Detección y respuesta significa convertirse en un defensor activo

Siguiente

El uso de una herramienta de detección y respuesta de endpoints (EDR) como ESET Inspect es un paso significativo en el avance de su postura de seguridad. Si el resultado esperado de los productos de seguridad que ha estado utilizando hasta ahora es simplemente ser informado de que se han realizado detecciones, se han bloqueado amenazas y se han eliminado archivos maliciosos, entonces su postura de seguridad ha sido en gran medida pasiva. Este enfoque no es ideal, pero es comprensible cuando el personal de TI de una organización no tiene el tiempo o los conocimientos técnicos avanzados para adoptar un papel más activo en su seguridad.

Sin embargo, invertir en una solución de detección y respuesta indica una sana curiosidad por lo que ocurre detrás de la cortina. Un producto de detección y respuesta ofrece a los administradores de TI visibilidad de los eventos que ocurren en un ordenador, como los scripts que se han ejecutado, los comandos ejecutados, las solicitudes HTTP(S), las conexiones TCP/IP, las solicitudes DNS, las modificaciones del registro, las operaciones con archivos, los cambios en los procesos, etc.

La Figura 1 muestra parte de una lista completa de eventos sobre los que ESET Inspect puede realizar seguimiento.

Para ayudar a dar sentido a todos estos datos, un producto de detección y respuesta viene con reglas para señalar eventos específicos, o secuencias de eventos, que son sospechosos o dignos de monitoreo. Dado que nuestra solución EDR puede conectarse con el sistema ESET LiveGrid, los ingenieros de seguridad de ESET han perfeccionado las reglas de ESET Inspect para tener en cuenta la reputación y popularidad de los ejecutables cuando sea relevante.

La Figura 2 muestra cómo las reglas priorizan los eventos presentados al administrador de TI sentado en la consola de ESET Inspect.

Tras el despliegue inicial, es probable que muchas detecciones se activen por eventos inofensivos hasta que se optimice la solución EDR. De aquí en adelante, solo consideraremos la solución EDR de ESET, a menos que se indique lo contrario.

Optimización de la detección y la respuesta para su entorno

Cada organización tiene su línea de base de eventos benignos producidos por los ordenadores de sus redes. Por lo tanto, el primer trabajo del administrador de TI es examinar las detecciones y entender qué es lo "normal".

Por ejemplo, la Figura 3 muestra las detecciones de una regla diseñada para informar de sondeos sobre la configuración de red de un sistema, una técnica utilizada habitualmente por el malware de ciberespionaje y el ransomware, y en este caso por el servicio Vantage de Lenovo.

Si la organización permite el uso de Lenovo Vantage, entonces el administrador de TI puede crear una exclusión para esta actividad, como se muestra en la Figura 4. Y si la organización no tiene dispositivos Lenovo en su flota, o esta actividad ocurrió en un dispositivo que no es de Lenovo, ¡probablemente se trate de un evento inherentemente sospechoso!

Aquí la exclusión sólo se aplica a la versión 3.13.14.0 del Servicio Lenovo Vantage, pero podría recortar el número de versión al final de la ruta del proceso para excluir todas las versiones. Esta decisión se centra en el equilibrio entre riesgo y ruido, una elección que debe repetirse constantemente durante el tiempo que utilice cualquier consola EDR.

Desarrollar todas las exclusiones necesarias para la línea de base de eventos esperados de su organización lleva tiempo. Aunque los administradores de TI deben tomarse el tiempo necesario para familiarizarse con la red de su organización inspeccionando manualmente las detecciones y creando exclusiones para ellas cuando corresponda, ESET Inspect ofrece un modo de aprendizaje que automatiza la creación de exclusiones e incluso tiene exclusiones preescritas que pueden activarse. En el primer caso, los administradores de TI deben revisar todas las exclusiones automáticas.

Maximizar el valor con reglas personalizadas

Aunque las nuevas versiones de ESET Inspect suelen incluir nuevas reglas, los administradores de TI no tienen que esperar para escribir sus propias reglas. ESET Inspect empodera a los defensores de la seguridad dándoles una visibilidad profunda de los eventos y el poder de tomar decisiones sobre lo que se monitorea a través de reglas y exclusiones personalizadas. Los administradores pueden incluso ajustar las reglas predeterminadas y personalizadas con acciones de respuesta agresivas, como matar procesos, bloquear procesos por sus hashes y aislar equipos de la red.

De hecho, aquí es donde las organizaciones obtienen el mayor valor de su inversión en ESET Inspect: escribiendo reglas que aborden sus áreas prioritarias de riesgo. Ilustremos esto con nuevas reglas tomadas de los escritorios de los ingenieros de seguridad de ESET.

Nuevas reglas de ESET Inspect para archivos LNK en ISOs montadas

En abril de 2022, ESET detectó que Emotet experimentaba con una técnica para eludir The-Mark-Of-The-Web mediante el envío de archivos de acceso directo (LNK) en archivos adjuntos de correo electrónico. Para no quedarse atrás, otras cepas de malware, como BumbleBee, Qbot y BazarLoader, también han experimentado con archivos LNK pero en imágenes de disco ISO.

Debido a que ESET Inspect puede monitorear archivos LNK y detectar ISOs montadas (bajo las variables de entorno %CDROM% y %RemovableDrive%), esta es una excelente oportunidad para escribir nuevas reglas que puedan monitorear esta técnica. Veamos cuatro nuevas reglas lanzadas con la versión 1.9 de ESET Inspect.

