Indicatore di compromissione

Cosa sono gli indicatori di compromissione (IOC)?

Gli indicatori di compromissione sono essenzialmente le tracce lasciate dagli aggressori e possono includere un'ampia gamma di dati, quali:

1. URL o nomi di dominio: indicativi di connessioni a phishing o server di comando e controllo.
2. Indirizzi IP: degni di nota per segnalare comunicazioni con fonti note come dannose.
3. Nomi dei file: indicano alterazioni non autorizzate, potenzialmente da parte di un aggressore.
4. Hash dei file: unici per specifici malware software non autorizzati.

Vectra AI identificare e analizzare questi IoC, consentendo ai team SOC di rispondere rapidamente alle minacce, mitigando i potenziali danni e rafforzando la sicurezza dell'organizzazione.

Come individuare gli IOC (Indicatori di compromissione)

È importante tenere le orecchie aperte e assicurarsi di essere a conoscenza di eventuali nuovi compromessi che vengono annunciati. Ma è altrettanto importante essere in grado di agire sui nuovi indicatori di compromissione quando se ne viene a conoscenza. In questa sezione descriveremo gli IOC comuni, cosa possono indicare, perché dovresti prestare attenzione e come puoi cercare questi IOC nei metadati della tua rete.

IOC di dominio

Qualsiasi attore esterno deve essere in grado di gestire le violazioni dall'esterno della rete e i domini sono uno strumento fondamentale per farlo. Come abbiamo visto di recente nell'exploit SUNBURST SolarWinds, Command & Control sono state eseguite attraverso domini del tipo appsync-api. eu-west-1[.]avsvmcloud[.]com. È anche uno strumento comune nei phishing utilizzare nomi di dominio che imitano siti popolari al fine di evitare sospetti nel loro obiettivo. Ad esempio, se viene effettuato un phishing per rubare le credenziali dell'account Outlook di qualcuno, potrebbe essere utilizzato un dominio come outlook.com.enteryourpassword.tk per evitare sospetti.

Gli indicatori di compromissione dei domini (IOC) sono un forte segnale di compromissione, poiché questi domini sono stati registrati da un malintenzionato e il traffico è destinato a questo scopo specifico. Se si rileva una comunicazione con un dominio IOC, è necessario avviare immediatamente un'indagine.

Domini noti come dannosi

È possibile convertire facilmente un elenco di domini noti come dannosi provenienti da qualsiasi fonte in una Recall . Abbiamo creato un file Excel che consente di eseguire questa operazione, che è possibile richiedere a un tecnico della sicurezza, e che contiene un elenco simile al seguente:

• Baddomain1[.]com
• Baddomain2[.]com

Per prima cosa converti questa query in una query Lucene: Resp_domain:(baddomain1.com OR baddomain2.com)

Quindi esegui questa query sul tuo Stream di metadati iSession.

Domini sospettosamente familiari

1. Crea un elenco dei domini comuni a cui accedono gli utenti della tua rete. Ad esempio: Facebook, Gmail, Outlook, la rete intranet della tua azienda.  
2. Cerca questi elementi nella tua attività Vectra Recall . Ad esempio: Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. Salva questa ricerca
4. Crea una nuova visualizzazione "Tabella dati" con questa ricerca come fonte e dividi le righe per "Termine" e aggrega per "resp_domain". N.B. È anche possibile dividere le righe per "Termini significativi", che mostreranno termini interessanti e insoliti, per ridurre il rumore.
5. Verrà visualizzato un elenco dei siti più visitati che corrispondono alla tua ricerca. I domini legittimi dovrebbero apparire per primi. Passa con il mouse sui risultati legittimi e clicca per escluderli.
6. Salva questa visualizzazione

Qualsiasi elemento rimasto in questa tabella di dati richiede ulteriori indagini e, se innocuo, dovrebbe essere escluso. All'inizio, potresti riscontrare molte variazioni interne al nome di dominio della tua azienda. Ad esempio, in Vectra AI un numero enorme di domini Vectra AI come dev.vectrai.ai, risorse HR in hr.vectra.ai ecc. Dovrai selezionare efficacemente questi falsi positivi per ottenere dati validi e utilizzabili.

Dopo alcuni giorni di verifica manuale di questa visualizzazione, se sei soddisfatto dei risultati ottenuti, puoi trasformare questa ricerca in un modello personalizzato salvando la ricerca sottostante e quindi passando alla sezione "Gestisci" dell'interfaccia utente di Detect. Nella scheda "Modelli personalizzati", individua la nuova ricerca salvata e attivala nella finestra di modifica.

Indirizzi IP IOC

È possibile convertire facilmente un elenco di indirizzi IP noti come dannosi provenienti da qualsiasi fonte in una Recall . Abbiamo creato un file Excel che consente di eseguire questa operazione, che è possibile richiedere a qualsiasi tecnico della sicurezza, ma dato un elenco come questo:

• 192.0.2.1  
• 192.0.2.2

Per prima cosa converti questa query in una query Lucene: Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

Quindi esegui questa query sul tuo Stream di metadati iSession.

