Experiencias y tendencias en Investigaciones Digitales de gran escala

Transcripción

1 La defensa del patrimonio tecnológico frente a los ciberataques 10 y 11 de diciembre de 2014 Experiencias y tendencias en Investigaciones Digitales de gran escala 2014 Centro Criptológico Nacional C/Argentona 20, MADRID

2 Carlos Fragoso One esecurity VP & CTO SANS Institute Community Instructor 2

3 Índice 1 Retos 2 Experiencias 3 Tendencias 4 Referencias 3

4 4

5 Afectando múltiples áreas organizativas, algunas críticas Involucrados activos críticos e información sensible Falta de contexto: importancia, dependencias Los atacantes conviven entre nosotros semanas, meses o años Debemos solucionarlo y analizarlo en horas, días o semanas Abarcando centenares o miles de sistemas diferentes Altos volúmenes de información a analizar (TBs) Distribución geográfica y administrativa diversa 5

6 Falta de documentación o diagramas actualizados Dificultad en la intercepción de tráfico o acceso equipos Dominios administrativos internos/externos ambiguos Visibilidad y privilegios similares a un insider Saltos entre sistemas y enmascaramiento Artefactos complejos con técnicas antiforenses y alta volatilidad Inexperiencia, falta de entrenamiento y formación Falta de provisión de herramientas específicas para respuesta e investigación digital Comunicación segura y control de la información 6

7 7

8 Experiencias: casos y actores Casos Espionaje industrial y abuso de sistemas de información Intrusiones persistentes con exfiltración de información Robo y difusión de información por parte de empleados Denegación de servicio Actores Empleados internos (insider) o ex-empleados Competidores o aliados del sector de la víctima Terceros (gubernamental, grupos organizados ) 8

9 Experiencias: estrategias y soluciones Salas de investigación ad-hoc Infraestructuras de investigación distribuida Contención, adquisición y análisis en entornos externos Análisis quirúrgico y masivo de información Investigación de amenazas persistentes Visualización avanzada y perfilado de atacantes

10 Salas de investigación ad-hoc (war-room) VIII JORNADAS STIC CCN-CERT Caja fuerte Videoconferencia y comunicaciones móviles Pizarras Estaciones de analistas Impresión de gran formato Laboratorio Forense Networking Jumpbag kits

11 Infraestructuras de investigación distribuida (I) Auditores y/o consultores Entornos de usuario Investigadores Red DFIR Servidores corporativos IR Forenses Respositorio de evidencia Alojamientos y nubes 11

12 Infraestructuras de investigación distribuidas (II) Ejemplo: Google Rapid Response (GRR) Plataforma de respuesta a respuesta a incidentes con capacidades forenses remotas en tiempo real creada y mantenida por Google Basada en agente forense desplegado en los sistemas de la organización con estrategias de análisis local (thick) o centralizado (thin). Multiplataforma: Linux, Mac OSX y Windows Interfaz: Web (GUI), Consola (CLI) / API Acciones desde sistema central: Lógica de análisis y de respuesta basada en los resultados obtenidos (flow) Conjunto de acciones en múltiples sistemas (hunt) Automatización para auditorías y detección temprana 12

13 Contención, adquisición y análisis en entornos externos (I) EXTERNA Victima DFIR VPC PROD VPC DFIR Isolate Prod DFIR Network Production network Production Cloud Environment Proveedor CSP VPC IR SRV Production network Security Cloud Environment

14 Contención, adquisición y análisis en entornos externos (II) Ejemplo: Amazon Web Services (AWS) Despliegue de máquina virtual forense Provisión plantilla Ubuntu Instalación SANS Institute SIFT "wget --quiet -O - sudo bash -s -- -i -s -y Contención / aislamiento Utilización de script Coromandel para aislamiento del sistema Adquisición Utilización de AWS EC2 API Tools para pausar instancia, generar instantáneas (snapshots) y conectar discos a VM análisis Análisis forense Utilización de SIFT con acceso desde Amazon Workspaces (VDI) AWS: SIFT: Coromandel: 14

15 Frontal VIII JORNADAS STIC CCN-CERT Análisis quirúrgico y masivo de información (I) Lógica de análisis Necesito Respuestas!!! Scripts Base de datos de artefactos Relaciones Líneas de Tiempo Modus-operandi Paciente cero Movimientos laterales Sistemas Operativos, Aplicaciones, Bases de Datos, Contenidos

