Para defender su organización contra las amenazas cibernéticas, necesita una imagen clara del panorama de amenazas actual. Esto significa ampliar constantemente su conocimiento sobre amenazas nuevas y actuales.
Hay muchas técnicas que los analistas pueden utilizar para recopilar información crucial sobre amenazas cibernéticas. Consideremos cinco que pueden mejorar enormemente sus investigaciones de amenazas.
Pivotar en las direcciones IP de С2 para identificar malware
Las direcciones IP utilizadas por el malware para comunicarse con sus servidores de comando y control (C2) son indicadores valiosos. Pueden ayudar no solo a actualizar sus defensas, sino también a identificar la infraestructura y las herramientas relacionadas que pertenecen a los actores de amenazas.
Esto se hace utilizando el método pivotante, que permite a los analistas encontrar contexto adicional sobre la amenaza en cuestión con un indicador existente.
Para realizar la pivotación, los analistas utilizan varias fuentes, incluidas bases de datos de inteligencia sobre amenazas que almacenan grandes volúmenes de datos nuevos sobre amenazas y ofrecen capacidades de búsqueda.
Una herramienta útil es Búsqueda de inteligencia de amenazas de CUALQUIER EJECUCIÓN. Este servicio le permite buscar en su base de datos utilizando más de 40 parámetros de consulta diferentes, tales como:
- Indicadores de red (direcciones IP, nombres de dominio)
- Rutas de registro y sistema de archivos
- Nombres de amenazas, nombres de archivos y hashes específicos
CUALQUIER EJECUCIÓN proporciona datos asociados con los indicadores o artefactos en su consulta, junto con las sesiones de espacio aislado donde se encontraron los datos. Esto ayuda a los analistas a identificar un determinado indicador o su combinación para un ataque específico, descubrir su contexto y recopilar inteligencia sobre amenazas esencial.
Para demostrar cómo funciona, usemos la siguiente dirección IP como parte de nuestra consulta: 162[.]254[.]34[.]31. En su caso, el indicador inicial puede provenir de una alerta generada por un sistema SIEM, una fuente de inteligencia sobre amenazas o una investigación.
 |
| La pestaña de descripción general muestra los resultados clave de nuestra búsqueda. |
Enviar la dirección IP a TI Lookup nos permite ver instantáneamente que su IP se ha vinculado a actividad maliciosa. También nos permite saber que la amenaza específica utilizada con esta IP es AgentTesla.
El servicio muestra los dominios relacionados con el indicador, así como los puertos utilizados por el malware al conectarse a esta dirección.
 |
| La regla IDS de Suricata vinculada a la IP consultada indica filtración de datos a través de SMTP |
Otra información disponible para nosotros incluye archivos, objetos de sincronización (mutex), ASN y reglas de Suricata activadas que se descubrieron en sesiones de espacio aislado que involucraban la dirección IP en cuestión.
 |
| La sesión de Sandbox aparece como uno de los resultados en TI Lookup |
También podemos navegar a una de las sesiones de sandbox donde se detectó la IP para ver el ataque completo y recopilar información aún más relevante, así como volver a ejecutar el análisis de la muestra para estudiarla en tiempo real.
Pruebe TI Lookup para ver cómo puede mejorar sus investigaciones de amenazas. Solicite una prueba gratuita de 14 días.
Uso de URL para exponer la infraestructura de los actores de amenazas
Examinar los dominios y subdominios puede proporcionar información valiosa sobre las URL utilizadas para alojar malware. Otro caso de uso común es la identificación de sitios web utilizados en ataques de phishing. Los sitios web de phishing a menudo imitan sitios legítimos para engañar a los usuarios para que ingresen información confidencial. Al analizar estos dominios, los analistas pueden descubrir patrones y descubrir una infraestructura más amplia empleada por los atacantes.
 |
| URL que coinciden con nuestra consulta de búsqueda para la infraestructura de alojamiento de carga útil de Lumma |
Por ejemplo, se sabe que el malware Lumma utiliza URL que terminan en “.shop” para almacenar cargas útiles maliciosas. Por enviar este indicador a TI Lookup Junto con el nombre de la amenaza, podemos ampliar los dominios y URL más recientes utilizados en los ataques del malware.
