Cómo aprovechar la información sobre amenazas de código abierto contra los ataques de Cobalt Strike

Una guía paso a paso sobre cómo utilizar datos de código abierto para automatizar el enriquecimiento de inteligencia sobre amenazas y los procesos de búsqueda de IoC.

¿Qué es Cobalt Strike?

Cobalt Strike es una herramienta popular de pruebas de penetración utilizada por profesionales de la ciberseguridad para simular ataques a redes y sistemas. Ofrece una amplia gama de funciones, como comando y control, generación de carga útil y módulos de postexplotación, lo que la convierte en una herramienta versátil para fines de seguridad tanto ofensivos como defensivos.

Sin embargo, como cualquier herramienta potente, también puede ser utilizada indebidamente por actores maliciosos para llevar a cabo ataques reales. Aquí es donde entra en juego la Inteligencia de Amenazas. 

Una de estas fuentes de inteligencia de amenazas es el repositorio C2IntelFeeds, alojado en GitHub, que consiste en una colección de fuentes de código abierto que proporcionan datos sobre Cobalt Strike y otros servidores de Comando y Control (C2). Al aprovechar este repositorio, los analistas pueden identificar proactivamente direcciones IP maliciosas, dominios maliciosos y otros indicadores de vulnerabilidad que podrían estar asociados con los ataques de Cobalt Strike.

Cómo enriquecer fácilmente los datos de los yacimientos de cobalto con Turbine

Vamos a utilizar nuestro incorporado Conector HTTP Para recopilar los datos de las URL a continuación, ya que nos da la flexibilidad de no tener que escribir código. El conector HTTP se puede usar como Postman, donde se pueden usar GET, POST, DELETE, PUT y PATCH. Podemos usar todo tipo de autenticación, como OAuth, Básica, Ninguna, Token de portador, Encabezado y otras como Ámbitos.

Paso 1: Obtener los datos.

Recopila las URL de cada feed:

https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2s-30day-filter-abused.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2s-30day.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2s-filter-abused.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2s.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURL-30day-filter-abused.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURL-30day.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURL-filter-abused.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURL.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURLwithIP-30day-filter-abused.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/domainC2swithURLwithIP-30day.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/dominioC2sconURLconIP-filtro-abuso.csv https://raw.githubusercontent.com/drb-ra/C2IntelFeeds/master/feeds/dominioC2sconURLconIP.csv

Luego, desglose las URL anteriores para que sean más fáciles de automatizar:

• URL = https://raw.githubusercontent.com
• Punto final = /drb-ra/C2IntelFeeds/master/feeds
• Luego, cada archivo:
  • “filtro-dominioC2-abusado.csv”,
  • “dominioC2s.csv”,
  • “dominioC2sconURL-filtro-de-30-días-abusado.csv”,
  • “dominioC2sconURL-30días.csv”,
  • “dominioC2sconfiltro-URL-abusado.csv”,
  • “dominioC2sconURL.csv”,
  • “dominioC2sconURLconIP-filtro-de-30-días-abusado.csv”,
  • “dominioC2sconURLconIP-30días.csv”,
  • “dominioC2sconURLconfiltroIP-abusado.csv”,
  • “dominioC2sconURLconIP.csv”

Paso 2: Crea un libro de jugadas.

Con los datos recopilados en el Paso 1, construyamos un manual de estrategias en Turbina de carriles de natación.

La primera acción del libro de estrategias será utilizar la función de transformación de datos para pasar una lista de los archivos anteriores, que se muestra aquí:

Consejo:Podemos agregar estos elementos como una lista y recorrer cada archivo con nuestro conector HTTP mágico en un bucle de sub-libro de estrategias que tiene solo una acción, "Obtener datos a través de HTTP", donde pasamos la "URL", el "Punto final" y el "Nombre de archivo".

Tenga en cuenta que utilizamos entradas del libro de jugadas para pasar el “Nombre de archivo” del libro de jugadas principal.

A continuación, fusiona todos los datos en una “cadena” para que podamos usar una acción JSONata para encontrar el IoC más rápido.

Ahora, analicemos la expresión anterior: “$join(objeto.publicado.Obtener_datos_mediante_texto_de_respuesta_del_resultado_HTTP)”

El "“unirse”La sintaxis proviene de JSONata. Enriqueceremos todos los datos que devuelve cada archivo y los combinaremos en una sola cadena. Observe la “texto_de_respuesta” desde arriba con la notación [.] y la clave JSON debajo:

A continuación, necesitamos buscar un dominio para ver si está en el “texto_de_respuesta” cadena.

¿Sabías que puedes ahorrar 9 minutos usando el “fósforo”¿Opción "" en la función de generación de transformaciones de datos de Turbine, en lugar de recorrer cada elemento de los archivos? Esto reduce el tiempo para encontrar el IoC a solo 2 segundos. 🤯

Ahora, queremos volver. Verdadero o FALSO a nuestro sistema de gestión de casos. Para ello, usaremos JSONata.“booleano”.

Una vez que tenemos Verdadero o FALSO, También lo procesamos a través de nuestro manual de enriquecimiento de amenazas que alimenta la gestión de casos.

Y ahí lo tienen. Cobalt Strike es una herramienta potente utilizada tanto por profesionales de seguridad como por actores maliciosos. Sin embargo, al aprovechar fuentes de inteligencia de amenazas de código abierto como C2IntelFeeds y automatizar el proceso de detección y remediación con Turbine, las organizaciones pueden protegerse mejor contra las ciberamenazas avanzadas y mejorar su seguridad general. 

Por qué debería automatizar el enriquecimiento de inteligencia sobre amenazas

Los feeds de inteligencia de amenazas son una herramienta esencial para las organizaciones que buscan identificar y mitigar proactivamente posibles ciberamenazas. Al aprovechar estos feeds, los equipos de seguridad pueden recopilar datos críticos sobre direcciones IP maliciosas, dominios maliciosos y otros indicadores de vulnerabilidad, lo que les permite detectar y responder rápidamente a posibles amenazas.

La turbina Swimlane automatización de la seguridad La plataforma permite a las organizaciones optimizar sus flujos de trabajo de seguridad mediante la integración con diversas fuentes de inteligencia de amenazas, como C2IntelFeeds, y otras herramientas de seguridad. Esto permite a los equipos de seguridad recopilar y analizar automáticamente datos de múltiples fuentes, lo que les permite identificar y remediar rápidamente posibles amenazas, independientemente de su origen.

Ya sea Cobalt Strike u otros vectores de ataque sofisticados, aprovechar inteligencia de amenazas Los feeds con las capacidades de automatización de Swimlane pueden ayudar a las organizaciones a protegerse mejor contra las ciberamenazas avanzadas. Al adoptar un enfoque proactivo de seguridad y automatizar sus procesos de respuesta a incidentes, las organizaciones pueden reducir los tiempos de respuesta y mejorar su estrategia de seguridad general, garantizando así la seguridad de sus datos, sistemas y usuarios.