SigmaShooter (V): DFIR con SigmaShooter


En esta última entrega, y ya no os molesto más 😉, vamos a probar SigmaShooter en un caso de análisis forense informático.

Para ello, vamos a imaginar que un cliente nos pide realizar un análisis forense de 10 equipos de su red, por ejemplo, porque el antivirus ha detectado en los 10 equipos, en el mismo momento, un fichero sospechoso y no saben de dónde ha salido. Ante esta situación, el cliente nos envía las evidencias de los equipos afectados a analizar.

Antes de empezar con el forense de los 10 equipos, lo cual nos llevaría mucho tiempo, podemos subir los registros de eventos de Windows a SigmaShooter que serán subidos a nuestro SIEM configurado, Graylog en esta primera versión de la herramienta, y sobre los cuales se ejecutarán las firmas SIGMA cargadas.

[Read more…]

SigmaShooter (IV): Ejecución automática de Sigma contra SIEM


Llegados a este punto de la serie, en el que ya disponemos de un entorno SIEM, Graylog, recibiendo eventos de Windows y tenemos desplegada la herramienta SigmaShooter, configuraremos la aplicación para ejecutar la inteligencia subida a la herramienta, en forma de firma Sigma, contra el SIEM Graylog de manera programada.

Pero antes de empezar, subiremos nuestras reglas Sigma a la aplicación desde el botón “Upload Sigma rules”:

Utilidad Upload Sigma rules de SigmaShooter
[Read more…]

SigmaShooter (III): Desplegando SigmaShooter


En esta entrega se describen los primeros pasos con la herramienta SigmaShooter, desde que tenemos el código fuente hasta la ejecución de nuestra primera firma Sigma contra el SIEM Graylog. La aplicación se desplegará en un servidor Linux Debian 9.

A continuación, se enumeran lo pasos a seguir:

1. Clonamos el código de SigmaShooter desde su Github:

$ git clone https://github.com/ppll0p1s/SigmaShooter.git 
# Y nos colocamos en la carpeta del proyecto
$ cd SigmaShooter/
[Read more…]

SigmaShooter (II): Generando nuestra primera firma Sigma


SIGMA es un metalenguaje genérico y abierto, creado por Florian Roth, que permite describir en formato YAML reglas para detectar registros relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de registro.

De esta manera, SIGMA proporciona una forma estructurada en la que los investigadores o analistas pueden describir sus métodos de detección y una vez desarrollados compartirlos con otros.

Una vez creada una firma SIGMA, esta puede ser convertida a consulta para la gran mayoría de sistemas SIEM, gracias al binario “sigmac”, SIGMA Converter.

1 Funcionamiento

El flujo de trabajo se define en el repositorio oficial de SIGMA con la siguiente imagen:

sigma_description
Flujo de trabajo de SIGMA
[Read more…]

SigmaShooter (I): Preparando el SIEM Graylog


Esta semana se publicaba la herramienta SigmaShooter, una aplicación web para gestionar firmas Sigma y ejecutarlas contra el SIEM Graylog en su primera versión:

Captura de pantalla de un celular

Descripción generada automáticamente

En esta serie de posts veremos la utilización de la herramienta, desde que instalamos el SIEM y enviamos datos al sistema, hasta la ejecución automática de firmas Sigma contra el mismo. Dividiremos la serie en las siguientes entregas:

  • SigmaShooter (I): Preparando el SIEM Graylog.
  • SigmaShooter (II): Generando nuestra primera firma Sigma.
  • SigmaShooter (III): Desplegando SigmaShooter.
  • SigmaShooter (IV): Ejecución automática de Sigma contra SIEM.
  • SigmaShooter (V): DFIR con SigmaShooter.

Así que en este post, empezaremos por el principio, instalar y configurar el SIEM Graylog.

[Read more…]

Evadiendo bloqueos a webs utilizando un servidor web en GO de port-forwarder

Tras su última disputa (https://www.securityartwork.es/2018/02/26/evadiendo-av-shellter-tambien-sysmon-wazuh-i/), Pepote ha decidido volver a contratar a Pepito, quien en el fondo era un buen trabajador. Pero antes, Pepote ha tomado un par de precauciones, como bloquear páginas web con contenido de “hacking” que puedan facilitar a Pepito realizar acciones indebidas.

Pepito ha aceptado, pero aún le guarda rencor del tiempo que estuvo en la cárcel, así que en su primer día de trabajo ya intenta buscar formas para realizar acciones malintencionadas contra su jefe. (Ya desde aquí huele a relación laboral prometedora y cordial, pero eso para otro día).

[Read more…]

Evadiendo AV con Shellter. También tengo Sysmon y Wazuh III. GAME OVER

Después de los dos primeros post de la historia [1] [2] donde os contábamos las intenciones de Pepito y la seguridad que tiene Pepote, en este post os vamos a contar el desenlace. Poneros en situación de los dos personajes de la historia.

Pepito:

«Aquí sigo, esperando a que mi jefe ejecute el “programa” que me ha pedido y que le he preparado con especial cariño. [Read more…]

Evadiendo AV con Shellter. También tengo Sysmon y Wazuh II

Después de lo visto en el primer post de esta historia, en este os seguimos contando lo que ocurre y vamos a conocer al jefe. Volveros a poner en esa situación que nos contaba Pepito en la primera parte.

«Hola, me presento. Soy Pepote, el jefe de Pepito. Soy consciente de que tengo muchos enemigos entre los que seguro está la competencia o incluso mis propios empleados. Físicamente nadie me puede tocar, siempre voy con mis guardaespaldas. Pero tecnológicamente, cualquiera podría intentar atacar mi equipo con el objetivo de robar información muy valiosa.

Es por esto que, además del antivirus corporativo, decidí añadir una capa más de seguridad en mi equipo con Sysmon y Wazuh. [Read more…]

Evadiendo AV con Shellter. También tengo Sysmon y Wazuh I

Os propongo que imaginéis la siguiente situación ficticia:

Yo soy Pepito, un empleado descontento. Mi jefe me tiene explotado, no para de mandarme tareas, no me paga las horas extras y, además, no me agradece nunca el trabajo que hago… Un día, harto de la situación me dije: «este se va a enterar». Y empiezo a planear: voy a “hackear” su ordenador y a robarle toda la información sensible que tenga. ¿Pero cómo? Después de darle alguna vuelta, ¡ya sé! Voy a ver si en los resultados de las auditorias de vulnerabilidades internas, a las cuales tengo acceso, su equipo tiene algún fallo de seguridad que pueda aprovechar.
¡Vaya! Lo tiene todo parcheado… y no tengo dinero para un 0 day. ¿Qué puedo hacer?

Un día mi jefe me pregunta si conozco algún programa gratuito para descomprimir archivos en sistemas operativos Windows y… [Read more…]

Actualización automática de reglas Snort con PulledPork

Nos encontramos en una época en la cual, cada día que pasa, se descubren nuevas vulnerabilidades software, y es muy probable que alguien con malas intenciones intente aprovecharse de estos fallos para realizarnos un nuevo tipo de ataque y que nuestros sistemas informáticos de seguridad no se percaten de dicha intrusión.

Por esta razón, es tan importante mantener todos nuestros sistemas de detección de intrusos (IDS) actualizados. En esta ocasión, se presenta una herramienta para la actualización de reglas del IDS Snort, llamada PulledPork.

PulledPork es un script escrito en Perl que descarga, combina, instala y actualiza conjuntos de reglas de varios sitios que serán usados por el IDS Snort. [Read more…]