Identificación de amenazas por TTP MITRE específicos
El marco MITRE ATT&CK es una base de conocimiento integral de tácticas, técnicas y procedimientos (TTP) del adversario. El uso de TTP específicos como parte de sus investigaciones puede ayudarlo a identificar amenazas emergentes. Desarrollar proactivamente su conocimiento sobre las amenazas actuales contribuye a su preparación contra posibles ataques en el futuro.
 |
| TTP más populares durante los 60 días mostrados por el portal de inteligencia de amenazas de ANY.RUN |
ANY.RUN proporciona una clasificación en vivo de los TTP más populares detectados en miles de muestras de malware y phishing analizadas en el entorno limitado de ANY.RUN.
 |
| Sesiones de espacio aislado que coinciden con una consulta que incluye un TTP MITRE junto con una regla de detección |
Podemos elegir cualquiera de los TTP y enviarlo para su búsqueda en TI Lookup para encontrar sesiones de espacio aislado donde se encontraron sus instancias. Como se muestra arriba, combinando T1552.001 (Credenciales en Archivos) con la regla “Roba credenciales de Navegadores Web” nos permite identificar análisis de amenazas involucradas en estas actividades.
Recolectando muestras con reglas YARA
YARA es una herramienta utilizada para crear descripciones de familias de malware basadas en patrones textuales o binarios. Una regla YARA podría buscar cadenas o secuencias de bytes específicas que sean características de una familia de malware en particular. Esta técnica es muy eficaz para automatizar la detección de malware conocido y para identificar rápidamente nuevas variantes que comparten características similares.
Servicios como TI Lookup proporcionan búsqueda YARA integrada que le permite cargar, editar, almacenar y utilizar sus reglas personalizadas para encontrar muestras relevantes.
 |
| La búsqueda utilizando una regla XenoRAT YARA reveló más de 170 archivos coincidentes |
Podemos utilizar una regla YARA para XenoRAT, una popular familia de malware utilizada para control remoto y robo de datos, para descubrir las últimas muestras de esta amenaza. Además de los archivos que coinciden con el contenido de la regla, el servicio también proporciona sesiones de espacio aislado para explorar estos archivos en un contexto más amplio.
Descubriendo malware con artefactos de línea de comando y nombres de procesos
Identificar malware a través de artefactos de línea de comando y nombres de procesos es una técnica efectiva pero poco común, ya que la mayoría de las fuentes de inteligencia sobre amenazas no brindan tales capacidades.
La base de datos de inteligencia de amenazas de ANY.RUN se destaca por obtener datos de sesiones de sandbox en vivo, ofreciendo acceso a datos reales de línea de comando, procesos, modificaciones de registro y otros componentes y eventos registrados durante la ejecución de malware en el sandbox.
 |
| Resultados de búsqueda de TI para la línea de comando y búsqueda de procesos relacionados con Strela Stelaer |
Como ejemplo, podemos utilizar un cadena de línea de comando utilizada por el ladrón Strela junto con el proceso net.exe para acceder a una carpeta en su servidor remoto llamada “davwwwroot”.
TI Lookup proporciona numerosos ejemplos, archivos y eventos encontrados en sesiones de espacio aislado que coinciden con nuestra consulta. Podemos utilizar la información para extraer más conocimientos sobre la amenaza que enfrentamos.
Integre la búsqueda de inteligencia sobre amenazas desde ANY.RUN
Para acelerar y mejorar la calidad de sus esfuerzos de investigación de amenazas, puede utilizar TI Lookup.
La inteligencia sobre amenazas de ANY.RUN proviene de muestras cargadas en el sandbox para que las analicen más de 500.000 investigadores de todo el mundo. Puede buscar en esta enorme base de datos utilizando más de 40 parámetros de búsqueda.
Para obtener más información sobre cómo mejorar sus investigaciones de amenazas con TI Lookup, Sintonice el seminario web en vivo de ANY.RUN el 23 de octubre a las 14:00 GMT (UTC +0).