El poder de l'embut - Part 1

Introducció:

Arrenquem una sèrie de blogs que exploraran el món de la ciberseguretat i la forense informàtica. En aquest primer capítol s'aprofundirà en l'estratègia del “Funneling” en forense informàtica, una tècnica clau per a compromisos específics que afecten grans quantitats de dades a analitzar.

Les organitzacions s'enfronten a reptes cada vegada més complexos en un món on les amenaces digitals avancen ràpidament. En aquest article, abordarem un apassionant cas d'ús d'embut que revela com la tecnologia i l'expertesa humana es combinen per protegir les organitzacions.

En aquestes sèries de publicacions, aprofundirem en el problema crític amb què s'enfronten les organitzacions quan es tracta de compromesos amb dades i robatoris potencials. Es poden considerar diverses estratègies per abordar aquest problema preocupant.

• Identificar el tipus de dades compromeses:

Saber quins tipus de dades, té o pot haver estat compromeses o fins i tot exfiltrades és crític. Definirem maneres d'entendre els diferents conjunts de dades i definirem estratègies d'anàlisi per a cada tipus de dades i segons la seva quantitat.

• Eliminar la càrrega de treball reduint elements coneguts:

Mitjançant la validació del tipus d'arxius coneguts, podem reduir temps, esforç i càrrega de treball. Aquesta estratègia es pot fusionar amb algunes de les altres descrites de la següent manera.

• Identificar i detectar malware ocult dins de les dades:

Les operacions empresarials han de començar a utilitzar els seus fitxers i dades tan aviat com sigui possible, per la qual cosa és fonamental discriminar els fitxers nets dels que potencialment contenen malware.

• Indexació i provisió de la informació del contingut de dades:

Mètodes per comprendre el contingut i el tipus de les dades compromeses, mitjançant l'execució de processos per detectar tipus específic d'informació dins de les dades compromeses com PII (Informació Personal Identificable).

Compromís detectat on encara no està confirmada l'exfiltració dels repositoris de dades:

El temps és crític durant l'etapa de resposta a l'incident, on la prioritat és la contenció i evitar la propagació o persistència de l'amenaça així com per identificar l'abast potencial del compromís, pel que fa a la informació continguda en el repositori.

Regles de regulació i possibles multes en cas que la informació de dades personals hagi estat exposada o extreta és una preocupació important també, de manera que l'objectiu no és només la certificació que les dades estan lliures d'amenaces sinó identificar l'exposició potencial de l'empresa en cas de qualsevol de les dades ha estat compromesa.

El poder de l'embut:

El concepte de”Embucatge” en forenses informàtiques emergeix com una estratègia molt valuosa per cobrir grans quantitats de dades per identificar l'afectació potencial de l'incident amagada en alguns dels arxius o amenaces a través de la informació afectada.

Els equips de seguretat no poden simplement revisar i avaluar cada fitxer de grans repositoris, ja que la tasca trigarà per sempre.

Què és exactament l'embut i com ajuda en aquestes situacions?

En termes senzills, Funneling és una estratègia forense utilitzada per triatge granulàriament un enorme conjunt de dades per definir diferents estratègies basades en les necessitats o metes que hem d'aconseguir. De quin tipus d'objectius estem parlant?

• Classificació de dades
• Validació de neteja de dades
• Indexació de dades

L'embut és la clau en aquestes situacions, ja que permet als equips de seguretat una manera més ràpida de discriminar les dades netes de les potencialment compromeses, identificar el tipus de dades implicades en l'incident, el contingut de les dades i el més important, accelera el retorn de les operacions comercials ja que poden alliberar repositoris de dades un cop es demostrin segurs.

Funneling: Desglossament de metodologies

L'embutat cobreix dos objectius principals a assolir:

• Identificar potencials amenaces ocultes dins dels fitxers compromesos.
• Identificar la naturalesa exacta del contingut dels fitxers compromesos, de manera que les empreses puguin prendre rumb d'acció en funció dels riscos identificats.