16 Análisis quirúrgico y masivo de información (II) Ej: Windows Vista (muestra) VIII JORNADAS STIC CCN-CERT Registro y eventos C:\Windows\System32\config\* C:\Users\<USER>\NTUSER.dat C:\Users\<USER>\AppData\Local\Microsoft\Windows\UsrClass.dat C:\Windows\System32\winevt\Logs\* C:\Windows\System32\winevt\LogFiles\* C:\Windows\System32\config\RegBack Navegación C:\Users\<USER>\AppData\Local\Microsoft\Windows\History\* C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Cookies\* C:\Users\<USER>\AppData\Roaming\Mozilla\Firefox\Profiles\<NUM>.default Actividad relevante de ejecución y sistema de ficheros C:\Windows\Prefetch C:\pagefile.sys c:\hiberfil.sys C:\$MFT C:\$Recycle Bin\ Recientes C:\Users\<USER>\Recent 16

17 Investigación de amenazas persistentes (I) Cibercriminales Alojamiento web cibercrimen Alojamiento web victimas Fabricantes victima Dominio externo: ciberinteligencia Internet Dominio interno: ciberseguridad Entorno Corporativo Entorno Industrial 17

18 Investigación de amenazas persistentes (II): Ejemplo: moloch VIII JORNADAS STIC CCN-CERT Plataforma de captura, procesamiento e indexación de información basada en tráfico de red Decodificación de protocolos y aplicaciones realizando una transcripción y etiquetado para su la preservación de metadatos significativos Integración con fuentes de inteligencia internas y externas Arquitectura escalable centralizada o distribuida de múltiples capas: Captura, almacenamiento y visualización Start Time: 2/13/13 21:43:56 Stop Time : 2/13/13 21:44:04 Databytes/Bytes: 9,315/14,288 IP Protocol: 6 IP/Port: :52465 (USA) [AS1668 AOL Transit Data Network] :80 (USA) [AS1668 AOL Transit Data Network] Tags: node:egress node:moloch-egress-dtc01 protocol:http tcp Request Headers:accept accept-encoding accept-language connection cookie host user-agent Response Headers:accept-ranges connection content-length content-type date keep-alive server setcookie User Agents:'Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/ Firefox/16.0' Hosts: URI: favicon.ico?v=2 Transcripción GET /favicon.ico?v=2 HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/ Firefox/16.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Cookie: <REDACTED>...etc 18

19 Visualización avanzada y perfilado de atacantes (I) Actividad / TTPs Líneas de tiempo Histogramas Relaciones

20 Visualización avanzada y perfilado de atacantes (II): Ejemplo: ElasticSearch / Logstash / Kibana (ELK) 20

21 3 Tendencias 21

22 Tendencias Mayor realimentación de conocimiento e interacción con el mundo de la investigación criminal e inteligencia Mayor capacidad de trabajo colaborativo y compartición de conocimiento Integración homogénea de investigación y repuesta en dominios internos y externos con proveedores y terceros Acceso forense universal integrado en aplicaciones, sistemas y red, incluso en el propio hardware Entrenamiento, formación y puesta a punto periódico de los equipos Consolidación de artefactos 22

23 Tendencias: acciones Infraestructura Plataformas DFIR distribuidas Integración forense en sistemas/virtualización Plataformas FPC, Network Forensics Humanas Formación Entrenamiento / ciberejercicios Procesos Otros Forensic Readyness Estrategias de aislamiento avanzadas Necesidad de ciberinteligencia

24 Referencias SP800-86: Guide to Integrating Forensic Techniques into Incident Response - NIST SP : Guide to Cyber Threat Information Sharing - NIST NIST Cloud Computing Forensic Science Working Group - NIST Facilitating Fluffy Forensics / coromandel Andrew Hay Forensics-Andrew-Hay.pdf Forensic Artifacts / IOC Bucket Google Rapid Response - Google "SANS Institute Investigative Forensic Toolkit SANS Institute

25 Incluso los mejores equipos no ganan todos los partidos. pero siempre luchan por ganar los máximos posibles Carlos 25

26 s Websites Síguenos en Linked in