Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Qué hacer en un incidente cibernético: respuesta técnica

Michael Adjei
,
Director, Ingeniería de Sistemas, EMEA
November 23, 2020
23 min. lectura

El reciente aumento mundial en el uso de herramientas digitales para el trabajo, el juego y el ocio ha subrayado la importancia de la ciberseguridad como nunca antes. Los actores de amenazas utilizan una combinación de tácticas, herramientas y procedimientos para afianzar un sistema o red objetivo y luego aprovechar el movimiento lateral para llegar a las joyas de la corona de esa organización objetivo. En esta era de 'asumir una violación, 'no es una cuestión de si se producirá un ataque o incidente, pero cuando. Al igual que en el caso de un ataque en el mundo real a una persona o grupo de personas, los primeros auxilios pueden ser de gran ayuda para salvar vidas hasta que llegue la ayuda profesional.

En el mismo sentido, esta serie analiza las acciones inmediatas y mitigaciones que pueden activarse en el caso de un incidente cibernético.

Se centrará en tres áreas principales:

  1. Respuesta técnica
  2. Respuesta no técnica
  3. Lecciones aprendidas

La primera parte abordará las importantes acciones técnicas necesarias inmediatamente después de un incidente. A continuación, abordaremos los aspectos no técnicos de un evento cibernético, como la presentación de informes de incidentes y las evaluaciones de impacto. Y finalmente, en la última parte se analizarán las posibles lecciones aprendidas de la respuesta en su conjunto.

Parte 1: Respuesta técnica

La primera parte de esta serie de tres partes se centrará en la Respuesta Técnica inmediatamente después de un incidente de ciberseguridad. Es importante que el equipo de seguridad de su organización contenga rápidamente el incidente y conserve cualquier evidencia útil para un análisis de causa raíz, como registros, archivos de malware y otros artefactos del sistema operativo para el análisis de la causa raíz.

Aquí, nos centraremos principalmente en un entorno Windows y usaremos un tipo de ataque común como ejemplo: spear-phishing que da como resultado un correo electrónico empresarial (BEC) que aprovecha el movimiento lateral y conduce a un violación de datos. La representación visual de este flujo se muestra a continuación.

CyberIncident1

Para la mayoría de los ataques que posteriormente conducen a una infección y una brecha, los atacantes generalmente:

  1. atacar a un objetivo blando, como un usuario y su máquina, generalmente a través de un suplantación de identidad ataque
  2. comprometer su cuenta y su computadora
  3. aprovechar la cuenta y el equipo comprometidos para descubrir el resto de la red
  4. escalar privilegios para facilitar el movimiento lateral con el fin de comprometer otros sistemas
  5. localizar activos de alto valor o coronar sistemas de joyas y filtrar datos

Dependiendo de su motivo, el actor de amenazas puede querer quedarse y moverse sin ser detectado durante el mayor tiempo posible. O pueden querer causar alguna interrupción en la red, como se muestra en ataques de ransomware. Como saben, aunque MITRE ATT&CK o Cyber Kill Chain pueden mapear las tácticas y técnicas de los actores de amenazas, no juegan según las reglas. Por lo tanto, no debe hacer suposiciones durante la respuesta a incidentes; debe considerar solo evidencia sólida que pueda corroborar. También es importante estar atento a los señuelos, ya que puede que no todo sea lo que parece. Con esto en mente, querrás examinar las diferentes etapas de este flujo de ataque.

Entrada Inicial

La fase inicial del ataque típicamente implicará alguna ingeniería social, como el phishing o la publicidad maliciosa, principalmente a través de canales de comunicación digital como el correo electrónico o un sitio web. Esto también puede llevar al actor de amenazas a su primera máquina infectada, también conocida como 'paciente cero'.

CyberIncident2

Primeros Auxilios

En esta etapa temprana de la detección posterior al incidente, se pueden tomar algunos de los siguientes pasos.

