Cyber Threat Intelligence Report – Tendencias Q4 2022

Durante el último trimestre de 2022 el equipo de Lab52 ha llevado a cabo un análisis en profundidad de las amenazas que han actuado durante el periodo, tanto de información de fuentes públicas como de fuentes privadas, y respaldándose en el estudio del contexto geopolítico de cara a la anticipación de posibles campañas.

A continuación, se presenta el informe del trimestre, el cual incluye las principales tendencias del periodo, junto el análisis de las amenazas de más alta sofisticación y los eventos geopolíticos de mayor importancia.

Toda la información obtenida y analizada por el equipo de ciberinteligencia Lab52 ha permitido generar inteligencia implementada en los servicios de seguridad de S2 Grupo.

Threat Hunting: Probability based model for TTP covering (Parte III)

En los anteriores artículos (parte I, parte II) se ha descrito teóricamente un modelo de cobertura basado en la caracterización de una Unidad de Inteligencia de Threat Hunting, así como la interpretación de las tácticas de MITRE ATT&CK como escenarios estadísticamente independientes para la detección de una amenaza. El presente artículo se expondrá una aplicación práctica del modelo para la detección de APTX.

El documento completo de la investigación puede leerse en el siguiente enlace: https://www.academia.edu/89640446/Threat_Hunting_Probability_based_model_for_TTP_coverage

Modelo de cobertura de Threat Hunting

En primer lugar, se tomará el resultado facilitado por el equipo de Threat Intelligence. Dicho resultado debe ser una priorización de técnicas y una valoración sobre 1 del peso de cada una de las técnicas respecto la táctica. En este caso, para la táctica de Initial Access, ha priorizado un total de 8 técnicas/subtécnicas, asignándole los siguientes valores:

[Read more…]

Threat Hunting: Probability based model for TTP covering (Parte II)

En el artículo anterior se ha establecido el objetivo de una Unidad de Inteligencia de Threat Hunting, así como realizado un estudio sobre la medición de su valor en función de su cobertura y eficiencia. En el presente se pretende utilizar dichos cálculos para establecer una cobertura a nivel de táctica y poder dibujar el modelo probabilístico de una organización respecto a un grupo APT. Puede leerse la investigación completa aquí.

Cobertura a nivel de Táctica

Si para la medición de la cobertura a nivel de Táctica se llevará a cabo el mismo ejercicio, el resultado sería una priorización de Técnicas en función del número de grupos que han utilizado cada una.  Este tipo de aproximación ofrece una perspectiva general sobre cualquier tipo de amenaza.

[Read more…]

Threat Hunting: Probability based model for TTP covering (Parte I)

Las tareas de Threat Hunting como búsqueda de lo desconocido ha abierto la puerta a un sinfín de interpretaciones y metodologías de análisis proactivo, además de formular múltiples preguntas sobre cómo organizar la búsqueda y poder medir el tipo de servicio que se ofrece.

La investigación, que se presentará en tres partes, tiene como objetivo analizar las tareas de la revisión proactiva con el fin de establecer un modelo de desarrollo de Unidades de Inteligencia en función de la cobertura de las técnicas descritas en la matriz de MITRE ATT&CK, así como un modelo matemático para la planificación de las tareas de Threat Hunting basado en la probabilidad de detección para la eficiencia de las horas de analista. Puede leerse el estudio al completo aquí.

La Unidad de Inteligencia en Threat Hunting

En la seguridad gestionada convencional el objetivo es la detección de amenazas de manera automática. Es decir, la detección del mayor número de amenazas con la menor tasa de falsos positivos. En este caso, idealmente, el valor de la inteligencia es siempre incremental, es decir; existe una relación directamente proporcional entre el número de reglas (correctamente calibradas) y la calidad del servicio, pues cuanto mayor número de reglas se dispongan, mayor número de amenazas será posible detectar. Es decir, la regla tiene que identificar de manera inequívoca un patrón malicioso. No es así para el Threat Hunting.

[Read more…]

Correlación no estática de eventos de seguridad basada en el contexto geopolítico. Un análisis teórico

Tal y como se está percibiendo los últimos meses, el nivel de riesgo en la seguridad de las organizaciones va aumentando, especialmente en función del riesgo derivado de los acontecimientos políticos. Del mismo modo que en el contexto de la seguridad de un país tenemos diferentes niveles de seguridad en función de la probabilidad de amenaza, muchas veces nos encontramos en la misma tesitura dentro del ámbito TI de una organización.

Bien sea debido a una vulnerabilidad publicada que afecta a los sistemas de la organización, a la exposición en los medios de la organización o por el aumento de la beligerancia por parte de actores de los cuales se es objetivo, en muchos casos la organización se encuentra con la necesidad de reforzar la dedicación a la monitorización de la seguridad.

Sin embargo, la correlación de los eventos de seguridad se encuentra fijada en unos valores predefinidos durante la fase de calibración y que, este refuerzo en los momentos necesarios se lleva a cabo a través de un análisis proactivo, es decir, a través de las acciones de Threat Hunting.

Dado que se conoce en qué casos se requiere dicho refuerzo, ¿no sería posible establecer unos parámetros sobre qué cómo y cuándo aumentar la criticidad de ciertos eventos?

Para dar respuesta a este planteamiento, se va a realizar un estudio para la ponderación de detección en red basado en la situación política contextual, que tendrá como resultado un modelo de correlador no estático, basado en la incorporación y procesado de entradas, tanto de inteligencia geopolítica como técnica.