Embuts per a malware.

L'embut per a la identificació de malware es basa en 3 fases principals:

• Fase automàtica: En aquesta etapa inicial s'apliquen eines automàtiques per filtrar molts arxius per amenaces conegudes. Això inclou buscar hashes coneguts, escanejar antivirus i aplicar regles de detecció.
• Fase semiautomàtica: Amb el nombre d'arxius reduït, iniciem una fase semiautomàtica, on s'utilitzen eines que requereixen una revisió més detallada. Això inclou l'anàlisi de cronologia, la comprovació d'entropia i la recerca d'indicadors més subtils de compromís.
• Fase manual: Finalment, en aquesta fase, es redueixen els fitxers a un nombre manejable i s'apliquen tècniques d'anàlisi individuals. S'utilitzen serveis com VirusTotal, anàlisi de caixa de sorra i investigacions en profunditat de trànsit de xarxa.

Embuts per a l'anàlisi de dades compromeses.

En aquest cas, realitzarem també en fases principals:

• Índex de contingut automàtic: En aquesta etapa inicial s'aplica als documents identificats l'anàlisi automàtica de continguts basada en la indexació de continguts i l'ús d'eines escanejades i de reconeixement d'imatges. Prèviament, s'ha de realitzar un procés per categoritzar i identificar documents reals que contenen informació: PDF, arxius d'Office, arxius de text, etc. Un procés automàtic per extreure i indexar el contingut dels fitxers es realitza mitjançant l'ús de motors de cerca, eines ocr, etc.
• fase de descobriment electrònic: Un cop indexades i organitzades les dades, s'ha de realitzar una cerca específica de patrons de dades basades en eines de descobriment electrònic per la qual cosa es revisarà la documentació que conté aquests patrons per tal d'avaluar el valor o risc de la informació.
• Fase manual: Finalment, en aquesta fase, un cop generats els fitxers identificats que contenen les dades de patró utilitzades en la cerca de continguts, es requereix un procés manual d'avaluació per avaluar el risc. Normalment, això no és una tasca tècnica, sinó dependent de negocis.

Estoig ACME

ACME, empresa líder en el seu sector, s'enfronta a un incident de ciberseguretat. Un conjunt de repositoris de dades compartits per servidors compromesos són sospitosos d'amagar arxius de malware, part de la següent etapa de l'atac, o arxius potencialment haver estat exfiltrats.

Aquest és un exemple d'una situació comuna avui en dia, on l'accés sospitós inicial prové d'un correu electrònic de phishing d'un proveïdor de confiança, va permetre l'atac a través d'un correu electrònic fals del Departament de RRHH sol·licitant als treballadors autoavaluació d'un document adjunt maliciós.

L'obertura i execució de l'adjunt per part d'un dels empleats amb accés d'escriptura als repositoris va generar un conjunt d'alertes en diversos sistemes compatibles amb diversos TTPs per a desplegament de malware i accés i exfiltració de dades.

Quin va ser el repte?

En aquesta conjuntura, ACME busca assistència i serveis d'Alpine Security amb l'objectiu clar de centrar-se en:

• Certificar la naturalesa de l'incident (desplegament de malware o robatori de dades)
• Determinació de l'exposició en cas d'una violació de dades amb èxit.
• Si les dades han estat compromeses, especificant el tipus de dades (financeres, de propietat intel·lectual, personals, o altres) que s'han vist afectades.
• Com tractar amb l'agència de protecció de dades en funció del tipus d'informació afectada.

Classificació de dades

L'estratègia d'embut es va convertir en estratègica per ACME Recuperació de les operacions empresarials. Per tal d'alliberar l'accés als repositoris de dades afectats basat en una priorització dels diferents repositoris de més crítics a menys requerits pel que els esforços se centren en les necessitats reals reals del negoci.

S'han d'aplicar els dos tipus de processos d'embutat, sent el procés d'embuts de malware primer, i realitzar el procés de descobriment electrònic un cop demostrades les dades clares.

