Pesquisa de Ameaças – Bem-vindo ao ThreatPursuit VM: A Threat Intelligence and Hunting Virtual Machine

Views: 190
0 0
Read Time:13 Minute, 5 Second

Adversários qualificados podem enganar a detecção e muitas vezes empregar novas medidas em seu ofício. Manter um foco rigoroso no ciclo de vida e evolução dos adversários permite que os analistas criem novos mecanismos de detecção e processos de resposta. O acesso às ferramentas e recursos apropriados é fundamental para descobrir essas ameaças em tempo hábil e preciso. Portanto, estamos compilando ativamente os pacotes de software mais essenciais em uma distribuição baseada no Windows: ThreatPursuit VM.

ThreatPursuit Virtual Machine (VM) é uma distribuição totalmente personalizável e baseada em Windows de código aberto focada na análise e caça de inteligência de ameaças projetada para analistas de inteligência e malware, bem como caçadores de ameaças para se levantar e funcionar rapidamente. O papel de analista de inteligência de ameaças é um subconjunto e membro especializado da equipe azul. Os indivíduos nesse papel geralmente têm um forte impulso para conhecer o ambiente de ameaça. Muitas vezes suas características, habilidades e experiências variam dependendo do treinamento e da experiência do assunto.

Sua experiência pode não ser técnica e pode incluir experiências e tradecraft obtidos operando dentro de um domínio diferente (por exemplo, geoespacial, criminoso, sinais de inteligência, etc.). Um aspecto fundamental do papel pode incluir a exigência de caçar, estudar e triagem anteriormente ameaças não descobertas ou recentemente emergentes, discernindo dados para o mal. Os analistas de ameaças aplicam uma variedade de métodos analíticos estruturados para desenvolver produtos significativos e relevantes para seus clientes.

Com esta distribuição, pretendemos permitir que os usuários:

  • Realizar atividades de caça ou missões
  • Crie cartilhas contraditórias usando conhecimento baseado em evidências
  • Desenvolva e aplique uma gama de produtos analíticos entre os conjuntos de dados
  • Realizar pivotação analítica entre artefatos e elementos forenses
  • Emular tradecraft de segurança ofensiva avançada
  • Possibilitar a conscientização situacional através do compartilhamento de inteligência e relatórios
  • Técnicas aplicadas de ciência de dados e visualizar clusters de dados simbólicos
  • Aproveite fontes de inteligência abertas para fornecer insights exclusivos para defesa e ataque

Semelhante tanto ao FLARE-VM quanto ao Commando VM,o ThreatPursuit VM usa pacotes Boxstarter, Chocolatey e MyGet para instalar software que facilita os muitos aspectos relacionados às funções desempenhadas pelos analistas. As ferramentas instaladas fornecem fácil acesso a uma ampla gama de ferramentas, incluindo, mas não se limitando a, análise de ameaças, estatísticas, visualização, caça de ameaças, triagem de malware, emulação contraditória e modelagem de ameaças. Aqui estão algumas das ferramentas, mas há muitas outras:

Para obter uma lista completa de ferramentas, visite nosso repositório GitHub.

Instalação

Semelhante ao FLARE-VM e Commando VM,recomenda-se instalar o ThreatPursuit VM em uma máquina virtual. A seguir, uma visão geral dos requisitos mínimos e recomendados de instalação.

Requisitos
  • Windows 10 1903 ou superior
  • Disco rígido de 60 GB
  • 4 GB DE RAM
Recomendado
  • Windows 10 1903
  • Disco rígido de mais de 80 GB
  • 6+ RAM
  • 1 adaptador de rede
  • Placa Gráfica OpenGL 1024mb
  • Habilite o suporte de virtualização para VM
    • Necessário para Docker (MISP, OpenCTI)
Instalação padrão

A maneira mais fácil de instalar o ThreatPursuit VM é usar as seguintes etapas. Isso vai instalar todas as ferramentas padrão e fazer você encontrar o mal em pouco tempo!

