Ciberseguridad

Introducción a las acciones de respuesta avanzada

F-Secure Elements Endpoint Detection and Response introdujo recientemente una función que simplifica enormemente la respuesta a incidentes, denominada Acciones de respuesta avanzada. Esta función permite a los respondedores ejecutar acciones directamente en los objetivos de un ataque cuando se detecta un ataque para ayudar con la investigación y contención del incidente.

La documentación completa de la función se puede encontrar en la guía del usuario de EDR . Sin más preámbulos, observemos cómo se vería un proceso de respuesta a un incidente de muestra cuando se utiliza la función antes mencionada.

Detección de incidentes
Se han generado las siguientes detecciones tras el ataque:

Como vemos, el ataque se centra en tres cosas: PowerShell, inyección de explorer.exe y persistencia basada en servicios (servicio sospechoso). Basaremos nuestro análisis en esta información mientras usamos acciones de respuesta al mismo tiempo.

Análisis
Resumen del ataque

Las detecciones que se muestran en la sección anterior sugieren que se utilizó PowerShell para ejecutar la carga útil. También podemos ver que se descargó de un host externo y que el usuario administrador lo evaluó de manera interactiva. Por lo tanto, podemos suponer, al menos como primer puntero, que el comando fue, de hecho, ejecutado desde dentro de una sesión interactiva. Vale la pena señalar el tiempo de ejecución de PowerShell, ya que puede coincidir, hasta cierto punto, con el tiempo de inicio de sesión del usuario.

Antes de continuar, ejecutemos acciones de respuesta:

Las siguientes acciones de respuesta se utilizaron para obtener información adicional:

  • Enumerar procesos (para enumerar todos los procesos que se ejecutan en el sistema en caso de que se ejecute algún binario malicioso en segundo plano)
  • Enumerar servicios (para enumerar todos los servicios, incluidos los posibles intentos de persistencia)
  • Netstat (para enumerar todas las conexiones de red, incluidas las establecidas por el atacante)
  • Recuperar el historial de PowerShell (para obtener cualquier carga útil y/o reconocimiento/movimiento lateral/… comandos utilizados por el atacante)
  • Recuperar archivos de registro de eventos (para investigar eventos registrados por el sistema)

Acceso inicial

Dado que Remote Desktop puede ser uno de los métodos para obtener acceso interactivo, uno podría concentrarse en analizar los registros de eventos, como los de la categoría Seguridad . Como hemos obtenido registros de eventos del sistema de destino mediante la acción Recuperar archivos de registro de eventos , ahora podemos continuar con el análisis en el Visor de eventos:

Si investigamos más a fondo, podemos ver varios eventos 4625 (inicio de sesión fallido) y dos eventos de inicio de sesión: 4624 y 4648, respectivamente. Los detalles del evento nos brindan la evidencia, junto con los eventos del Administrador de sesión local (operacional) de Terminal Services , que confirman un ataque exitoso de inicio de sesión de fuerza bruta contra el usuario administrador de 192.168.22.10:

Sin embargo, podríamos obtener otra evidencia que sugiera que 192.168.22.10 fue, de hecho, la caja controlada por el atacante desde la cual se ejecutó el ataque.

Post-explotación

Antes, en la introducción, pudimos ver que se inyectó explorer.exe usando Metasploit. Para confirmarlo, podemos analizar el resultado de la acción de Netstat para identificar cualquier conexión sospechosa. Al hacerlo, podemos ver que el proceso estableció una conexión de red con 192.168.22.10:8443:

En el futuro, la detección de persistencia sugirió que se creó un servicio sospechoso, 
qlllgq . 
Veamos el árbol de procesos relacionado con la detección:

Podemos ver que, de hecho, se crearon dos servicios: qlllgq y qwYEjkwIC . Ahora podemos descargar la lista de servicios generada mediante Acciones de respuesta. Luego podemos ver si quedaron restos de esos servicios después del ataque buscándolos:

La lista de servicios, de hecho, contiene uno de los servicios que parece sospechoso. Ahora podríamos obtener la información relacionada con el servicio (como qué binario se inicia con él) usando colmenas de registro, aunque dejaremos esto como un ejercicio para el lector. En la siguiente detección, se nos muestra la ruta bajo la cual reside el binario:

Como por una razón desconocida para nosotros, es posible que el software antivirus no se haya activado o no se haya instalado en la máquina de destino, lo cual recomendamos, ahora podemos descargar el archivo y escanearlo usando el software antivirus por nuestra cuenta:

Una vez descargado, el archivo se puede extraer y detonar o escanear fácilmente usando, por ejemplo, VirusTotal:

Los resultados confirman que el binario descargado es sospechoso:

Aunque múltiples acciones podrían permitirnos obtener una visión más profunda de cómo se desarrolló el ataque, dejaremos la demostración en esta etapa.

En resumen, el atacante inició sesión a través de RDP después de varios intentos fallidos, lo que sugiere un ataque de fuerza bruta, en la cuenta de administrador. Una vez que iniciaron sesión, iniciaron PowerShell y ejecutaron una carga útil que lanzó Meterpreter, una parte del marco Metasploit, que se utilizó para ejecutar acciones posteriores. Esas acciones incluyeron la inyección en explorer.exe, para permanecer oculto y mantener una sesión estable, obtuvo privilegios de SISTEMA y logró persistencia al crear un servicio malicioso conectado al ejecutable C:\Windows\Temp\dolphin.exe.

Vídeo de ejecución de ataque

Sin embargo, recomendamos observar cómo se desarrolló el ataque para ver qué tan bien está cubierto por las detecciones que se muestran arriba y qué tan fácil es obtener cobertura adicional utilizando evidencia obtenida con Acciones de respuesta:

Acciones adicionales

Para realizar una investigación completa y obtener evidencia antes de que se pueda realizar un proceso completo de respuesta a incidentes, debemos:

  • Realizar un volcado de memoria completa (la Acción de respuesta de volcado de memoria completa )
  • Contenga el incidente aislando los hosts en cuestión (en la página de detalles de detección, como se muestra en la imagen de arriba)
  • Guarde el estado de la máquina/cree una instantánea en el caso de una máquina virtual

La información, como las conexiones de red (netstat), la lista de servicios, la lista de procesos, etc., también se puede enviar al equipo de respuesta a incidentes como indicadores adicionales.

Remediación

El tema de la remediación podría abordarse de manera diferente según las herramientas que tengamos a nuestra disposición. Suponiendo que hay múltiples vías disponibles, podríamos:

  • Bloquear la comunicación con la máquina controlada por el atacante (192.168.22.10)
  • Deshabilite los inicios de sesión de cuentas locales a través de Escritorio remoto en el destino (192.168.22.13) como medida temporal y no permita dichos inicios de sesión en ninguna máquina (especialmente en Internet)
  • Busque cualquier comunicación con la dirección anterior
  • Busque cualquier comunicación del objetivo para encontrar cualquier signo de movimiento lateral

Resumen

Como podemos ver, las acciones de respuesta simplifican en gran medida la adquisición de pruebas cuando se instala y utiliza F-Secure EDR. Aunque podemos confiar en las alertas, tener herramientas adicionales a nuestra disposición es crucial cuando manejamos un incidente. Como tal, proporcionamos esta función, ya que contar con dichos medios puede marcar la diferencia en situaciones en las que la reacción rápida es primordial.

Además, nos gustaría alentarlo a que se registre en nuestras capacitaciones si desea obtener una comprensión más profunda de temas similares. Después de todo, es importante comprender al adversario para fortalecer nuestra defensa contra él.

Enlaces

Author

Luis Díaz