Mostrando entradas con la etiqueta SOC. Mostrar todas las entradas

martes, 5 de abril de 2016

Sandia Cyber Omni Tracker (SCOT). Herramienta para SOC gratuita.

Estimados amigos de Inseguros !!!

En el apartado de hoy vamos a hablar de una herramienta MUY interesante para la gestión del departamento de seguridad, o SOC (Security Operations Center). Sandia Cyber Omni Tracker.

No es la primera vez que hablamos de este tipo de herramientas en el blog. Una herramienta muy interesante la comentamos con el artículo de MISP.

Realmente sería adecuado para la fase de respuesta a incidentes.

La herramienta no detecta incidentes ni nada por el estilo. Simplemente es un repositorio centralizado de conocimiento para que el trabajo de los analistas se comparta entre grupos grandes para encontrar patrones y compartir información.

Una vez seguido el proceso de instalación, automático, tenemos la herramienta disponible para su uso.

Después de realizar las configuraciones habituales y algunas de las recomendaciones que me indican los desarrolladores, paso a la fase de trasteo.

Como se aprecia en la imagen, podemos añadir información y ficheros. Automáticamente calcula los distintos hashes e identifica en amarillo los IOC´s.

La herramienta proporciona posibilidades de conexión con un api tipo REST para introducir eventos, al igual que podemos hacerlo mediante un simple buzón de correo de entrada.

El trabajo tiene muy buena pinta pero la herramienta es un poco "poco usable" al menos en los navegadores que he probado. Quizás sea un proyecto a seguir de cerca y su evolución para el futuro.

Como siempre recomiendo leer la documentación oficial en detalle y que cada uno haga sus pruebas.

Espero que os sirva de ayuda, gracias por leerme !!!

miércoles, 23 de marzo de 2016

Tsusen. Herramienta para detectar tráfico anómalo.

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a jugar con una herramienta del señor Miroslav Stampar llamada Tsusen para monitorizar el tráfico de red de nuestro equipo expuesto a Internet y detectar patrones de comportamiento raros. El propio autor define la herramienta como:

Tsusen (津波センサー) is a standalone network sensor made for gathering information from the regular traffic coming from the outside (i.e. Internet) on a daily basis (e.g. mass-scans, service-scanners, etc.). Any disturbances should be closely watched for as those can become a good prediction base of forthcoming events. For example, exploitation of a newly found web service vulnerability (e.g. Heartbleed) should generate a visible "spike" of total number of "intruders" on affected network port.

Para comprender la capacidad de esta sencilla herramienta vamos a ponerla en marcha en un equipo y vamos a escuchar al mundo.

sudo apt-get install python-pcapy
sudo pip install python-geoip python-geoip-geolite2
cd /tmp/
git clone https://github.com/stamparm/tsusen.git
cd tsusen/
sudo python tsusen.py

En el fichero tsuse.conf podemos modificar la configuración del interface de red que queremos poner a la escucha, puertos o direcciones ip que queremos excluir del informe, y el puerto del servidor web. Serivor web? Si, la potencia de la herramienta reside en ofrecernos un conjunto de gráficas y datos ya analizados en un webserver.

Ahora es cuando realmente vemos el por qué usar esta tool. Nos facilita gráficamente el número de direcciones ip que "han tocado" a algún puerto. Nos guarda todos los datos de ip-origen-destino-puertos y sobre todo, nos guarda el campo "primera vez visto" y el "última vez visto" además de un contador. Todo ello gráficamente para nuestros reportes y análisis.

Muy útil para no sobrecargar el firewall con las reglas y el log/siem. Muy útil para sistemas aislados o honeypots. Como podemos configurar que puertos obviar, podemos quitar los sistemas en producción y dejar algún puerto menos habitual, o cualquier necesidad que se te ocurre.

Espero que os guste. Gracias por leerme !!!

jueves, 4 de febrero de 2016

Lo que tu sabes lo quiero yo. CriticalStack para Threat Intelligence.

Estimados amigos de Inseguros!!!

En el artículo de esta semana en el blog de Eset destripamos la herramienta CriticalStack para analistas de seguridad y threat intelligence en general.
http://blogs.protegerse.com/laboratorio/2016/02/04/inteligencia-colectiva-aplicada-a-la-seguridad-parte-3-criticalstack/

La idea es simple, un repositorio de unos 100 feeds o fuentes, elegimos cual nos gusta, elegimos a nuestros amiguetes, ellos nos dan un cliente y un token para consultar la API. El resto es consultar la herramienta y descargar la información de manera centralizada. Compatible con BRO.

Espero que os guste !!!

jueves, 28 de enero de 2016

DNSTWIST script en Python para encontrar dominios on-line y sus variaciones.

Estimados amigos de Inseguros!!!