  • Identifique la cuenta de usuario infectada (correo electrónico/equipo).
  • Aísle las cuentas de correo electrónico afectadas.
  • Bloquear la cuenta de correo electrónico afectada para que no envíe correo electrónico.
  • Compruebe si hay algún reenviado de correo electrónico a alguna cuenta de correo electrónico externa.
  • Recupere todos los artículos enviados de su bandeja de entrada durante los últimos 7 a 14 días, para empezar.
  • Auditoría para correo enviado y eliminado.
  • Compruebe si hay formularios personalizados (Outlook) cargados en el perfil de la cuenta.
  • Verifique los dispositivos conectados para la cuenta de correo electrónico afectada.
  • Compruebe el uso del protocolo heredado (por ejemplo, POP3).
  • Verifique los registros de Azure AD para obtener información de autenticación.
  • Compruebe si hay scripts con nombres aleatoriamente y otras utilidades de CLI en ubicaciones temporales (especialmente en el caso de ataques sin archivos).
Diagnóstico

En esta fase, los atacantes han aprovechado la ingeniería social para obtener acceso a los sistemas. En el ejemplo, un correo electrónico de phishing de un atacante de adquisición de cuentas (ATO) se utiliza para enviar una cotización de correo electrónico falsa en un documento de Microsoft Word. El documento contiene una macro maliciosa y, una vez abierto, iniciará la siguiente fase del ataque.

La autenticación multifactor (MFA) y las fuertes defensas de seguridad del correo electrónico combinadas con la capacitación de concientización del usuario deberían ser una buena primera línea de defensa contra los ataques de entrada inicial. Las soluciones de seguridad de correo electrónico deben tener capacidades de detección y resolución de IA, IA y URL como mínimo. También son muy importantes las capacidades de alerta sobre cosas como redireccionamientos de correo electrónico, redirecciones y creación de plantillas. Los usuarios de correo electrónico en la nube como Office 365 pueden ejecutar servicios como Microsoft Office 365 Secure Score para encontrar debilidad en la postura del correo electrónico.

Máquina de pivote

En este punto, los atacantes han ejecutado un ataque exitoso y han obtenido acceso a una cuenta de usuario legítima y/o sistema. La máquina de pivote se convierte en la máquina puntual para que los actores de amenazas intenten descubrir y moverse por el resto de la red.

CyberIncident3

Primeros Auxilios
  • Aísle inmediatamente la computadora o computadora portátil infectada del resto de la red.
  • Desconecte el equipo de Internet.
  • Deshabilite la cuenta de dominio del usuario afectado en Active Directory.
  • Deshabilite cualquier acceso remoto para esta cuenta, por ejemplo, VPN, OWA u otros inicios de sesión remotos.
  • Compruebe si hay signos de persistencia maliciosa: Registro, Inicio y Tareas Programadas.
  • Compruebe si hay conexiones web recientes desde ese host.
  • Compruebe si hay cuentas de usuario sospechosas.
  • Verifique el uso reciente de aplicaciones: Shimcache, Amcache, Jumplists.
  • Verifique la presencia de herramientas como mimikatz, psexec, wce y archivos remanentes (siempre que sea posible, las máquinas no deben reiniciarse en el caso de ataques de solo memoria).
Diagnóstico

Por lo general, esto implicará que algún usuario caiga en un ataque de phishing y abra un enlace malicioso o un archivo adjunto de correo electrónico, lo que llevará al uso de herramientas legítimas del sistema, como powershell.exe, con fines maliciosos. Se deben administrar verificaciones como procesos sospechosos, acceso a recursos compartidos de red, registros de cuentas y archivos descargados. Uno de los procesos importantes en el caso de Windows para la autenticación y posible escalamiento de privilegios es lsass.exe (Local Security Authority Subsystem Service). Verifique si hay nombres de proceso inusuales, ubicaciones o acceso a la cuenta.

