Post on 22-Jan-2018
Threat Hunting – Como os frameworks podem
te ajudar a criar cenários e detectar ameaças
Rodrigo ”Sp0oKeR” Montoro
@spookerlabs
Quem sou eu ?
Agenda
• Motivação
• Threat Hunting
• Cyber Kill Chain ™
• ATT&CK (Mitre)
• Cenário / Caçando
• Conclusão
Motivação
• Conhecimento dos atacantes
• Superfície de ataque
• Dificuldade para mapear as ameaças
• Demora detectar os invasores
O que é Threat Hunting ?
Primeiramente o que não é!
• Utilizar Threat Intel
• Resposta a incidentes
• Instalar ferramentas e esperar alertas
• Análise forense
Threat Hunting
Hipóteses
• Indicadores de Comprometimentos (IoC)
• Táticas, Técnicas e Procedimentos (TTP)
• Time Ofensivo (Red Team)
• Experiência / Maldade / Feelings
Fontes de dados
• Netflow
• Firewall
• Eventos sistema (EventID, AuditD)
• Logs Aplicações
• Algo que gere informação interessante
Antes ...
Tudo junto e misturado ...
Em Fases
Aprofundando em uma fase
Cyber Kill Chain ™
Sobre Cyber Kill Chain ™
• Criado Lockheed Martin
• Dividido em 7 etapas
• Detecção fases iniciais é melhor
• Reanalisar não detecção fases anteriores
Reconhecimento Municiamento Entrega Exploração Instalação
Comando
e
Controle (c2)
Ações
Objetivos
E-mails
Domínios
Usuários
Vagas
Serviços expostos
Vazamentos
Ferramentas
Phishing
Payloads
Malwares
Websites
Wifi
Dispositivos
Móveis
Humana
Software
Hardware
Cliente/Servidor
0day
Backdoors
Webshells
Serviços
Covert
Channels
Updates
Elevação
privilégio
Movimento lateral
Roubo dados
Destruir sistemas
Modificar dados
Coletar usuarios
Cyber Kill Chain ™
ATT&CK (Adversarial Tactics,
Techniques & Common
Knowlodge )
ATT&CK
Sobre ATT&CK
• Framework criado pelo Mitre
• Técnicas usadas após exploração
• 10 táticas / 130+ técnicas
• Foco comportamento não em ferramentas
• Pesquisa constante (último update abril)
Táticas
PersistencePrivilege
Escalation
Defense
Evasion
Credential
AccessDiscovery
Lateral
MovementExecution Collection Exfiltration
Command and
Control
Técnicas
Cenário / Caçando
Exemplo cenário
ATT&CK
Algumas Análises Matrix
Auto Análise
Ofensivo (Teste de invasão)
Defesa (SIEM Octopus)
Ferramentas Perímetro
Conclusões
• Frameworks facilitam a criação de cenários
menores
• Entenda os atacantes
• Valide suas proteções
• Não espera alguém te avisar da invasão
• Sempre ache o Wally!
OBRIGADO!Rodrigo Montoro
rodrigo@clavis.com.br
@spookerlabs / @ClavisSecurity