Cuantas veces has entrado a Google, es y has tecleado googlee, o gogle, o cualquiera de las combinaciones posibles según la disposición del teclado?

La herramienta DNSTwist, un pequeño script en python nos realiza la tarea de encontrar los posibles dominios y realiza la petición al whois para informarnos del servicio registrador y sobre todo la fecha. Muy útil como medida de protección para nuestros sistemas, clientes, y también muy útil en un análisis forense en el que se haya comprometido la seguridad mediante un phising o similar.

Os invito a leer la entrada ampliada en el blog de ESET en la que cuento todo el proceso y el uso de la herramienta.
http://blogs.protegerse.com/laboratorio/2016/01/28/ataque-dirigido-a-tu-empresa-para-robarte-tu-dinero-spear-phising-contra-tu-dominio-principal/

Espero que os guste, gracias por leerme !!!

martes, 19 de enero de 2016

Cosas que ves, solo cuando miras !!! Eventos de seguridad.

Estimados amigos de Inseguros !!!

En el artículo de esta semana en el blog de Eset España, hablo de eventos de seguridad de principios del año 2016, las ip, direcciones, ataques clásicos, etc.

Espero que deis una vuelta y os guste.

Gracias por leerme.

http://blogs.protegerse.com/laboratorio/2016/01/19/cosas-que-ves-solo-cuando-miras/

lunes, 28 de diciembre de 2015

Inteligencia colectiva? Threat Intelligence? Atento a la serie

Estimados amigos de inseguros !!!

Si te interesa la inteligencia colectiva, el Threat Intelligence, los IOC´s y sus distintos estándares, etc. Estate atento a esta serie de artículos que estoy escribiendo en el blog de Eset sobre esta materia.

Durante la seria analizaremos las fuentes de información abiertas y gratuitas que hay para aprovecharnos del conocimiento de actividades maliciosas en la red, para nuestra defensa.

Veremos software tanto para compartir, como para usar esta información, añadiendo esta a nuestros IDS, Firewalls, y demás.

Espero que os guste la seria y perdonar por la referencia cruzada con el blog de Eset !!!

http://blogs.protegerse.com/laboratorio/2015/12/28/inteligencia-colectiva-aplicada-a-la-seguridad/

Un saludo amigos !!!

martes, 22 de diciembre de 2015

Rita la bailaora? no RITA: Real Intelligence Threat Analysis.

Estimados amigos de Inseguros!!!

Si vives o frecuentas mi país, España, puede que hayas oído un dicho popular muy extendido " esto lo va a hacer RITA". ¿Quien es Rita? A raíz de documentarme para este post ya se porque se dice, y tu quieres saberlo, solo tienes que leer aquí :-)

En esta ocasión no vamos a hablar más de refranes populares ni de estrellas del flamenco.

Vamos a analizar la herramienta RITA, Real Intelligence Threat Analysis publicada por el señor Jhon Strand. Partimos de la base de la lectura oficial del lanzamiento de la herramienta para hacernos una idea, eso si, en el idioma del Fish&Chips, y no de Rita la bailaora xD.

¿Qué es RITA? Para ponernos en situación os invito a leer la información que apareció en este blog sobre Threat intelligence, Collective Intelligence Framework, PassiveDns, Malcom y el excelente artículo del profesor Lorenzo en Security By Default sobre MalTrail.

El framework de Rita pretende ser un punto de trabajo para los equipos de detección de amenazas para ayudarnos a encontrar IOCs, Indicators of Crompomise en caso de ataques o infecciones. Detectar patrones de conexión hacia C&C puede ser más efectivo que crear una regla de IDS, la cual puede ser evadida mediante sutiles cambios...y lo sabes !!! xD

Una de las cosas que me gusta es que usa ElasticSearch como motor de almacenamiento, y Kibanna para su representación. ¿Se considera esto Big Data? :-)

Para destripar y comprender el funcionamiento y las posibilidades, prefiero predicar con el ejemplo. O mejor, vemos un vídeo?

Podemos descargarlo desde este dropbox. Para mi ha sido un suplicio por mi falta de conexión a Internet, y los continuos cortes en la descarga de Dropbox, que no me permite retomarlos ni tan siquiera usando jdownloader. Cada uno que lo baje como pueda.

Lo primero que puedes hacer es desplegar el OVA en Virtualbox, pero yo prefiero realizarlo en mi VMware ESXi repleto de Gigas de RAM. Para ello hay que realizar un pequeño procedimiento para cambiar el ova a ovf compatible para VMware. Si no es tu caso, omite esta parte del artículo.

Lo primero que hacemos para pasar de OVA VirtualBox a OVF compatible con VMware es bajarnos dos herramientas, la OVF tool de Vmware y Microsoft Checksum Verify.

Con el fichero OVA descargado pasamos la tool OVF para extraer el fichero OVF.