Porte IOC

Nuovo utilizzo del porto

La maggior parte dei software utilizza una serie standard di porte esterne per comunicare. Quando vengono rilevate nuove porte sulla rete, ciò può indicare l'installazione di un nuovo software nell'ambiente o, in alcuni casi, la comunicazione da un host compromesso. Vectra AI rilevamenti a livello informativo che segnalano quando vengono osservate nuove connessioni esterne nell'ambiente.

È possibile aggregare questi eventi utilizzando lo stream per monitorare se nella rete viene utilizzato un nuovo software o se vengono configurati canali C2 potenzialmente dannosi. Questi eventi sono causati principalmente da attività innocue degli utenti, ma se la vostra organizzazione ha una politica di limitazione delle applicazioni autorizzate, individuare porte nuove provenienti da sistemi esterni al vostro team di amministratori IT potrebbe essere un segno di attività dannosa o, come minimo, di violazione della politica.

Picchi nell'utilizzo di porte non comuni

I picchi di attività di rete che coinvolgono porte non comuni possono essere significativi e richiedono ulteriori indagini, poiché tali porte potrebbero essere utilizzate da malware comunicare. Un aumento improvviso dell'attività richiede ulteriori indagini.

Il modo migliore per esaminare questa attività è con una visualizzazione delle serie temporali. Ne abbiamo già creata una per te in Vectra Recall "Indicatori di ricerca: picchi nell'utilizzo di porte non comuni - dati" ? Asse Y per contare.

Di seguito è riportato un esempio di attività. Le porte più comunemente utilizzate sono state escluse ed è possibile notare due porte chiaramente in uso che presentano picchi. La porta 3283 è utilizzata per iChat, che è innocua e quindi può essere esclusa, mentre la porta 40063 è nuova e potrebbe richiedere ulteriori indagini. È inoltre opportuno concentrarsi sui punti isolati, che indicano picchi di traffico non riscontrati in nessun altro momento durante il periodo di ricerca.

I passaggi sopra indicati erano:

• Crea un istogramma cronologico con 24 ore di dati iSession, con il numero di connessioni sull'asse y.
• Dividere i dati in serie separate per ciascuna porta di risposta (id.resp_p)
• Filtra le porte molto comuni, ad esempio 80/443 ecc.
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

È consigliabile duplicare questa visualizzazione e aggiornare la query di ricerca con le porte che si ritengono sicure all'interno della propria organizzazione. (N.B. Se si tenta di apportare modifiche alla Recall predefinita Recall , le modifiche verranno sovrascritte).

Allo stesso modo, anche un picco di trasferimento dati da una porta insolita è qualcosa che vale la pena esaminare e assicurarsi che sia sicuro.

Funziona allo stesso modo del conteggio del traffico, ma è necessario impostare l'asse y in modo che mostri il totale dei dati inviati. Abbiamo creato una visualizzazione denominata "Indicatori di caccia: picchi nell'utilizzo di porte non comuni - dati" che è possibile utilizzare come punto di partenza.

Vedi anche il link alla sezione Protocolli su porte non standard.

Nomi dei file IOC

I file dannosi possono essere trasportati sulla rete tramite SMB o altri protocolli e quindi eseguiti sugli host di destinazione tramite processi remoti o ingegneria sociale. Il monitoraggio di specifiche estensioni di file dannosi noti che possono essere utilizzati da malintenzionati consente di individuare i casi in cui i file vengono trasferiti per scopi illeciti.

Il flusso di metadati dei file SMB in Vectra Recall ogni nome di file con cui si è interagito e questi dati possono essere analizzati per individuare quelli potenzialmente sospetti.

Qui descriveremo due esempi specifici, ma i risultati possono variare.

• Nomi di file sospetti
• Percorsi sospetti

Nomi di file sospetti

I nomi dei file scritti dagli utenti tendono a contenere parole inglesi reali, mentre l'esperienza dimostra che i nomi dei file possono essere indicatori deboli di compromissione.

Esempi di questi sono:

• Nomi di file molto lunghi, ad esempio TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• File senza vocali, ad esempio dwtdfh.doc

Ma ricerche come queste possono essere molto rumorose senza un contesto organizzativo.

È possibile cercare nomi di file come questi utilizzando ricerche con espressioni regolari (regex). Queste ricerche possono essere piuttosto lente, quindi consigliamo di eseguire inizialmente una ricerca di 15 minuti e poi di ampliare l'intervallo di tempo una volta ridotto il rumore.

