoflexible y componentes centrales, puede implementarse en entornos más grandes con las configuracionescorrectas y la infraestructura escalable

https://github.com/Cyb3rWard0g/HELK

72

HELK

• Kafka: Plataforma unificada, de alto rendimiento y de baja latencia para la manipulación en tiempo realde fuentes de datos.

• Elasticsearch: Motor de análisis y búsqueda de texto de código abierto altamente escalable.

• Logstash: Motor de recopilación de datos con capacidades de canalización en tiempo real.

• Kibana: Plataforma de análisis y visualización de código abierto diseñada para trabajar con Elasticsearch.

• ES-Hadoop: interfaz para hacer búsquedas en ElasticSearch

• Spark: es un framework de computación en clúster open-source.

• GraphFrames: Un paquete para Apache Spark que proporciona gráficos basados en DataFrame

73

HELK

• Jupyter Notebook: una aplicación web de código abierto que le permite crear y compartir documentosque contienen código en vivo, ecuaciones, visualizaciones y texto narrativo.

• KSQL: Confluent KSQL es el motor de código abierto de transmisión de SQL que permite elprocesamiento de datos en tiempo real contra Apache Kafka®. Proporciona una interfaz SQL interactivafácil de usar pero potente para el procesamiento de flujo en Kafka, sin la necesidad de escribir código enun lenguaje de programación como Java o Python.

• Elastalert Framework de gestión de alertas sobre anomalías, picos u otros patrones de interés de losdatos en Elasticsearch.

• Sigma: Sigma es un formato de firma genérico y abierto que le permite describir eventos de registrorelevantes de manera directa.

Practicas con HELK

If there's somethin' strange in your network-hood

Who you gonna call?@ZerolynxOficial

@Leon_Krav@djimenzco@fluproject

75

Documents

Threat Hunting - Zerolynx4 Objetivos •Entender qué es el proceso del Threat Hunting •Familiarizaros con los conceptos relacionados •Fuentes de datos y herramientas útiles