Una vez tenemos el fichero OVF, lo desplegamos en nuestro ESXi y nos da los errores típicos de compatibilidad. Pero no significaba OPEN VIRTUALIZATION FORMAT...?

Vamos a cambiar el fichero ovf con un editor y dejamos vmx-07 que en mi caso ha funcionado a la maravilla. Una vez modificado, podemos pasar la herramienta de checksum de Ms para sacarle el SHA1, y modificarlo en el archivo .mf. Una vez realizado este procedimiento, podemos desplegar el fichero OVF a nuestro ESXi sin ningún problema.

Bien, con y esto y un poco de paciencia tenemos desplegada la máquina virtual.

Podemos hacer login con el usuario ht la password !templinpw! . Ejecutamos el servidor web con /home/ht/Documents/RITA/run.py y tenemos la web.

Al introducir el nombre del "cliente" debemos usar caracteres en minúscula, ya que este campo será el índice en Elasticsearch y podemos tener problemas con las mayúsculas.

El primer módulo que podemos activar es Beaconing. Podemos establecer un periodo que alerte de conexiones hacia internet periódicas, típicas de infecciones conectando hacia un C&C.

Para el módulo Blackisted podemos averiguar conexiones de red que se establecen hacia direcciones ip catalogadas como maliciosas.

Scanning detecta sistemas que se intentan conectar a otros sistemas en diferentes puertos, el típico port scan.

Duration detecta conexiones de red persistentes en el tiempo.

Long_urls detecta conexiones hacia direcciones largas.

Concurrent detecta conexiones concurrentes hacia sistemas de login.

Una de las cosas que más me gusta es que podemos explorar los datos, que por cierto el desarrollador nos deja de prueba muy amablemente, en nuestro frontend Kibanna, por lo que hace muy sencillo la creación de un Dashboard personalizado con los indicadores que nos plazcan. Por defectos os muestro el índice.

Una de las cuestiones mas interesantes es que la manera de cargar datos en el framework, generalmente los que provienen de logs es mediante CSV.

Una cuestión importante, como vamos a pasar nuestros datos PCAP en formato CSV? te vale esta herramienta en perl? http://afterglow.sourceforge.net/

Espero que os sirva de ayuda este framework. Yo tengo mis dudas, le veo algunos flecos, sobre todo, falta de información. En la máquina virtual he podido ver la guía de instalación del sistema básico, pero me falta mucha información, por ejemplo, de donde baja las fuentes de inteligencia para catalogar que una dirección es Black o no...

Espero que sigan con el desarrollo de esta herramienta que me parece muy útil.

Un saludo, gracias por leerme !!!

viernes, 23 de octubre de 2015

Respuesta a incidentes, hacemos un informe?

Estimados amigos de Inseguros !!!

En el mundo del cibercrimen, ciberdelitos, ciberdefensa, cibercafe, etc :-) nos encontramos con la necesidad, al igual que en todos los aspectos de la gestión TIC, de realizar informes.
De nada sirve un pentesting a una empresa, si no podemos comunicar nuestros hallazgos de la manera que se nos solicita. Imaginas al gerente de una empresa leyendo CVE y técnicas de exploiting? Imaginas al responsable de infraestructura leyendo gráficas e informes de perdidas financieras? Cada uno necesita su parte de la información.

En el mundo de la cibervigilancia, en el SOC (Security Operations Center) o del análisis de incidentes tenemos que documentar todos los hallazgos de nuestro trabajo de la mejor manera para poder tener esa información accesible internamente, como mejora, o de cara a nuestros clientes.

El señor Lenny Zeltser nos brinda en formato "libre" su plantilla para el informe muy muy completa. Sin duda me gusta mucho y tenemos en su blog la explicación de como está planteado el informe.

Espero que os sirva de ayuda. Lo publico en el blog para que no quede como un enlace más en Twitter que luego nadie ve :-).

Cyber Threat Intelligence and Incident Response Report

Incident Name
Report Author
Report Date
Revision Dates and Notes

Executive Summary

Describe in up to three paragraphs your key observations and takeaways related to the intrusion. Explain the adversary’s tactics, techniques and procedures. Outline the most significant courses of action taken to defend against the adversary when responding to the intrusion. The remainder of the report should substantiate this summary.

The Adversary’s Actions and Tactics

Summarize in one paragraph the adversary’s actions and tactics, as well as the effects that the intrusion had on the victims. This section of the report overlays the intrusion kill chain’s phases over the diamond model vertices to capture the core characteristics of the malicious activities.