  1. Crie e configure um novo Windows 10 VM com os requisitos acima mencionados.
    • Certifique-se de que o VM está atualizado completamente. Você pode precisar verificar se há atualizações, reiniciar e verificar novamente até que não restem mais.
  2. Instale suas ferramentas específicas de hóspedes VM (por exemplo, VMware Tools) para permitir recursos adicionais, como cópia/pasta e redimensionamento da tela.
  3. Tire uma foto da sua máquina! Isso permite que você tenha sempre um estado limpo.
  4. Baixe e copie install.ps1 para o seu VM recém-configurado.
  5. Abra o PowerShell como administrador.

Em seguida, desbloqueie o arquivo de instalação executando: Desbloquear-Arquivo .\install.ps1, como visto na Figura 1.


Figura 1: Desbloquear script de instalação de arquivos

Habilite a execução do script executando: Set-ExecutionPolicy Irrestrito -f , como visto na Figura 2.


Figura 2: Set-ExecutionPolicy Irrestrito -f script

Finalmente, execute o script do instalador da seguinte forma: .\install.ps1

Depois de executar install.ps1, você será solicitado para a senha do administrador, a fim de automatizar as reinicializações do host durante a instalação à medida que várias reinicializações ocorrem. Opcionalmente, você pode passar sua senha como um argumento de linha de comando através de “.\install.ps1 -password <password>”. Se você não tiver um conjunto de senhas, bater em enter quando solicitado também funcionará.

Esta será a última coisa que você precisará fazer antes que a instalação seja autônoma. O script configurará o ambiente Boxstarter e passará a baixar e instalar o ambiente ThreatPursuit VM, como visto na Figura 3.


Figure 3: Installation script execution

The installation process may take upwards of several hours depending on your internet connection speed and the web servers hosting the various files. Figure 4 shows the post-installation desktop environment, featuring the logo and a desktop shortcut. You will know when the install is finished with the VM’s logo placed on the background. 


Figure 4: ThreatPursuit VM desktop installed

Custom Install

Is the standard installation too much for you? We provide a custom installation method that allows you to choose which chocolatey packages get installed. For additional details, see the Custom Install steps at our GitHub repository.

Installing Additional Packages

Since ThreatPursuit VM uses the Chocolatey Windows package manager, it’s easy to install additional packages not included by default. For example, entering the command cinst github as administrator installs GitHub Desktop on your system.

To update all currently installed packages to their most recent versions, run the command cup all as administrator.

Getting Started: A Use Case

As threat analysts, what we choose to pursue will depend on the priorities and requirements of our current role. Often, they vary with each threat or adversary encountered such as financial crime, espionage, issue-motivated groups or individuals. The role broadly encompasses the collection and analysis of threat data (e.g., malware, indicators of attack/compromise) with the goal of triaging the data and developing actionable intelligence. For example, one may want to produce detection signatures based on malware network communications to classify, share or disseminate indicators of compromise (IOCs) in standardized ways. We may also use these IOCs in order to develop and apply analytical products that establish clusters of analogous nodes such as MITRE ATT&CK tactics and techniques, or APT groups. On the other hand, our goal can be as simple as triaging a malware sample behavior, hunting for indicators, or proving or disproving a hypothesis. Let’s look at how we might start.

Open Hunting

To start our use case, let’s say we are interested in reviewing latest threat actor activity reported for the quarter. We sign in to the Mandiant Advantage portal (Figure 5) using our public subscription to get a snapshot view of any highlighted activity (Figure 6).


Figure 5: Mandiant Advantage portal


Figure 6: Actor activity for Q3 2020

Based on Mandiant Advantage report, we notice a number of highly active APT and FIN actors. We choose to drill in to one of these actors by hovering our mouse and selecting the actor tag FIN11.

We receive a high-level snapshot summary view of the threat actor, their targeted industry verticals, associated reports and much more, as seen in Figure 7. We also may choose to select the most recent report associated with FIN11 for review.


