Para defender su organización contra las amenazas cibernéticas, necesita una imagen clara del panorama de amenazas actual. Esto significa ampliar constantemente su conocimiento sobre amenazas nuevas y actuales. Hay muchas técnicas que los analistas pueden utilizar para recopilar información crucial sobre amenazas cibernéticas. Consideremos cinco que pueden mejorar enormemente sus investigaciones de amenazas. Girar sobre las direcciones IP C2 para identificar las direcciones IP de malware utilizadas por el malware para comunicarse con sus servidores de comando y control (C2) son indicadores valiosos. Pueden ayudar no solo a actualizar sus defensas, sino también a identificar la infraestructura y las herramientas relacionadas que pertenecen a los actores de amenazas. Esto se hace utilizando el método pivotante, que permite a los analistas encontrar contexto adicional sobre la amenaza en cuestión con un indicador existente. Para realizar la pivotación, los analistas utilizan varias fuentes, incluidas bases de datos de inteligencia sobre amenazas que almacenan grandes volúmenes de datos nuevos sobre amenazas y ofrecen capacidades de búsqueda. Una herramienta útil es Threat Intelligence Lookup de ANY.RUN. Este servicio le permite buscar en su base de datos utilizando más de 40 parámetros de consulta diferentes, tales como: Indicadores de red (direcciones IP, nombres de dominio) Rutas de registro y sistema de archivos Nombres de amenazas, nombres de archivos y hashes específicos ANY.RUN proporciona datos asociados con los indicadores o artefactos en su consulta, junto con las sesiones de espacio aislado donde se encontraron los datos. Esto ayuda a los analistas a identificar un determinado indicador o su combinación para un ataque específico, descubrir su contexto y recopilar inteligencia sobre amenazas esencial. Para demostrar cómo funciona, usemos la siguiente dirección IP como parte de nuestra consulta: 162[.]254[.]34[.]31. En su caso, el indicador inicial puede provenir de una alerta generada por un sistema SIEM, una fuente de inteligencia sobre amenazas o una investigación. La pestaña de descripción general muestra los resultados clave de nuestra búsqueda. Enviar la dirección IP a TI Lookup instantáneamente nos permite ver que su IP se ha vinculado a actividad maliciosa. También nos permite saber que la amenaza específica utilizada con esta IP es AgentTesla. El servicio muestra los dominios relacionados con el indicador, así como los puertos utilizados por el malware al conectarse a esta dirección. La regla IDS de Suricata vinculada a la IP consultada indica filtración de datos a través de SMTP. Otra información disponible para nosotros incluye archivos, objetos de sincronización (mutex), ASN y reglas de Suricata activadas que se descubrieron en sesiones de espacio aislado que involucran la dirección IP en cuestión. La sesión de sandbox aparece como uno de los resultados en TI Lookup. También podemos navegar a una de las sesiones de sandbox donde se detectó la IP para ver el ataque completo y recopilar información aún más relevante, así como volver a ejecutar el análisis de la muestra para estudiarla. en tiempo real. Pruebe TI Lookup para ver cómo puede mejorar sus investigaciones de amenazas. Solicite una prueba gratuita de 14 días. Uso de URL para exponer la infraestructura de los actores de amenazas. Examinar los dominios y subdominios puede proporcionar información valiosa sobre las URL utilizadas para alojar malware. Otro caso de uso común es la identificación de sitios web utilizados en ataques de phishing. Los sitios web de phishing a menudo imitan sitios legítimos para engañar a los usuarios para que ingresen información confidencial. Al analizar estos dominios, los analistas pueden descubrir patrones y descubrir una infraestructura más amplia empleada por los atacantes. URL que coinciden con nuestra consulta de búsqueda para la infraestructura de alojamiento de carga útil de Lumma. Por ejemplo, se sabe que el malware Lumma utiliza URL que terminan en «.shop» para almacenar cargas útiles maliciosas. Al enviar este indicador a TI Lookup junto con el nombre de la amenaza, podemos ampliar los dominios y URL más recientes