Rastrear y analizar Botnets de manera sencilla
En complemento de las actividades del #BlueTeam o de los analistas L2 y L3 de un equipo de Respuesta a Incidentes de seguridad(CERT o CSIRT), hay competencias dentro de los cuales es necesario realizar busquedas masivas o interpretativas del actor de amenaza frente a la organziación.
En esta ocasión me arriesgo a escribir una pequeña guía sencilla o de pasos sencillos para poder abordar un actor de amenaza llamado botnet o red de computadoras zombie, probablemente acá en Medium ya existan algunos resultados que hablen de algo similar, sin embargo, es importante aclarar que se debe tener una metodología para poder realizar este tipo de análisis.
En ese sentido quise buscar algunas herramientas que permiten determinar el tipo de familia de malware o amenaza. En este caso el nomre o denominación “Feodo”tiene relación comoun troyano bancario o software malicioso dirigido por medio de una Botnet a servicios financieros y consumidores. Esta iniciativa también tiene que ver con la creación de Zeus, popular malware también orientado a este tipo de victimas y del cual Masim Yakubets fue detenido en Europa.
Feodo tracker como tipo de plataforma para #BlueTeams y #RedTeams es muy provechosa, dado que existen varias características que se basan en #IOC por sus palabras ne inglés Indicators of Compromise. En este orden de ideas, varios ecenarios se pueden plantear:
Creación de un caso a partir de IoC conocidos o analizados por el usuario o la organización.
Con la IPBlockList o la lista negra de estos IoC se puede correlacionar los recientes eventos o TTP ( por sus siglas en inglésTactics Techniques and Procedures).
Identificar los principales IoC de las #Botnet o #Malware que aparezcan en al paltaforma para poder ejecutar tareas de correlación y threat Modeling (Modelado de Ameanzas).
Desarrollo del primer punto: “Creación de un caso a partir de IoC conocidos o analizados por el usuario o la organización”:
Para este punto, cada una de estas características está alojada en Feodo, donde se peuden descargar los IoC para los principales C2 (Command and Control por sus siglas en inglés Comando y Control) de los siguientes actores de amenaza:
Ridex,
Heodo (conocido como Emotet)
TrickBot
QakBot (conocido como QuakBot / Qbot)
BazarLoader (conocido como BazarBackdoor) o Feodo: Cridex or Bugat
Cada uno de estos IoC de C2 pueden validarse o extraerse para su mayor comprensión o del #IDS (Intrusion Detection System por su sigla en inglés) o firewall en disintos formatos, a saber:
Suricata, el que más se destaca de esta lista; bastante versátil y apropiado para poder hacer la “ingesta en IDS o IPS” de cualquiera de los IoC documentado por Feodo.
Desarrollo del segundo punto: “Con la IPBlockList o la lista negra de estos IoC se puede correlacionar los recientes eventos o TTP ( por sus siglas en inglés Tactics Techniques and Procedures)”:
Del mismo modo se puede optar por obtener el listado (BlockList) del SIEM (Por las siglas en inglés System Information Event Managment), antivirus o en este caso para el ejemplo de Github.
Basado en cada uno de este tipo de amenaza, se puede crear un listado general o correlacionado en una base de datos específica que contenga la relación de los IoC de la organización frente a los analizados en Feodo Tracker.
Una vez se obtienen los IoC de la amenza identificada (Ej. Emotet), se realiza una validación o verificación grupal de los IoC relacionados en la plataforma Feodo, así:
Desarollo del tercer punto: Se puede validar con un API (Por sus siglas Application Programming Interace) para poder correlacionar la amenaza conocida vs la desconocida y de esta manera rectificar la infromación relacionada con la detección o con el evento de seguridad.
Una vez el resultado es positivo, podemos utilizar otra herramienta de validación para obtener mayores resultados a la “match” o coincidencia que estamos realizando:
Con el resultado comparativo podemos seguir validando en diferentes escenarios, como: su situación actual, si se encuentra activa, si ha transmitido durante cierto tiempo, empezar a realizar analisis de reversa de la comunicación de tráfico, etc.
Lo importante del asunto, es una tarea que puede resultar del hallazgo de un IoC y poder contrastar con distintas herramientas para ajustar las herramientas perimetrales y poder definir y testear las reglas que se están inyectando en el SIEM, IDS o IPS, a partir de esta pequeña guía el trabajo comienza para los equipos de Inteligencia de Amenazas o CTI para poder enfocar los trabajos de simulación de adversarios o emulación de amenazas.
Espero les guste esta pequeña guía para poder realizar análisis y rastreo a una Botnet, en este caso particular de tipo financiero. Nos vemos en Think Tank www.redciber.org. @RedCiberSeg
