Hoy vamos a introducirte en el fascinante mundo de Threat Intelligence o la inteligencia de amenazas. Si bien no existe una definición clara del concepto, esta puede ser una aproximación: “Conjunto de datos organizados sobre ataques o amenazas”.

Conocer la motivación de los criminales puede ser mucho más efectivo que un dato técnico

Vamos a intentar ampliar ese vago concepto con el fin de comprender mejor su alcance e importancia. Se trata de servicios que predicen y proactivamente notifican sobre amenazas en tiempo real, para que las compañías puedan ser más flexibles al adaptarse a un panorama de amenazas que cambia rápidamente.

En el mundo en el que vivimos, la continua exposición de las organizaciones conectadas a Internet a numerosos ataques y amenazas no es algo nuevo. Cualquier dispositivo conectado, sea un teléfono móvil o una red corporativa, sufre cientos de ataques o intentos de ataque al día.

Para comprender mejor toda la cadena de eventos que se ciernen tras un incidente de seguridad, debemos prestar atención a todo. La inteligencia de amenazas usa conocimiento basado en la evidencia, incluyendo contexto, mecanismos, indicadores e implicaciones sobre los riesgos existentes o emergentes para los activos de una organización.

Así, la información disponible en las propias redes de una empresa se puede complementar, por ejemplo, con reportes sobre phishing, malware dirigido, actividad de botnets o análisis de muestras, entre otros datos.

En busca del IoC pertinente

Lo más lógico cuando hablamos de un incidente de seguridad de red es que el dato más relevante sea al dirección IP del atacante, lo que se denomina un IoC (Indicator of Compromise o indicador de sistema comprometido).

Ahora vamos a imaginar un ataque de denegación de servicio (DoS) en el que se han implementado técnicas de spoofing (ocultación de la dirección de red real) y que recibimos ataques de direcciones IP de todo el mundo, pero que son solo desde ordenadores zombi parte de una botnet. ¿Importa esa dirección IP?

A decir verdad, lo que sería importante saber es el mecanismo que se ha establecido para realizar el ataque, por ejemplo, en un ataque HTTP, un User Agent concreto. De esta manera, tendremos conocimiento más real o más importante. Sigue siendo un IoC, pero de mayor valor que una dirección IP.

Si enfocamos el conocimiento de Threat Intelligence al mundo del malware, podríamos hablar del hash como el IoC principal, ya que mediante esta técnica matemática se identifica inequívocamente un fichero. Sin embargo, a lo largo del día en nuestros laboratorios nos llegan más de 20.000 muestras “distintas” de ficheros maliciosos. En realidad, son pocas variantes del mismo malware, pero con características distintas que hacen que el hash del fichero sea diferente. Es por eso que los motores de antivirus no se basan exclusivamente en un conjunto de firmas de ficheros incluidas en una “blacklist”, sino que implementan técnicas de detección avanzadas en base al comportamiento del malware.

Siguiendo con ejemplos de malware, es común encontrarnos con elementos, sobre todo los famosos casos de ransomware, que se conectan a un centro de control remoto para recibir instrucciones. Esto es lo que denominamos C&C (Command & Control). Cuando una pieza de malware quiere conectarse a su “cuartel general” lo suele hacer mediante una dirección en Internet, un dominio. Para hacerles la tarea difícil a los investigadores, los cibercriminales usan técnicas en las que el dominio cambia de dirección IP cada pocos segundos, lo que se denomina Flast Flux. En otras ocasiones, el malware no se conecta a un dominio concreto, sino a una expresión regular. Pongamos un ejemplo: para crear un registro DNS para un “cuartel general” malicioso, se podría inventar el dominio “kino12345.com”.

Las policías internacionales trabajan para erradicar estas amenazas junto a las empresas, en un proceso que se denomina Incident Response o respuesta a incidentes. Cuando se detecta un dominio malicioso, como en el ejemplo anterior “kino12345.com”, se actúa para erradicarlo.

El cibercriminal no solo crea ese dominio, sino también muchísimos otros del estilo “Kino*****.com”, siendo “*” cualquier número al azar. De esta manera, podrían crearse 99.999 dominios y configurar su malware para que use cualquiera de ellos para encontrar la dirección del C&C o “cuartel general”.

En este caso, lo importante no es un dominio concreto, ya que puede durar unos minutos, sino conocer el DGA o algoritmo de generación de dominios empleado por el cibercriminal para gestionar su malware. El DGA, entonces, sería un buen IoC.

Hacia una visión 360

Como puedes comprender, cuando se analiza un incidente o un ataque, se requiere de una visión 360 grados de toda la escena, incluyendo cualquier pequeño detalle que pueda esclarecer los hechos y por supuesto, poder defendernos ante ataques similares.

¿Cuál crees que es el IoC o indicador de compromiso más valorado? Lejos de ser una dirección IP, un dominio, una ruta de escritura en un directorio o un payload, lo más valorado, lo que al final va a marcar la diferencia en el estudio de un ataque sofisticado, es la motivación que produce el ataque.

Siempre vemos en las noticias que empresas importantes, colectivos y organizaciones sufren ataques importantes; conocer la parte técnica es nuestro trabajo, pero conocer la motivación y el “modus operandi” de las organizaciones criminales puede ser mucho más efectivo judicialmente que un dato técnico entre profesionales.

Otra cuestión a analizar es la del intercambio de Threat Intelligence o información de amenazas entre empresas y/o países, pero creo que eso será objeto de estudio en otra entrega.