utilizados en los ataques del malware. Identificación de amenazas mediante TTP MITRE específicos El marco MITRE ATT&CK es una base de conocimiento integral de tácticas, técnicas y procedimientos (TTP) del adversario. El uso de TTP específicos como parte de sus investigaciones puede ayudarlo a identificar amenazas emergentes. Desarrollar proactivamente su conocimiento sobre las amenazas actuales contribuye a su preparación contra posibles ataques en el futuro. Los TTP más populares durante los 60 días mostrados por el Portal de inteligencia de amenazas de ANY.RUN. ANY.RUN proporciona una clasificación en vivo de los TTP más populares detectados en miles de muestras de malware y phishing analizadas en el entorno limitado de ANY.RUN. Sesiones de espacio aislado que coinciden con una consulta que presenta un TTP MITRE junto con una regla de detección. Podemos elegir cualquiera de los TTP y enviarlo para su búsqueda en TI Lookup para encontrar sesiones de espacio aislado donde se encontraron sus instancias. Como se muestra arriba, combinar T1552.001 (Credenciales en archivos) con la regla «Roba credenciales de navegadores web» nos permite identificar análisis de amenazas que participan en estas actividades. Recopilación de muestras con reglas YARA YARA es una herramienta utilizada para crear descripciones de familias de malware basadas en patrones textuales o binarios. Una regla YARA podría buscar cadenas o secuencias de bytes específicas que sean características de una familia de malware en particular. Esta técnica es muy eficaz para automatizar la detección de malware conocido y para identificar rápidamente nuevas variantes que comparten características similares. Servicios como TI Lookup proporcionan búsqueda YARA integrada que le permite cargar, editar, almacenar y utilizar sus reglas personalizadas para encontrar muestras relevantes. La búsqueda usando una regla XenoRAT YARA reveló más de 170 archivos coincidentes. Podemos usar una regla YARA para XenoRAT, una popular familia de malware utilizada para control remoto y robo de datos, para descubrir las últimas muestras de esta amenaza. Además de los archivos que coinciden con el contenido de la regla, el servicio también proporciona sesiones de espacio aislado para explorar estos archivos en un contexto más amplio. Descubrir malware con artefactos de línea de comandos y nombres de procesos Identificar malware a través de artefactos de línea de comandos y nombres de procesos es una técnica eficaz pero poco común, ya que la mayoría de las fuentes de inteligencia sobre amenazas no proporcionan dichas capacidades. La base de datos de inteligencia de amenazas de ANY.RUN se destaca por obtener datos de sesiones de sandbox en vivo, ofreciendo acceso a datos reales de línea de comando, procesos, modificaciones de registro y otros componentes y eventos registrados durante la ejecución de malware en el sandbox. Resultados de búsqueda de TI para la línea de comando y búsqueda de procesos relacionados con Strela Stealer. Como ejemplo, podemos usar una cadena de línea de comando utilizada por Strela Stealer junto con el proceso net.exe para acceder a una carpeta en su servidor remoto llamado «davwwwroot». TI Lookup proporciona numerosos ejemplos, archivos y eventos encontrados en sesiones de espacio aislado que coinciden con nuestra consulta. Podemos utilizar la información para extraer más conocimientos sobre la amenaza que enfrentamos. Integre la búsqueda de inteligencia de amenazas desde ANY.RUN Para acelerar y mejorar la calidad de sus esfuerzos de investigación de amenazas, puede utilizar TI Lookup. Pruebe TI Lookup y vea cómo puede contribuir a sus investigaciones de amenazas con una prueba de 14 días → La inteligencia sobre amenazas de ANY.RUN proviene de muestras cargadas en el sandbox para que las analicen más de 500 000 investigadores en todo el mundo. Puede buscar en esta enorme base de datos utilizando más de 40 parámetros de búsqueda. Para obtener más información sobre cómo mejorar sus investigaciones de amenazas con TI Lookup, sintonice el seminario web en vivo de ANY.RUN el 23 de octubre a las 02:00 p.m. GMT (UTC +0). ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.