¡Hola a todos! Gracias por leer el segundo artículo de Try Hack Me SOC Level 1, donde revisaremos el módulo de Try Hack Me que te ayudará a conseguir ese puesto de analista de seguridad. Sin más preámbulos, adentrémonos en la Pirámide del dolor.
Índice
La Pirámide del Dolor
Este es un concepto que no conocía hasta que me sumergí aquí, pero resulta que es muy conocido. Es un concepto aplicado por Cisco Security, Sentinel One y SOC Radar (otro sitio útil al que podrías añadir a tus marcadores). Entender la Pirámide del Dolor es importante, ya que en esta sección realmente comenzarás a adentrarte en los conceptos más profundos que necesitarás conocer y utilizar a diario.
Reviso los valores hash unas 10 o 15 veces al día. Por sí mismos, los valores hash no son un indicador muy bueno. Si viste mi video de Equipo Azul contra Equipo Rojo, sabrás que eso fue lo que me metió en problemas. Y no porque esté firmado por Microsoft significa que alguien no pueda inyectar maliciosamente algo en ese proceso y el hash siga siendo verde e inalterado. Puedes ver ese video si quieres saber más sobre eso.
La Pirámide del Dolor se explicará qué son estos valores hash y cómo son diferentes según los algoritmos de hash diseñados por diferentes organizaciones como NIST. En este campo, un hash no se considera seguro criptográficamente si dos archivos tienen el mismo valor hash. Es fácil cambiar un bit en un archivo y eso es lo que los actores maliciosos hacen para modificar su malware y así burlarse de los antivirus antiguos que solían utilizar solo los hash y otros indicadores similares, que son fáciles de cambiar. Por eso tuvieron que comenzar a crear antivirus impulsados por inteligencia artificial y basados en el comportamiento.
Aquí tienes una pregunta: ¿analiza el informe con el hash? Haz clic en el enlace que te llevará a Virus Total, que es una herramienta muy utilizada. Verás los vendedores en la parte superior, de los cuales 37 de 59 lo han detectado. Más abajo, cuando ingreses un hash, te dirá el nombre asociado con ese hash. Ingresa el nombre allí, haz clic en el botón y te dirá «correcto, buen trabajo, ahora sabes cómo usar Virus Total». Luego pasemos al IPS.
IPS
Tal vez hayas aprendido sobre la importancia del IPS en otro módulo de Try Hack Me llamado «¿Qué es una red?». Si es así, te recomendaría que eches un vistazo a ese módulo antes de continuar. Aquí verás un fragmento de la herramienta que utilizo con frecuencia en mi puesto actual llamada Any.Run. Te permite ingresar una dirección IP, una URL o un archivo y ejecutarlo en un entorno seguro, sin tener que preocuparte por descargar malware en tu computadora. Sin embargo, los actores maliciosos siempre pueden cambiar sus direcciones IP, por lo que no es una gran forma de detectar indicadores malignos. Es solo uno de los muchos métodos disponibles.
¿Cuál es la dirección IP del proceso PID 1632? Haz clic allí, se abrirá un fragmento de código y, si te desplazas hacia abajo, verás las conexiones de red y la actividad de archivos. Aquí, el proceso 1632 está comunicándose con la dirección IP 587. Simplemente ingresa 58.7.136.52 y ¡voilà!, tienes la respuesta. ¿Cuál es el nombre de dominio con el que intenta comunicarse este proceso malicioso? Haz lo mismo que antes, busca la actividad de red y las conexiones, y verás el proceso, el PID, la IP y el dominio. En este caso, es craftinglegacy.com. Estos son artefactos importantes que te ayudarán a recolectar inteligencia. De esta manera, puedes crear una detección o buscar estos indicadores malignos en tu entorno.
Nombres de dominio
Los nombres de dominio simplemente mapean una dirección IP a una cadena de texto. Si no sabes qué es el DNS, te recomendaría que lo aprendas rápido, ya que es muy importante. Hay diferentes tipos de URL y dominios de nivel superior (TLD). También puedes aprender más sobre DNS en el módulo «DNS a fondo». De nuevo, Try Hack Me te ofrece diferentes módulos que te permitirán sumergirte más en todos estos conceptos que considero invaluables y que te harán destacar entre los demás.