Figura 7: Resumo do ator FIN11

Selecionando o botão “Exibir página completa”, como visto no canto superior direito da Figura 6, podemos usar o recurso para baixar indicadores, como visto no canto superior direito da Figura 8.


Figura 8: Página FIN11 completa

Dentro do relatório FIN11, revisamos as etiquetas de inteligência de ameaças associadas que contêm produtos de inteligência acabados. No entanto, estamos interessados na coleta de IOCs brutos (Figura 9) que poderíamos aproveitar para pivotar ou enriquecer nossos próprios conjuntos de dados.


Figura 9: Indicadores FIN11 baixados

Usando a Plataforma de Compartilhamento de Informações de Malware (MISP)como nosso ponto de coleta, vamos carregar e triar nossos indicadores usando nossa instância misp local em execução no ThreatPursuit VM.

Por favor, note que você precisará garantir que sua instância misp local esteja funcionando corretamente com a configuração de sua escolha. Selecionamos o botão “Adicionar evento”, começamos a preencher todos os campos necessários para preparar nossa importação e, em seguida, clicamos em “Enviar”, como mostrado na Figura 10.


Figura 10: Triagem misp de eventos

Sob a seção de tags do nosso recém-criado evento FIN11, aplicamos tags relevantes para começar a associar aspectos de informações contextuais relacionadas ao nosso alvo, como visto na Figura 11.


Figura 11: Configuração do evento MISP para FIN11

Em seguida, selecionamos “Adicionar atributo” em nosso evento, o que nos permitirá importar nossos hashes MD5 para a galáxia MISP, como visto na Figura 12. Usando a categoria e o tipo, selecionamos os valores apropriados que melhor representam nosso conjunto de dados e nos preparamos para enviar esses dados para o nosso evento.


Figure 12: MISP import events into FIN11 event

MISP allows for a streamlined way to drill and tag indicators as well as enrich and pivot with threat intelligence. We can also choose to perform this enrichment process within MISP using a variety of open intelligence sources and their modules, such as Mandiant AdvantagePassiveTotal, Shodan and VirusTotal. We can also achieve the same result using similar tools already packaged in ThreatPursuit VM.

Using Maltego CE, installed as part of the VM, we can automate aspects of targeted collection and analysis of our FIN11 malware families and associated infrastructure. The following are just some of the Maltego plugins that can be configured post installation to help with the enrichment and collection process:

Targeting the suspected payload, we attempt to pivot using its MD5 hash value (113dd1e3caa47b5a6438069b15127707) to discover additional artifacts, such as infrastructure, domain record history, previously triaged reports, similar malware samples, timestamps, and the rich headers.

Importing our hash into Maltego CE, we can proceed to perform a range of queries to hunt and retrieve interesting information related to our FIN11 malware, as seen in Figure 13.


Figure 13: Maltego CE querying MD5 hash

Quite quickly we pull back indicators; in this case, generic named detection signatures from a range of anti-malware vendors. Using VirusTotalAPI Public, we perform a series of collection and triage queries across a variety of configured open sources, as shown in Figure 14.


Figura 14: Automatização do enriquecimento e análise da infraestrutura direcionada

Um link visual foi tornado público para referência rápida.

Com nossas informações recém-identificadas obtidas raspando passivamente esses IOCs de uma variedade de provedores de dados, podemos identificar hashes adicionais, URLs de entrega e locais de comando e controle da Web, como mostrado na Figura 15.


Figura 15: Visualização maltego do lançador FIN11

Pivotando no domínio de entrega fin11 suspeito quase rápido[.] com.encontramos várias outras amostras que foram enviadas para um site de caixa de areia online AppAnyRun. Dentro do navegador ThreatPursuit VM Google Chrome e no diretório Tools, existem atalhos e marcadores para uma variedade de caixas de areia para ajudar a acessá-los e pesquisá-los rapidamente. Podemos usar o AppAnyRun para analisar melhor as redes heterogêneas e os comportamentos de execução dessas amostras adquiridas.