Una de les eines més eficients en el procés és l'ús del programa personalitzat anomenat “funify.py” desenvolupat per la SEGURETAT ALPINA LABORATORIS equip que s'encarrega de classificar el diferent tipus d'arxius presents en el repositori de dades, alhora que realitza una segregació de categories en funció del tipus d'arxiu i extensions, per a una posterior anàlisi específica que es realitzi en paral·lel diferents maneres.

Què fa “funify.py”?

L'eina “funify.py” (https://github.com/alpine-sec/funify) és una utilitat de línia d'ordres en Python, dissenyada per analitzar i categoritzar fitxers presents en un repositori de dades en una font de dades digitals. La seva funció principal és identificar les extensions d'arxius i agrupar-les en categories predefinides segons el seu tipus.

Com en qualsevol script “funify.py” ve amb un menú d'ajuda:

Mode d'execució:

use: funify.py [-h] [-V] -f FITXERUtilitat per crear un Resum de les extensions de fitxers: -h, --help mostrar aquest missatge d'ajuda i sortir -V, --version mostra el número de versió del programa i surt -f FITXER, --file FITXER Camí cap al fitxer Excel (.xlsx) o CSV (.csv)

Exemple:

python3.11.exe funify.py -f. \ comp001-fstl.csv

Per tal de proporcionar la llista d'arxius a analitzar a través del repositori de dades com a paràmetre, primer generarem la llista específica d'arxius i ruta completa mitjançant l'ús d'una altra eina "mftmactime.py" (https://github.com/kero99/mftmactime), creada també per un Seguretat Alpina membre de l'equip.

Mftmactime generarà un fitxer csv de sortida que contingui tota la jerarquia de fitxers i els camins identificats dins del repositori de dades.

A continuació, Funify.py llegirà cada línia proporcionada al fitxer csv d'entrada i examinarà tots els camins del fitxer i extraurà l'extensió de cada fitxer.

A mesura que processa els fitxers, compta quantes vegades apareix cada extensió de manera que posteriorment l'equip pot definir diferents estratègies d'anàlisi basades en el perfil exacte de contingut trobat en aquesta etapa inicial.

def read_file (fitxer_ruta): amb open (fitxer_path, 'r', encoding='utf-8') com a fitxer: lines = [line.rstrip () per a la línia en fitxer.readlines ()] retornen les línesdef count_extensions (file_path): extensions_counter = Counter () per al fitxer_path en fitxer_camins: si “(eliminat)” no en fitxer_path i “, d/d” no a fitxer_path: _, extensió = os.path.splitext (fitxer_ruta) extensions_counter [extensió] += 1 retorn extensions_comptador

La nostra eina proporcionarà un informe organitzat de les extensions en categories predefinides, com ara “Oficina”, “Document”, “Arxiu”, “Imatge”, “Vídeo”, “Base de dades”, “Àudio”, “Màquina”, “Correu electrònic”, “Binaris” i “Instal·ladors”.

