ThreatHunting, automatización y consolidación de datos
Con la gran cantidad de ataques informáticos, los equipos de seguridad necesitan acceder de manera rápida a fuentes de datos que comiencen a dar pistas sobre el incidente. Si vemos hace 20 años atrás, eran muy pocas las plataformas o servicios de donde podrías recolectar información acerca de un dominio, hashes de malware, direcciones de phishing, datos de un email, identificación de botnets, etc.
En mucho de los casos, tenías que desarrollar tus propios programas para obtener datos, armarte de “honeypots” para recolectar algunos o descargar los pocos datos de servicios de terceros. Ahora, ni hablar de analizar dicha información, debías integrarla con tu equipo de desarrollo y en realidad toda una travesía para obtener finalmente las funcionalidades deseadas. Esto era un proceso lento, rudimentario y poco escalable para los equipos de seguridad. Estos datos hoy en día dentro de la jerga de seguridad informática son conocidos como IoCs (Indicator Of Compromise).
Las tecnológicas evolucionan con lo cual varias empresas comenzaron a almacenar información de brechas de seguridad, firmas de malware, urls maliciosas, entre otros; y en la actualidad los exponen a través de interfaces APIs. La gente de infosec evidencio una oportunidad para mejorar sus herramientas y plataformas mediante el consumo de dichas interfaces. La cantidad de servicios y base de datos que alojan información es muy amplia, tanto públicas como privadas (consumo de pago), por lo cual, suele estar dispersa y en varios casos volátil.
Los equipos de SOCs, fuerzas de la ley, analistas y equipos de respuesta; necesitan obtener, monitorear, mantener estos datos lo más rápido posible y corroborar de diversas fuentes. Con esa perspectiva nace la herramienta TheTHE, con una interfaz muy simple pero potente basándose en gran parte de consumir datos de APIs. A través de un IoC se ejecutan búsquedas (a través de sus plugins) he ira descubriendo y consolidando toda la información posible.
Teniendo un hash como un IoC durante un ataque a tu organización podrías llevarlo a esta herramienta y lanzar algún plugin, en este caso usamos el de DIARIO, consumimos su API REST para para determinar si contiene un malware embebido como macro incluso ver el contenido de la macro.
De hecho, podríamos lanzar otro plugin para conocer información del dominio que se encuentra en el archivo con la macro y revisar la reputación de ese dominio. Así mantener cada dato de manera simple y sintetizada en una sola plataforma, almacenar y compartirla con tu equipo; y monitorear los cambios durante el tiempo que dure el caso de investigación.
Esto es solo un corto caso de uso que podría usar un analista dentro un proceso de respuesta a incidente o caza de amenazas. La modularidad que tiene el proyecto TheTHE permite que desarrolles bajo tu necesidad ya sea tus propios scripts o consumas servicios APIs, para que los utilices de manera muy ágil.
Pasos mínimos para generar un plugin:
A continuación, muestro de manera general como podrías aportar nuevos “plugins” en 2 de pasos. Los archivos que deberías crear y desarrollar están conformados de la siguiente manera.
(1) Plugin (Backend): [the-the/thethe_server/server/plugins/]
En este directorio del proyecto puedes generar un archivo ‘nombredeplugin.py’ (ejemplo botscout.py) con toda la programación del mismo y básicamente deberás retornar como resultado un objeto de tipo JSON de Python. En el mismo directorio tienes un archivo ‘TEMPLATE.py’ como ejemplo para generar tu nuevo plugin.
(2) Plugin (FrontEnd): [the-the/thethe_frontend/src/components/templates/]
En este directorio deberás crear una carpeta con el nombre del plugin, en este caso ‘botscout’ y dentro de la misma generar un archivo index.vue donde desarrollaras la parte donde se mostrarán los datos por medio de VueJS en la web. Los datos que se muestran vienen del archivo desarrollado en el backend (paso 1).
El poder compartir información con diversos organismos y herramientas OpenSource, como theTHE en base a experiencias propias, también incentivan a la comunidad a participar activamente en este tipo de iniciativas. Esperamos que la herramienta ayude a los equipos de respuestas o analistas, agilitar sus procedimientos y que agregue valor en sus investigaciones. De la misma manera esperamos que las diversas experiencias de comunidad y sus comentarios, ayuden a enriquecer la plataforma.
La entrada ThreatHunting, automatización y consolidación de datos aparece primero en Globb Security.
Powered by WPeMatico