Identificamos outra amostra semelhante, que é um documento XLS chamado “MONITIORING REPORT.xls” com o hash MD5 5d7d237168ad4a6484f76b0b651961 (Figura 16). Vamos tentar triagem desta amostra recém-descoberta e qualificar a relação de volta para FIN11.


Figura 16: Relatório de execução total do vírus de 5d7d2371668ad4a6484f76b0b6511961

Extrair cordas e indicadores interessantes desta amostra nos permite comparar esses artefatos com nossa própria análise dinâmica. Se não pudermos acessar a amostra original de malware, mas tivermos outros indicadores para caçar, também podemos pivotar em várias características e atributos únicos (por exemplo, imphash, vthash, pdb string, etc…) para descobrir amostras relacionadas.

Mesmo sem acesso à amostra, também podemos usar o YARA para minerar amostras de malware semelhantes. Uma dessas fontes para o meu é o uso da ferramenta mquery e seus conjuntos de dados oferecidos através de CERT.PL. Para acelerar a criação de uma regra YARA, aproveitamos a regra FIN11 YARA fornecida no relatório FIN11 Mandiant Advantage. Basta copiar e colar a regra YARA na página mquery e selecionar “Consulta” para realizar a pesquisa (Figura 17). Pode levar algum tempo, então não deixe de conferir mais tarde (aqui estão os resultados).


Figure 17: mquery YARA rule hunting search for FIN11 malware

Within our mquery search, we find a generic signature hit on Win32_Spoonbeard_1_beta for the MD5 hash 3c43d080b5badfdde7aff732c066d1b2. We associate this MD5 hash with another sandbox, app.any.run, at the following URL:

  • https://app.any.run/tasks/19ac204b-9381-4127-a5ac-d6b68e0ee92c/

As seen in Figure 18, this sample was first uploaded on May 2, 2019, with an associated infection chain intact.

Figure 18: AppAnyRun Execution Report on 3c43d080b5badfdde7aff732c066d1b2

We now have a confident signature hit, but with different named detections on the malware family. This is a common challenge for threat analysts and researchers. However we have gained interesting information about the malware itself such as its execution behavior, encryption methods, dropped files, timelines and command and control server and beacon information. This is more than enough for us to pivot across our own datasets to hunt for previously seen activities and prepare to finalize our report.

Once we are confident in our analysis, we can start to model and attribute the malware characteristics. We can leverage other threat exchange communities and intelligence sources to further enrich the information we collected on the sample. Enrichment allows the analysts to greater extrapolate context such as timings, malware similarity, associated infrastructures, and prior targeting information. We will briefly add our content into our MISP instance and apply tags to finalize our review.

We may wish to add MITRE ATT&CK tags (Figure 19) relevant across the malware infection chain for our sample as they could be useful from a modelling standpoint.


Figura 19: MITRE ATT&CK tags para a amostra de malware

Pensamentos Finais

Esperamos que você tenha gostado deste caso básico de uso do fluxo de trabalho de triagem de malware usando o ThreatPursuit VM. Há muito mais ferramentas e recursos dentro do conjunto de ferramentas incluído, como algoritmos de Machine learning (ML) e ML, que também ajudam os caçadores de ameaças analisando grandes volumes de dados rapidamente. Confira alguns dos posts do blog ML do FireEye aqui.

Para obter uma lista completa de ferramentas, consulte o repositório ThreatPursuit VM GitHub. Estamos ansiosos para lançar mais posts de blog, conteúdo e cartilhas à medida que nossa base de usuários cresce.

E, finalmente, aqui estão alguns artigos relacionados que podem ser de interesse.

Análise de malware

Perícia Digital

Análises e Avaliações de Inteligência

FONTE: FIREEYE

Previous post Repensando a segurança para o próximo normal – Sob pressão
Next post 6 maneiras de as senhas falharem nos testes básicos de segurança

Deixe um comentário