La semana pasada tuvimos la oportunidad de participar de la edición 16° de Ekoparty, en esta ocasión en formato digital en su totalidad dada la situación ‘pandémica’ que atravesamos. Y si bien extrañamos la posibilidad de encontrarnos como cada año con personas del ambiente mientras disfrutamos de unos pochoclos (también conocidos según el país como crispetas o palomitas de maíz) en el stand de ESET, esta nueva modalidad generó la oportunidad de abrir nuevos espacios denominados Hacktivities, tal como contamos en el post acerca de lo que pasó en el Mobile Hacking Space. Pero en este artículo la idea es compartir lo que pasó en el Blue Space, otro de los espacios que se crearon a partir de la edición 2020 de Ekoparty en el que se realizaron múltiples charlas y talleres de la mano de profesionales experimentados y en los que se compartió mucha información con la comunidad.

La idea detrás del Blue Space fue abrir la posibilidad de colaboración a la comunidad interesada en la seguridad defensiva para compartir conocimiento sobre las técnicas de Blue Teaming y fomentar su práctica. A continuación, compartimos algunos de los puntos más destacados que dejó el Blue Space en Ekoparty 2020.

Bienvenidos a MORDOR

Dentro de los diferentes espacios que se presentaron en el Blue Space se destaca especialmente el Open Threat Research (OTR), el cual tenía como objetivo reunir a miembros de la comunidad de infosec que comparten la misma pasión por colaborar, compartir y aprender sobre diferentes áreas de la seguridad informática a través de proyectos de código abierto. Así, esta iniciativa propuesta por Roberto Rodriguez y José Luis Rodriguez continúa vigente en GitHub (al igual que otras iniciativas que surgieron a partir de Ekoparty) con herramientas y muchísima información para que investigadores de cualquier parte del mundo pueden unirse a la comunidad para colaborar y contribuir.

También se destaca el proyecto MORDOR, que consiste en un gran repositorio con información de eventos generados después de ejecutar ejercicios de simulación de adversario. Toda la información compartida está ordenada y categorizada por plataformas, grupos cibercriminales tácticas y técnicas definidas por el framework de MITRE ATT&CK.

Otro que se destaca es Threat Hunter Playbook, un proyecto de código abierto desarrollado para compartir conceptos de hunting de amenazas y ayudar al desarrollo de técnicas e hipótesis para campañas de caza. Una de las cuestiones interesantes en este punto es que el proyecto documenta las estrategias de detección en forma de Notebooks interactivos utilizando Jupyter para proporcionar una manera fácil y flexible de visualizar el resultado esperado y poder ejecutar los análisis utilizando, por ejemplo, los datos de MORDOR.

Análisis de grafos

Y hablando precisamente de herramientas para compartir información, tuve la oportunidad de realizar un workshop acerca de cómo correlacionar datos de detecciones para aportar más valor a los procesos de inteligencia de amenazas. Todo esto utilizando herramientas de análisis de datos como los grafos.

Esta actividad surge para responder a dudas que muchas veces se presentan como parte del proceso de investigación de amenazas. Toda la información presentada queda disponible para que pueda ser utilizada. Además, vas a poder descargar los archivos de Jupyter para ejecutar en tu propio entorno pruebas para analizar campañas de propagación utilizando atributos como los iconos de las muestras o las strings dentro de los archivos hasta llegar a realizar matrices de semejanza y grafos que permiten relacionar toda la información.

Así que no pierdas la oportunidad para unirte a esta comunidad en Discord. Además, próximamente a través de sus redes sociales estarán compartiendo la grabación de las diferentes charlas y workshops, además de la posibilidad de seguir fomentando la práctica y conocimiento de las últimas técnicas aplicadas a Blue Team.