CyberIncident4

A menudo, la máquina de pivote le da al actor de amenazas un punto de apoyo en el resto de la red. Puede que no sea el objetivo principal, sino un medio para un fin. Como resultado, debe tener en cuenta:

  • Señuelos diseñados para distraer
  • El malware sin archivos o solo de memoria puede significar la pérdida de evidencia original
  • Eliminación de archivos para eliminar pruebas

Es posible que el equipo de TI no siempre pueda localizar la máquina original del paciente cero o incluso la máquina de pivote, pero cualquier sistema comprometido que se encuentre primero debe aislarse e investigarse en consecuencia. Para un análisis más profundo, realice:

  • Análisis de memoria
  • Análisis de file system
  • Análisis forense del registro del sistema
  • Análisis forense del registro

Existen varias herramientas forenses (nativas, open source y comerciales) que pueden ayudar a recuperar la mayor cantidad de información posible al analizar sistemas y redes después de un incidente cibernético.

Descubrimiento y Movimiento Lateral

En la mayoría de los casos, la máquina inicial rara vez está donde el actor de amenazas quiere estar. Por lo tanto, tendrán que moverse hasta que alcancen sus sistemas objetivo definitivos.El objetivo es aprovechar la máquina pivote comprometida para descubrir el resto de la red y mapearla para facilitar una forma efectiva de moverse lateralmente. La red facilita el objetivo final real de acceso a las aplicaciones. Un ejemplo de esto incluye el robo de credenciales NTLM en pass-the-hash o el robo de credenciales Kerberos en ataques pass-the-ticket y puertos (nivel de red) para lograr movimiento lateral.

CyberIncident5

Primeros Auxilios — Descubrimiento
  • Compruebe si hay evidencia de escaneos de puertos.
  • Compruebe las aplicaciones que se utilizan con frecuencia.
  • Verifique el historial de comandos, por ejemplo, el historial de comandos de Powershell y WMI.
  • Compruebe si hay scripts maliciosos.
Primeros Auxilios — Movimiento Lateral
  • Compruebe si hay restos de acceso remoto y herramientas de implementación: RDP, VNC, psexec, mimikatz.
  • Verifique el uso reciente de aplicaciones: Shimcache, Archivos recientes, listas de salto.
  • Verifique el uso de cuentas de Windows en servidores, especialmente servidores de archivos, servidores DNS y servidores de Active Directory.
  • Algunos registros de eventos de Windows útiles para verificar.
  • Verifique el nivel de parche de los métodos de movimiento comúnmente utilizados: Browser, Adobe, Microsoft Office y OS (la mayoría de los exploits aprovechan las vulnerabilidades).
CyberIncident6

Diagnóstico

Detectar el movimiento Este-Oeste puede ser otra tarea desafiante sin las herramientas adecuadas en primer lugar. Además, aquí, los actores de amenazas suelen emplear herramientas nativas y técnicas de 'vivir fuera de la tierra' para evitar alertas y evitar la detección. En algunos casos, pueden emplear otras técnicas para escalar sus privilegios de nivel de cuenta para facilitar la capacidad de moverse lateralmente sin ser detectados. Durante la fase de descubrimiento, similar a la fase de movimiento lateral posterior, el actor de amenazas preferiría permanecer en silencio y evitar la detección temprana. Esto significa que es probable que empleen herramientas nativas en lugar de introducir herramientas externas o personalizadas. La mayoría de los sistemas operativos cuentan con diversas herramientas nativas para facilitar acciones durante esta fase como Powershell y WMI en Windows. En lo que respecta a los actores de amenazas, el movimiento lateral puede ser particularmente más fácil en entornos con poca o ninguna segmentación en absoluto o donde solo se utilizan métodos de segmentación tradicionales como subredes, VLAN y zonas. Esto se debe a que generalmente hay una falta de visibilidad, políticas de seguridad demasiado complejas y no hay separación basada en host dentro de subredes o VLAN.

