El papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware

Íñigo Echavarri    8 febrero, 2023

Siguiendo la estela de los artículos desarrollados para otorgar luz a la respuesta ante incidentes que se llevan a cabo en nuestro grupo, parece claro que las acciones necesarias para el despliegue de un ransomware con el máximo impacto que desea el atacante requieren diferentes fases y distintos estados de compromiso.

Estas fases comienzan con un primer compromiso de algún activo de la organización, el cual aprovecha hábilmente el adversario para ir ganando poder sobre la infraestructura y terminar desplegando el artefacto final que es el encargado de cifrar y dejar las notas de rescate.

Normalmente, la misión de un Threat Hunter es centrarse en localizar esas fases previas que realizan los adversarios (y cuanto mas temprana sea esa fase detectada, mejor) para poder solucionar y/o mitigar el incidente producido con un impacto nulo o muy minimizado respecto de lo que es un incidente de ransomware.

¿Cómo el “Threat Hunting” aporta valor cuando el incidente ya se ha completado?

Un Threat Hunter es un analista especializado en investigar diversas fuentes de información provenientes de la infraestructura de la organización para extraer datos sobre amenazas.

Las amenazas se detectan en las diferentes anomalías que provoca un adversario en el funcionamiento normal de los diferentes activos. Anomalías que el Threat Hunter conoce y sabe detectar en la información brindada por las herramientas como EDR, XDR, SIEM, UEBA, etc., que otorgan el contexto necesario para diferenciar lo que es funcionamiento normal, de lo que no.

Si este mismo proceso se adapta a la respuesta ante un incidente, tenemos como resultado un flujo de información retroalimentado por la compartición de los hallazgos entre los diferentes roles. Aquello que encuentre un forense puede ser investigado por el Threat Hunter para ver en el EDR o SIEM cómo ha llegado a esa máquina, desde dónde y en cuántas otras máquinas se ha visto. Otorgando a su vez nueva información al forense (feedback) sobre el transcurso del incidente permitiendo acelerar las diferentes líneas de investigación (y ajustar mejor la contención, en muchos casos).

Aquello que encuentre un forense puede ser investigado por el Threat Hunter para saber cómo ha llegado a esa máquina, desde dónde y en cuántas otras máquinas se ha visto.

Repitiendo estas investigaciones con los datos que obtiene el equipo de Ciberinteligencia (como vimos en el post anterior), el Threat Hunter devolverá al resto del equipo los diferentes hallazgos que servirán para que esta parte del grupo de trabajo avance con celeridad en la clasificación del adversario, permitiendo así conocer datos tan cruciales como la existencia de algún sitio donde se publicarán datos robados (data leak) por los atacantes o que otras herramientas han podido utilizar en el escenario concreto, puesto que en otros incidentes ejecutados por este mismo equipo se habrán visto.

Pero no solo permite al equipo de respuesta ante incidentes avanzar mas rápido en sus respectivas tareas. Al estar investigando activamente el comportamiento de las máquinas en la organización y con los diferentes indicadores de compromiso (IOCs) disponibles, permite a la misma levantar rápidamente servicios en los que se pueda confirmar que no hay afectación y la puesta en marcha segura de aquellos afectados bloqueando mediante el EDR los artefactos maliciosos ya identificados.

Ciberseguridad: 13 posts para estar informado y protegido de las ciberamenazas

Actuando desde el EDR para todos los activos

Como se ha mencionado anteriormente, la respuesta al incidente es en gran parte “EDR-centric”. Las acciones que lleva a cabo el Threat Hunter sobre esta plataforma son variadas:

  • Recuperación de evidencias. Gracias a un EDR, es posible conectar con las máquinas que interesen y recuperar información directamente desde ellas; permitiendo obtener artefactos sin la necesidad de utilizar tiempo de otros grupos técnicos de la organización (dada la situación, suelen tener una carga de trabajo muy superior a la normal).
  • Investigación de eventos. Un EDR ofrece también telemetría sobre las máquinas en las que se ejecuta el agente correspondiente.
    • Esta telemetría permite investigar ejecuciones de artefactos, entender la c creación de los mismos, eliminación de ficheros maliciosos, trazar conexiones creadas por cada proceso ejecutado y, entre otros, detectar las persistencias de diferentes elementos software o del malware.
    • Todo ello otorga un contexto muy completo de funcionamiento en el que se pueden estudiar de forma óptima los patrones del ataque.
  • Aislamiento de activos. Conforme se investiga la telemetría, se puede proceder al aislamiento dentro de la red de aquellos activos que presenten comportamientos maliciosos o claramente sospechosos; permitiendo a su vez, el funcionamiento normal de aquellos elementos que no han estado afectados.
  • Bloqueo de IOCs y creación de reglas. Dos de los resultados mas interesantes de las investigaciones son los Indicadores de Compromiso (IOC en inglés) y las reglas del comportamiento que ha realizado el adversario en el incidente.
    • Ambos elementos pueden ser configurados fácilmente en la plataforma para su bloqueo y aviso automáticos. De forma que si el adversario hubiera dejado una bomba lógica o mantuviera el acceso con alguna persistencia que relanzara el ataque, este sería bloqueado automáticamente por el EDR al haberse realizado esta configuración previamente.

Devolviendo el testigo a la organización

Durante la respuesta al incidente, el equipo que la lidera se asegurará de que el adversario ha sido expulsado satisfactoriamente y el incidente ha sido solventado a todos los niveles.

En ese objetivo, el Threat Hunter se encargará de supervisar que la información que produce el sistema EDR “muestre calma” y que ninguna máquina de la infraestructura presente nueva actividad relacionada con el incidente.

Para ello, se vigilará cualquier comportamiento anómalo y se configurarán las diferentes alertas necesarias para el caso de que se reproduzca el incidente o que alguna máquina pudiera tener actividad (con el fin de aislar esa actividad automáticamente y continuar con la recuperación).

Tras un tiempo prudencial en el que se comprobará que no hay nueva actividad relevante (un mes normalmente desde el incidente) se dará por finalizado el trabajo del Threat Hunter, devolviendo el testigo a la organización del cliente o grupo de servicios EDR asignado.

Íñigo Echavarri
Íñigo Echavarri

Graduado en ingeniería informática por la Universidad Pública de Navarra. TFG práctico basado en la realización de una auditoría de seguridad completa a una empresa multinacional que supuso el comienzo de una carrera laboral dedicada a la seguridad informática. Desde principio del 2020 forma parte del equipo de Threat Hunters de Telefónica Tech, como analista principal.

Te puede interesar