Si te fijas bien, algunos atacantes esconden dominios maliciosos en acortadores de URL. Yo me he encontrado con muchos de ellos en mi puesto actual, sobre todo en correos de phishing, especialmente Bitly. Ahí está el enlace de Bitly que se muestra aquí. Ahora, respondamos a algunas preguntas. ¿Cuál es la primera solicitud de URL maliciosa en el informe? Si observas las conexiones, verás todas las conexiones que he realizado. Y si te fijas en la parte superior, verás que se hizo una primera conexión con craftinglegacy.com. Haz clic allí y cópialo, luego pégalo en la pregunta y sigue adelante.
¿A qué se refiere el término utilizado para acceder a los sitios web? La respuesta es el nombre de dominio. Si te fijas en la sección anterior, deberías saberlo.
¿Qué tipo de ataques usan caracteres punycodes y nombres de dominio para imitar un dominio conocido? La respuesta es el ataque punycodes o punicode. Si haces clic en el enlace te dará información sobre qué es punycode.
Revive el sitio web redirigido por la URL acortada usando la vista previa. Aquí, simplemente debes agregar un «+» antes de la URL y presionar Enter para obtener una vista previa. La vista previa es una forma de ver hacia dónde se dirige una URL sin tener que hacer clic en ella. Esto puede generar cierta incomodidad porque va en contra de lo que hemos aprendido hasta ahora, pero es lo que se pide en este caso. Luego, proporciona la URL efectiva y sigue adelante.
Artefactos de la red
Los artefactos de red se pueden detectar en los archivos pcap de Wireshark, que contienen paquetes de datos. Si no has utilizado Wireshark antes, puedes descargarlo ahora, iniciarlo y comenzar a escribir URLs y visitar sitios web para comenzar a capturar tráfico y analizarlo. Aquí, se utiliza T-Shark para filtrar cadenas de agente de usuario. En este caso, se trata específicamente de la descarga o troyano Emotet, que es algo nuevo para mí, ya que hay muchos virus.
¿Qué navegador utiliza la cadena de agente de usuario que se muestra en la captura de pantalla anterior? Inicialmente, pensé en Mozilla Firefox, pero para confirmarlo, debes copiar la cadena de agente de usuario y buscar en línea qué navegador utiliza esa cadena. Resulta que todas las versiones de Internet Explorer utilizan esa cadena de agente de usuario. ¡Me pareció perfecto!
¿Cuántas solicitudes POST hay en la captura de pantalla del archivo pcap? Hay seis solicitudes POST de HTTP que contienen cadenas de texto sumisas. Esa es la respuesta correcta.
Artefactos de la pirámide del dolor
En Wireshark, también podemos detectar artefactos de la pirámide del dolor. Los artefactos son trazas de ataques que los actores maliciosos dejan en el sistema, como valores de registro sospechosos, ejecución de procesos maliciosos o actividad de archivos relacionada. En este caso, se expone el uso de PowerShell.
Un proveedor de seguridad ha analizado la muestra para nosotros. Aquí tienes el informe. Haz clic en el enlace pero asegúrate de abrirlo en una nueva pestaña. En el informe de Any.Run, un proceso llamado regidle.exe realiza una solicitud POST a una dirección IP en el puerto 8080. ¿Cuál es la dirección IP? Si utilizas la práctica herramienta «Find» y buscas 8080, te llevará directamente al informe y podrás ver el regidle.exe POST con la dirección IP buscada: 96.126.10.16.
El actor deja caer un archivo ejecutable malicioso. ¿Cuál es el nombre de este archivo? En el informe de Any.Run, ve a archivos eliminados y actividades de archivos. Allí, encontrarás solo dos archivos ejecutables que están relacionados con G_J_K.exe. Proporciona ese nombre como respuesta.
¿Cuántos vendedores determinan que los archivos son maliciosos? En el informe de Virus Total, encontrarás el número total de vendedores que señalan que el archivo es malicioso. En este caso, son nueve. Estos son elementos muy comunes en mi trabajo diario.
Conclusión y resumen del artículo
Felicidades, has llegado a la parte más desafiante. Los atacantes probablemente se rindan intentando ingresar a tu red y se retiren. Si alguna vez veo Steeler o Payload en mi computadora, lo restauraré, lo desconectaré de la red y lo limpiaré por completo. Esos, junto con Russian Panda, son una terrible combinación.
Como puedes ver, en todas las secciones se te dan enlaces a sitios útiles como SOC Prime Threat Marketplace, una herramienta que actualmente utilizo en mi trabajo y que me permite ver diferentes reglas de detección, cómo se crean y cómo puedo crear mis propias reglas. Te recomendaría que agregues este enlace a tus marcadores.