CyberIncident7

La imagen de arriba muestra un ejemplo de una herramienta de visibilidad y análisis (mapa de dependencia de aplicaciones de Illumio, Iluminación) que permite la visualización de un descubrimiento e intento de movimiento lateral. Una vista similar a la mostrada anteriormente permite la representación clara de varios grupos de aplicaciones y las cargas de trabajo contenidas en ellos y el mapeo de comunicación de red resultante entre cargas de trabajo. Esta vista permite una identificación rápida y sencilla del comportamiento anómalo de la red entre cargas de trabajo en el mismo grupo de aplicaciones o en diferentes grupos de aplicaciones.

Joyas de la Corona

Los sistemas y datos de la joya de la corona son lo que suelen perseguir los actores de amenazas, especialmente en el caso de ataques clandestinos y no ransomware. Aquí es donde es probable que ocurra cualquier actividad principal de exfiltración de datos.

Primeros Auxilios
  • Verifique el uso de cuentas de administrador en servidores de bases de datos, servidores AD, file servers.
  • Verifique el historial de acceso web en busca de conexiones sospechosas.
  • Compruebe anti-botnet defensas para la comunicación relacionada con botnet.
  • Compruebe si hay exfiltración de datos: tunelización DNS, abuso de protocolo, codificación de datos.
  • Compruebe si hay tasas excesivas de transferencia de datos en el sistema y las NIC correspondientes.
  • Registros de eventos útiles de Windows:
  • Evento de Windows 4672 para inicios de sesión en la cuenta de administrador
  • Evento 4624 de Windows para iniciar sesión correctamente
CyberIncident8

Diagnóstico

Es esencial segmentar de manera efectiva sus sistemas que contienen datos importantes o confidenciales del resto de la red. Una de las mejores maneras es el uso de microsegmentación basada en host que proporciona visibilidad de la comunicación de red y la capacidad de aplicar firewalling directamente en los hosts. Al visualizar el tráfico que entra y sale de sus sistemas de corona joya en relación con el resto de la red, puede recibir capacidades de visualización y alerta oportunas para detectar, prevenir y aislar rápidamente cualquier comunicación anómala.

Dado que el malware puede entrar y afianzarse a través de vulnerabilidades, especialmente vulnerabilidades inherentes al sistema, también es importante implementar una solución actualizada de administración de parches y vulnerabilidades. Los actores de amenazas generalmente intentan limpiar después de ellos mismos para que puedan eliminar eventos del sistema, archivos y datos de registro. Por lo tanto, es especialmente importante contar con un repositorio central para registros y eventos del sistema y de la red como SIEM (Security Information and Event Management) y herramientas de análisis de seguridad.

En conclusión, debe tomar la sucesión correcta de acciones inmediatamente después de un incidente cibernético, ya que esto conducirá a las otras partes clave de cómo se maneja el incidente en su conjunto. Independientemente del tamaño y la estatura de una organización, la preparación técnica y la respuesta deben ser una parte clave de la estrategia general, como se muestra aquí, pero también deben incluir respuestas no técnicas como el informe de incidentes y el análisis de impacto. Discutiré esto con más detalle en las próximas iteraciones de esta serie.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Evaluación de vulnerabilidades para detener el ransomware
Contención de Ransomware

Evaluación de vulnerabilidades para detener el ransomware

Leer más
Los ataques a las empresas de servicios públicos son cada vez más disruptivos: qué pueden hacer los operadores
Contención de Ransomware

Los ataques a las empresas de servicios públicos son cada vez más disruptivos: qué pueden hacer los operadores

Descubra cómo los ataques a las utilidades están cambiando y las cinco estrategias que los operadores pueden usar para mitigar las amenazas actuales.

Leer más
S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica
Contención de Ransomware

S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica

Trevor Dearing, director de marketing de soluciones de Illumio, y Eric Hanselman, analista jefe de Inteligencia de Mercado Global de S&P Global se ocupan de las problemas del ransomware.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información