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

Questa ricerca è un'espressione regolare, con la logica dell'espressione regolare contenuta nelle barre /

• .* = corrisponde a qualsiasi percorso
• \\ = barra rovesciata per indicare l'inizio di un nome di file
• [bcdfghjklmnpqrstvwxyz]{{4,} = 4 o più consonanti consecutive
• . = punto (che indica l'inizio dell'estensione
• .* = corrisponde a qualsiasi estensione

È inoltre possibile eseguire ricerche simili in metadata_httpsessioninfo per monitorare il traffico http non crittografato.

Utilizzando la ricerca sopra indicata, dovresti cercare di rimuovere tutti i nomi di file comuni che sai non essere dannosi. Ad esempio, se un server di aggiornamento Microsoft aggiunge file a una cartella specifica con un nome file lungo, puoi escludere tali file dalla ricerca con un filtro di esclusione. Una volta rimossi questi falsi positivi dalla rete, se compaiono, dovresti estendere l'intervallo di tempo della ricerca all'intero periodo di conservazione. Se i file coinvolti sono pochissimi e ritieni che siano rilevanti dal punto di vista della sicurezza, dovresti trasformare la tua ricerca in un modello personalizzato e avviare i rilevamenti per questi nomi di file.

Percorsi di file sospetti

Alcuni percorsi potrebbero essere sospetti sulla tua rete e richiedere un'indagine; in questo caso, è opportuno utilizzare una ricerca simile a quella descritta nell'esempio precedente relativo ai nomi di file sospetti.

È necessario raccogliere un elenco dei percorsi dei file che si ritiene siano rilevanti nella propria organizzazione e creare una ricerca per monitorarne gli accessi. Per l'esempio riportato di seguito, concentriamoci su tutti gli accessi effettuati ai file in /App/Data/Roaming/.

La ricerca da eseguire è: nome:/ /App/Data/Roaming/.*/

Questa ricerca troverà tutti gli accessi ai file in quella cartella. Nel nostro sistema, c'erano un sacco di accessi legittimi da 2 server di aggiornamento. Per ridurre il rumore di questa ricerca, trova i server legittimi che pensi possano accedere alla cartella che ti interessa e clicca sull'icona di zoom out accanto al loro IP per escludere le richieste da quel server.

Ja3 & Hassh

Ja3 e Hassh sono metodi di fingerprinting in grado di riconoscere rispettivamente la fonte dell'attività SSL o SSH sulla base delle informazioni disponibili dai pacchetti in chiaro inviati prima del completamento dell'handshake di crittografia.

Ja3

Ja3 è un metodo per creare impronte digitali SSL/TLS che possono essere utilizzate per riconoscere il client o il server in una determinata sessione. Ad esempio, un client Tor standard avrà un'impronta digitale Ja3 di e7d705a3286e19ea42f587b344ee6865.

Le impronte digitali Ja3 possono indicare attività eseguite dalla stessa applicazione su più client e possono anche essere utilizzate per controllare gli IOC. Non si tratta di una soluzione infallibile, poiché gli hacker più esperti possono alterare le impronte digitali sottostanti. Ad esempio, per verificare se è stata rilevata attività TOR sulla tua rete, vai al flusso metadata_ssl* e cerca: Ja3:e7d705a3286e19ea42f587b344ee6865

Per ulteriori informazioni su Ja3, consultare il profilo GitHub, il repository gestito dalla comunità delle impronte digitali Ja3. L'elenco delle impronte digitali JA3 dannose è disponibile su abuse.ch.

Hassh & HasshServer

Hassh utilizza una logica simile a quella di Ja3 nelle connessioni SSH, creando impronte digitali delle connessioni SSH. Ciò può essere utilizzato per individuare dove un determinato client ha comunicato tramite SSH con più server diversi e per verificare se vi siano attività nuove.

Hassh è particolarmente utile in ambienti strettamente controllati. Se in una rete sono presenti sezioni importanti, è possibile effettuare una ricerca specifica nell'attività SSH di quella sottorete per vedere quali Hassh vengono utilizzati. È necessario eseguire una due diligence su queste connessioni per assicurarsi che nessuna di queste attività sia dannosa, quindi ogni Hassh sicuro deve essere escluso dalla ricerca facendo clic sul pulsante accanto al campo. Alla fine, non dovreste vedere nessun nuovo Hassh in questa sottorete, quindi potete salvare questa ricerca e attivarla come modello personalizzato (da Gestisci -> Modelli personalizzati nell'interfaccia utente di rilevamento).

Il profilo della comunità Github di Hassh elenca molti altri utilizzi di questi dati.

Per migliorare il vostro livello di sicurezza e garantire che la vostra organizzazione sia ben attrezzata per rilevare e rispondere rapidamente alle minacce, è essenziale rilevare gli IoC. Vectra AI soluzioni avanzate che si integrano perfettamente con la vostra infrastruttura di sicurezza esistente, fornendo rilevamento in tempo reale e informazioni utili. Contattateci oggi stesso per rafforzare la vostra difesa informatica.