La arquitectura que se va a describir es la siguiente:

[Read more…]

Omnium contra Omnes (II): Hacia el realismo político

En el anterior artículo comentábamos el impacto que ha tenido la posibilidad de anonimato en el ciberespacio. En este post vamos a indagar en esta cuestión y exponer los detalles que explican la existencia del anonimato, así como las consecuencias en el contexto geopolítico.

Anonimato

Los cinco factores imposibilitan la atribución directa de una acción de ciberguerra a una nación son los siguientes:

1. Que el medio virtual esté conformado por información permite a todo tipo de usuarios disponer de la posibilidad de la creación y modificación de artefactos, únicamente limitado por los permisos. Esto conduce a que no exista una traslación completa del elemento físico al virtual y, por tanto, no se dispone del control total del mismo. En consecuencia, no es posible garantizar la inmutabilidad de los elementos del entorno, es decir, qué acciones se han realizado o quién las realiza.

2. Existe la imposibilidad fáctica de la asignación de un perfil virtual de una nación. Los problemas vinculados a la atribución, fundamentados en el punto anterior, imposibilitan la relación de dos campañas separadas en el tiempo solo a partir de sus tácticas, técnicas y procedimientos. Incluso a pesar de contar con un indicador como el hash, no existe garantía al 100% de que se trata exactamente del mismo actor, pues el código podría haber sido robado o manipulado con anterioridad.

[Read more…]

Omnium contra omnes (I): Foucault en la ciberguerra

No cabe duda de que, durante los últimos años, el número de operaciones en el ciberespacio con una motivación política ha ido en aumento. Bajo el análisis del contexto geopolítico, podemos encontrar una de las causas del auge de este nuevo modelo de guerra.

Desde la II Guerra Mundial no ha habido un conflicto bélico entre dos naciones del primer mundo. Esto evidencia cómo las grandes naciones han trasladado el choque de intereses a metodologías menos clásicas, como puede ser la utilización de guerras subsidiarias, la guerra comercial y, desde hace algunos años, la ciberguerra.

Sin embargo, es la utilización de la ciberguerra lo que permite interpretar el contexto geopolítico actual, pues ofrece una serie de particularidades como conflicto que permiten adecuarse de manera acorde a las relaciones internaciones contemporáneas.

[Read more…]

El sesgo cognitivo en las tareas de Threat Hunting

Imagen por Mohamed Hassan

Como cualquier analista sabe, la misma naturaleza del Threat Hunting conlleva la aplicación de aproximaciones lo más genéricas posible en cuanto a la detección de anomalías. Al contrario que las posiciones reactivas de la seguridad basada en reglas, el análisis proactivo delega en el analista un porcentaje importante de la detección. Esto conlleva que, del mismo modo que le ocurre a un analista de inteligencia convencional, se suela caer en errores de interpretación, debido al gran número de casuísticas que se encuentran en el día a día, y que el cerebro tiende a clasificar como legítimas o maliciosas en cuestión de centésimas de segundos.

Según Richard Heuer define en “Psicology of Intelligence Analysis”, un analista tiene límites en la interpretación de la información, determinados por su personalidad, sus creencias y sus sesgos cognitivos. Y es que, tras la identificación de la anomalía, el analista debe ser capaz de hacer una predicción. Es decir, es la interpretación de una detección y su asociación a una posible amenaza lo que concluye con una alerta de seguridad.

[Read more…]

Detectando dominios “demasiado” legítimos

A la hora de utilizar un dominio para la comunicación con el servidor de mando y control y/o de exfiltración, los grupos de mayor sofisticación suelen utilizar nombres que pasan desapercibidos en un primer vistazo (e incluso hasta después de varios) por los analistas.

La utilización de palabras del ámbito tecnológico o relacionadas con el sector de la organización suelen proporcionar una capa adicional de ocultación en las ya de por sí discretas comunicaciones. Sin embargo, ¿podemos detectar estos dominios?

El objetivo del siguiente artículo es buscar patrones entre los IoC de diferentes APT y compararlos con el listado del millón de dominios más utilizados que proporciona Alexa, de cara a generar un algoritmo que permita ponderar la probabilidad de que un dominio intente hacerse pasar por legítimo.

[Read more…]

China: De la cultura al conflicto en el ciberespacio

Con la colaboración de Josep Soriano

Desde que en 2013 la consultora de ciberseguridad estadounidense Mandiant publicara su famoso report sobre APT1 evidenciando sus vínculos con diferentes agencias asociadas al gobierno chino, las noticias sobre sus actuaciones en el ciberespacio no ha hecho más que incrementarse.

Entre otros, nos encontramos con APT15, APT27 o Winnti Group (APT41); las acusaciones de ciberespionaje del DoJ estadounidense hacia cinco militares chinos asociados al grupo APT1; las vinculaciones que el FBI ha establecido entre Zhu Hua y Zhang Shilong y APT10; o el presunto vínculo de la unidad 61398 del PLA (People’s Liberations Army) con APT1.

Con el permiso de Rusia y su popular operación contra el DNC, China se ha convertido en el principal actor en el ciberespacio, desarrollando un incontable número de operaciones contra todo tipo de sectores: grandes tecnológicas, industrias militares o navales, y diferentes organizaciones gubernamentales. A veces utilizando malware más sofisticado, y a veces menos, pero cada vez más con un sello propio ligado a su extensa tradición.

[Read more…]