print (“==================================”) print (” FUNIFY “) print (“==================================”) print () category_list = {“Oficina”: ['.doc', '.dot', '.wbk', '.docx', '.docm', '.dotx', '.docb', '.pdf', .wll ',' .wwl ',' .xls ',' .xlsx ',' .xlsm ',' .xltx ',' .xltm ',' .xlsb ',' .xla ',' .xlam ',' .xll ',' .xlw ',' .ppt ',' .pptx ',' .pptm ',' .potx ',' .potm ',' .ppam ',' .pps ',' .ppsx ',' .ppsm ',' .sldx ',' .sldm ',' .pa ',' .accda ',' .accdb ',' .accde ',' .accdt ',' .accdr ',' .maccdu ',' ',' .mde ',' .one ',' .ecf ',' .pub ',' .xps '], "Document”: [' .csv ',' .odf ',' .odt ',' .rtf ','. txt', '.wpd', '.wpg', '.wps', '.wri', '.xml', '.n43'], "Arxiu”: ['.7z', '.7zip', '.arj', '.bz', '.bz2', '.gz', '.gzip', '.rar', 'rzip', '.tar', '.taz', '.tgz', '.tib', '.zip', '.xz'], "Imatge”: ['.bmp', '.gif', '.jpeg', '.jpg', '.png', '.tiff'], "Vídeo”: ['.asf', '.avi', 'mov', '.mp4', '.mpeg', '.mpg', '.wmv'], "Base de dades”: ['.accdb', '.dbx', '.mdb'], "Àudio”: ['.mp3', '.flac', '.wma'], "Màquina”: ['.vmdk', '.ova'], "Correu electrònic”: ['.cal', '.dbx', '.edb', '.eml', '.emlx', '.mbox', '.msf', '.msg', '.nsf', '.pst', '.snm', '.vcard', '.vcf', '.wab', '.ost'] , “Binaris”: ['.exe', '.dll', '.bin', '.bat', '.cmd', '.com', '.cpl', '.gadget', '.inf1', '.ins', '.inx', '.isu', '.job', '.jse', '.lnk', '.msc', .pisc ',' f ',' .ps1 ',' .reg ',' .rgs ',' .scr ',' .sct ',' .shb ',' .shs ',' .u3p ',' .vb ',' .vbe ',' .vbs ',' .vbscript ',' .ws ',' .wsf ',' .wsh ',' cab '], “Instal·ladors”: [' .msi ',' .msp ',' .mst ',' .paf ']}

Finalment, funify.py proporcionarà el recompte d'arxius per a cada extensió i categoria, permetent comprendre millor la composició de les dades i centrar-se en àrees d'interès específiques durant la investigació forense.

def extract_extensions (extensions_counter): extensions_filtereds_counter = Comptador () altres_extensions_counter = Comptador () per a l'extensió, compte en extensions_counter.items (): si extension.count ('.') > 1: last_dot = extension.rfind ('.') last_extension = extensió [last_dot:] filtered_extensions_counter [last_extension] += comptar elif len (extensió) > 5 i extension.count ('.') == 1: altres_extensions_counter [extensió] += count else: last_dot = extension.rfind ('.') if last_dot! = -1: last_extension = extensió [last_dot:] extensions_filtered_counter [última_extensió] += count else: extensions_filtered_counter [extensió] += recompte retorn filtrada_extensions_comptador, altres_extensions_comptador

Els resultats es pintaran per pantalla tenint en compte el total d'arxius per categories i per cadascuna de les extensions.

per categoria, extensions a category_list.items (): if all (filtered_extensions.get (extensió, 0) == 0 per a l'extensió en extensions): print (f"+ {category} Extensions: 0") #print (” Fitxers: 0") else: print (f"+ {category} Extensions:”) per a l'extensió en extensions: count = filtered_extensions.get (extensió, 0) if count > 0: print (f” + {extensió}: Fitxers: {count}”) print ()

Importància en l'embut:

En el context de Malware Funneling, "funify.py" juga un paper crucial en la fase inicial del filtratge automàtic. Ajuda a identificar ràpidament les extensions d'arxius presents en la font de dades, permetent la ACME equip d'investigació per centrar els seus esforços en les categories d'arxius més rellevants per a la investigació.

Això accelera significativament el procés de reducció de dades i la identificació de potencials amenaces així com permet la capacitat o realització dels processos de descobriment electrònic un cop identificats els documents reals amb contingut.

Com a resultat, s'obté una mostra de l'abast de l'estratègia Funneling amb el nombre total d'arxius existents en l'evidència categoritzats per tipus d'extensió:

Amb una visió clara del nombre d'arxius a analitzar i de les àrees clau identificades, la nostra atenció se centrarà en la descompressió d'arxius comprimits, explorar arxius adjunts de correu electrònic i aprofundir en els detalls dels fitxers rellevants.

Aquest és només el començament de la nostra estratègia d'embuts. La història continuarà...