En resumen, has aprendido el concepto de la Pirámide del Dolor. Aquí tienes una cita inspiradora de David Blanco: «La cantidad de dolor que le causas a un adversario depende de los tipos de indicadores que puedas utilizar». Así que esto te enseña cómo trabajar con indicadores, que es una parte muy importante de una posición en un equipo SOC.
¡Eso es todo para los dos primeros módulos de SOC Level 1! Si puedes permitirte suscribirte a Try Hack Me, en mi opinión, vale la pena debido a la cantidad de conocimientos que adquirirás. Sin embargo, si no puedes suscribirte en este momento, aún tienes mis videos para ver. Si eres como yo, es mejor aprender haciendo. Recomendaría la suscripción si es posible, ya que hay muchos módulos que profundizan en todos estos conceptos y considero que eso es inestimable. Pero si no puedes hacerlo, no te preocupes, ¡tendrás mis videos para ver!
Espero que este artículo no haya sido demasiado largo o aburrido para ti. Hice todo lo posible por explicar cómo se aplica a mi trabajo actual y por qué es importante. ¡Gracias por leer! Nos vemos en el próximo artículo.
| Módulo | Pregunta | Respuesta |
|---|---|---|
| Hashes | ¿Qué puedes obtener analizando un hash en Virus Total? | Nombre asociado al hash |
| IPS | ¿Cuál es la dirección IP del proceso PID 1632? | 58.7.136.52 |
| IPS | ¿Cuál es el nombre de dominio con el que el proceso malicioso intenta comunicarse? | craftinglegacy.com |
| Nombres de dominio | ¿Cuál es la primera solicitud de URL maliciosa en el informe? | craftinglegacy.com |
| Nombres de dominio | ¿A qué se refiere el término utilizado para acceder a los sitios web? | Nombre de dominio |
| Nombres de dominio | ¿Qué tipo de ataques usan caracteres punicode y nombres de dominio para imitar un dominio conocido? | Ataques punicode |
| Nombres de dominio | Revive el sitio web redirigido por la URL acortada usando la vista previa. Proporciona la URL efectiva. | URL efectiva |
| Artefactos de la red | ¿Qué navegador utiliza la cadena de agente de usuario mostrada? | Internet Explorer |
| Artefactos de la red | ¿Cuántas solicitudes POST hay en la captura de pantalla del archivo pcap? | 6 |
| Artefactos de la pirámide del dolor | ¿Cuál es la dirección IP que realiza una solicitud POST ejecutada por el proceso regidle.exe en el puerto 8080? | 96.126.10.16 |
| Artefactos de la pirámide del dolor | ¿Cuál es el nombre del archivo ejecutable malicioso que el actor dejó caer? | G_J_K.exe |
| Artefactos de la pirámide del dolor | ¿Cuántos vendedores determinan que los archivos son maliciosos? | 9 |
| Pirámide táctica, técnica y procedimiento (TTPs) | ¿Cuántas técnicas caen bajo la categoría de explotación? | 9 |
Preguntas frecuentes
1. ¿Cómo puedo aprender más sobre la Pirámide del Dolor?
Puedes suscribirte a Try Hack Me para acceder a los módulos completos y profundizar en este tema.
2. ¿Existen otras herramientas similares a Virus Total que pueda utilizar?
Sí, hay varias herramientas similares como Hybrid Analysis, Metadefender, etc. Puedes buscar en línea y encontrarás muchas opciones disponibles.
3. ¿Cuál es la diferencia entre un nombre de dominio y una dirección IP?
Un nombre de dominio es una cadena de texto asignada a una dirección IP, que se utiliza para identificar un recurso en Internet. Por otro lado, una dirección IP es una serie de números que se asigna a un dispositivo para permitir la comunicación en una red.
4. ¿Es necesario ser un experto en ciberseguridad para entender la Pirámide del Dolor?
No es necesario ser un experto, pero tener conocimientos básicos sobre ciberseguridad y conceptos relacionados definitivamente te ayudará a comprender mejor este tema.
¡Espero que este artículo haya sido útil y te haya brindado información interesante sobre la Pirámide del Dolor y cómo aplicarla en la seguridad cibernética! Si te ha gustado este contenido, asegúrate de revisar nuestros otros artículos relacionados en todoforti.net. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!