1. Posible abuso de LNK desde ISO Side-Loading DLL [D0451]

Esta regla supervisa la carga de una DLL sospechosa por un proceso de confianza iniciado desde una unidad extraíble o de CD-ROM (incluida una imagen ISO montada) y con un proceso antepasado iniciado por un archivo LNK en una unidad extraíble o de CD-ROM.

La Figura 5 muestra esta regla probada contra un mecanismo de entrega de una carga útil Brute Ratel C4. Se realiza una detección tras una cadena de eventos desencadenada al hacer doble clic en un archivo LNK en una ISO montada que tiene tres componentes de interés:

1. Archivo LNK - Roshan-Bandara_CV_Dialog.lnk
2. Ejecutable - onedriveupdater.exe
3. DLL - version.dll

En este caso, la regla se activa porque la versión sospechosa.dll es cargada por un proceso de confianza que ejecuta onedriveupdater.exe. Este se inició mediante un proceso que ejecuta cmd.exe, que se inició cuando la víctima hizo doble clic en Roshan-Bandara_CV_Dialog.lnk.

En efecto, esta regla detecta la carga lateral de DLL, en la que un atacante inicia un ejecutable legítimo y abusa del requisito de ese ejecutable para un archivo DLL específico colocando una DLL maliciosa con el nombre de archivo requerido antes en el orden de carga prescrito que la DLL legítima. En este caso, la DLL maliciosa se colocó en el mismo directorio que el ejecutable.

2. Posible abuso de LNK de ISO - Ejecución de proxy binario del sistema [D0452]

Esta regla supervisa si se ejecuta una DLL sospechosa mediante rundll32.exe, regsvr32.exe o odbcconf.exe, cuando tanto la DLL como el archivo LNK que inició el proceso que ejecuta uno de estos binarios del sistema se encuentran en una unidad extraíble o de CD-ROM.

La Figura 6 muestra esta regla probada contra un mecanismo de entrega de una carga útil BumbleBee. Se realiza una detección tras una cadena de eventos desencadenados al hacer doble clic en un archivo LNK en una ISO montada que tiene dos componentes de interés:

1. Archivo LNK - requisitos del proyecto.lnk
2. DLL - start.dll

En este caso, la regla se activa porque el sospechoso start.dll es ejecutado por el proceso que ejecuta odbcconf.exe, que se inició cuando la víctima hizo doble clic en project requirements.lnk. Tanto el archivo LNK como la DLL se encuentran en una imagen ISO montada.

En efecto, esta regla detecta el abuso de binarios del sistema de confianza como proxies para ejecutar DLL maliciosas.

3. Posible abuso de LNK de ISO - Living Off The Land Binary [D0453]

Esta regla monitoriza un proceso que ejecuta un binario living off the land (LOLBin) que tiene un proceso antepasado iniciado desde un archivo LNK en una unidad extraíble o CD-ROM.

La Figura 7 muestra esta regla probada contra un mecanismo de entrega de una carga útil Qbot. Se realiza una detección tras una cadena de eventos desencadenada al hacer doble clic en un archivo LNK en una ISO montada que lanza un intérprete de comandos y conduce al abuso de dos binarios living off the land: regsvr32.exe y explorer.exe.

En efecto, esta regla detecta el abuso de LOLBins, que son las utilidades o binarios incorporados que vienen con un sistema operativo, ayudando así a los atacantes a pasar desapercibidos.

4. Posible abuso de LNK de ISO - Ejecución de comandos [D0455]

Esta regla supervisa un proceso que ejecuta uno de los 10 binarios, como cmd.exe, powershell.exe y rundll32.exe, que se inició desde un archivo LNK en una unidad extraíble o de CD-ROM.

La Figura 8 muestra esta regla probada contra un mecanismo de entrega de una carga útil BazarLoader. Se realiza una detección después de que un proceso que ejecuta rundll32.exe se inicia haciendo doble clic en un archivo LNK en una ISO montada.

En efecto, esta regla detecta el abuso de un archivo LNK en una ISO montada para eludir The-Mark-Of-The-Web y lograr la ejecución de comandos a través de binarios confiables.

Los administradores de TI pueden hacer que estas cuatro reglas sean más potentes ahora incluyendo una acción para matar el proceso comprometido (que será una acción por defecto con ESET Inspect 1.10). Esto puede proporcionar protección contra malware nuevo o desconocido que aún no ha sido detectado por un producto de seguridad para endpoints.

Reflexiones finales

Al mantenerse atentos a las nuevas y cada vez más activas técnicas maliciosas y poner manos a la obra en la creación de reglas para detectarlas, los administradores de TI pueden maximizar la inversión de su organización en ESET Inspect. De hecho, sin esta inversión adicional en la creación de exclusiones y la redacción de nuevas reglas, todos los beneficios potenciales para la defensa permanecen sin explotar. ESET Inspect es más potente en manos de defensores activos y estudiosos que se dedican a aprender más sobre las redes que deben proteger y que son lo suficientemente intrépidos como para enfrentarse a las últimas amenazas.

Si una organización carece de personal con las habilidades o el tiempo suficientes para profundizar en ESET Inspect, siempre es posible preguntar por la disponibilidad de detección y respuesta gestionadas (MDR) en un socio local de ESET. Con MDR, el problema del personal se resuelve externalizando la gestión de ESET Inspect a expertos locales de ESET.

Vea un video testimonial de cómo ESET protege a la Royal Swinkels Family Brewers con MDR.