Description of the Adversary

Describe observations and indicators that may be related to the perpetrators of the intrusion. If possible, highlight the attributes of the adversary operator and the adversary’s potential customer. Outline potential motivations and identifying elements. Categorize your insights according to the corresponding phase of the intrusion kill chain, as structured in the following table.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

The Adversary’s Capabilities

Describe the adversary’s capabilities in terms of tactics, techniques and procedures (TTPs). Address the tools and tradecraft employed by the intrusion perpetrators, such as exploits backdoors, staging methods and situational awareness. Categorize your insights according to the corresponding phase of the intrusion kill chain, as structured in the following table.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

The Adversary’s Infrastructure

Describe the infrastructure, such as IP addresses, domain names, program names, etc. used by the adversary. Categorize your insights according to the corresponding phase of the intrusion kill chain, as structured in the following table.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

The Victims and Affected Assets

Describe the victims affected by the adversary’s actions. Address applicable victim identifiers such as people and organization names. Also outline the affected victim assets, such as networks, systems and applications. Categorize your insights according to the corresponding phase of the intrusion kill chain, as structured in the following table.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Course of Action During Incident Response

Summarize in one paragraph the steps you’ve taken when responding to the various phases of the intrusion chain. The section below should describe your actions in greater detail.

Discover

Describe in the following table the steps you’ve taken to determine what the adversary has done so far as part of the intrusion, as determined based on the analysis of logs, network packer captures, forensic data and other sources.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Detect

Describe in the following table the measures you’ve put in place to identify the adversary’s future activities related to the applicable intrusion phase. Explain how you defined and deployed indicators and signatures, additional sensors or instrumentation, security event data monitors, etc.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Deny

Describe in the following table the measures you’ve implemented to block the adversary from taking the malicious actions, staying within the context of the intrusion phase described in this report. For instance, did you block specific IPs at the perimeter firewall, patch targeted vulnerabilities, block emails that matched specific patterns, etc.?

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Disrupt

Describe in the following table the measures you’ve established to interfere with the adversary’s attack in progress to cause it to fail. For instance, did you use an intrusion prevention system or firewall to terminate the adversary’s active network connections, quarantined suspicious files, distributed updated antivirus signatures, etc.?

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Degrade

Describe in the following table the actions you’ve taken to slow down or otherwise degrade the attack in progress. One example of such measures might be to configure the network equipment to rate-limit the connections attributed to the adversary.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Deceive

Describe in the following table the steps you’ve taken to misinform the adversary in the context of the applicable intrusion phase. Deception might involve planting fake assets that might interest the intruder, redirecting the adversary’s network connections, fooling malware into believing the targeted system is already infected, employing honey tokens, etc.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Destroy

Describe in the following table the offensive actions you’ve taken against the adversary to reduce their ability to carry out the intrusion. Such steps are generally unavailable to private individuals or firms outside of specific law enforcement or military organizations, although coordination and intelligence sharing with these organizations is within scope of this section.

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Intrusion Campaign Analysis

If applicable, summarize in one paragraph the relationship between the intrusion discussed earlier in the report and other related intrusions that, when taken together, form a campaign. Mention the indicators and behaviors shared across the intrusions within the campaign. Outline the commercial, geopolitical or other factors that might have motivated the adversary’s activities.

Other Intrusions in the Campaign

Describe other incidents or intrusions that share commonalities with the intrusion discussed earlier in the report. Explain whether the shared attributes indicate a low/medium/high likelihood that the intrusions form a larger campaign. Provide internal and external intrusion names or other relevant identifiers. Include references to related internal and external documents. Clarify when the intrusions occurred.

Shared Intrusion Attributes

Specify the key indicators and behavioral characteristics that are consistent across intrusions within the campaign. Categorize the attributes according to the kill chain phase when they were exhibited and their relevance to the adversary description, attack infrastructure, capabilities (tactics, techniques and procedures) and the affected victims. Wherever possible, account for Adversary, Infrastructure, Capabilities and Victim in each applicable phase of the kill chain.

	Adversary	Infrastructure	Capabilities	Victim
Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Command and Control
Actions on Objectives

Campaign Motivations

Outline the likely motivation for the adversary’s activities across the intrusion campaign, including the relevant commercial, geopolitical or other factors. If practical, offer substantiated theories regarding the attribution of the campaign to specific individuals, groups or nation states.

Third-Party References

Provide references to third-party data about the intrusion discussed in this report, the campaign that it is a part of or the associated adversaries.

This report is based on the template created by Lenny Zeltser. The template is distributed according to the Creative Commons Attribution license (CC BY 4.0), which basically allows you to use this material in any way, as long as you credit the author for the original creation. The contents build upon the concepts and terminology defined by Eric M. Hutchins, Michael J. Cloppert and Rohan M. Amin’s paper Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains and Sergio Caltagirone, Andrew Pendergast, and Christopher Betz’s paper The Diamond Model of Intrusion Analysis. It also incorporates the insights from SANS Institute’s course FOR578: Cyber Threat Forensics as taught by Michael J. Cloppert and Robert M. Lee.