SlideShare a Scribd company logo

[2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros

Iván Portillo
Iván Portillo

Este documento presenta una discusión sobre la investigación reactiva vs proactiva de amenazas cibernéticas. La investigación reactiva implica analizar un hash malicioso detectado para identificar su naturaleza y posibles vínculos con otras amenazas conocidas. La investigación proactiva implica explorar objetivos potenciales utilizando técnicas de inteligencia como análisis de dominios, IPs, usuarios en redes sociales y más para simular escenarios de amenazas. También se discuten las tácticas, técnicas

Presentations & Public Speaking
1 of 67
Download to read offline
Congreso Online de Ciberinteligencia Julio 2020 #IntelCon2020 La reactividad del forense digital vs la proactividad de la inteligencia de amenazas Iván Portillo y Pedro Cisneros
Congreso Online de Ciberinteligencia | Julio 2020 Índice Whoami Investigación reactiva de una amenaza Investigación proactiva de una amenaza Conclusiones 01 02 03 04
Congreso Online de Ciberinteligencia | Julio 2020 1 Whoami
#IntelCon2020 1 | Whoami • Analista Ciberinteligencia & Seguridad en Big4 • Cofundador de la comunidad de ciberinteligencia Ginseg • Cofundador del congreso sobre ciberinteligencia IntelCon • Profesor Máster de Ciberinteligencia en Campus Internacional de Ciberseguridad / UFV • Profesor Máster en Ciberseguridad y Seguridad de la Información en UCLM • Graduado en Sistemas de Información, postgraduado en Seguridad Informática y de la Información por la UCLM, y postgraduado en Inteligencia por la UNED • Ponente en congresos nacionales (CCN-CERT Labs, Cybercamp, Ciberseg, CyberGasteiz, HC0N, HoneyCON, Osintcity, etc). • +10 años de experiencia en proyectos de ciberseguridad Iván Portillo ivanportillomorales @ivanPorMor
#IntelCon2020 1 | Whoami • Técnico de sistemas • Formación sobre desarrollo de aplicaciones multiplataformas • Curso superior de ciberseguridad por medio de la URJC • Colaborador en la comunidad de ciberinteligencia Ginseg • Dedica su tiempo libre a HTB y THM, al igual que a analizar muestras de malware Pedro Cisneros pedro-cisneros-santana-ab3a1bb5 @W4nn4Die
Congreso Online de Ciberinteligencia | Julio 2020 2 Investigación reactiva de una amenaza
#IntelCon2020 2 | Elementos de una investigación forense RegistroConexiones y Peticiones Aplicaciones Procesos TTPs Actor Relaciones entre elementosElementos forenses
#IntelCon2020 2 | Investigación forense de una amenaza Objetivo Investigación del hash, junto con las posibles relaciones conotros IoCs Donde investigamosTipo de investigación Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna amenaza conocida. El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Identificar posible relación del hash conalgúntipo de amenaza • IBM X-Force • AlienVaultOTX • VirusTotal • HybridAnalysis • Any RUN
#IntelCon2020 2 | Investigación forense de una amenaza - OTX https://otx.alienvault.com/indicator/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Análisis Estático Análisis de RedAnálisis Dinámico Buscamos el hash en la base de datos de AlienVault. En su plataforma podemos observar que el hash es detectado en 10 Pulses relacionados con la amenaza BECnuevamente.
#IntelCon2020 2 | Investigación forense de una amenaza – X-Force https://exchange.xforce.ibmcloud.com/malware/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Detectamos el hash en IBM X-Force dentro de una colección de SilverTerrier sobre COVID-19. Categorizado con un Riesgo Alto, es un SHA256, muestra dirigida a plataformas Windows, visto por primera vez el 30 de marzo de 2020 y por última vez el 21 de mayode 2020.
#IntelCon2020 2 | Investigación forense de una amenaza - X-Force https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c Dentro de la colección mencionada anteriormente, vemos un mini análisis de la amenaza y con la presencia del hash como IoC asociado a la amenaza.
#IntelCon2020 2 | Investigación forense de una amenaza - VirusTotal https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirusy que es un PE EXE.
#IntelCon2020 2 | Investigación forense de una amenaza - VirusTotal https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos posibles relaciones del hash con otros IoCs para obtener hasta donde puede llegar a alcanzar la arquitectura de la amenaza.
#IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox JoeSandbox es otra herramienta online para el análisis de muestras de malware. Realizamos una búsqueda del hash malicioso en su BBDD. https://www.joesandbox.com/search?q=4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
#IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/398053 JoeSandbox permite ver informes emitidos por VT, Metadefender y el propio JoeSanbox.
#IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/251206/0/html JoeSandbox muestra un resumen ejecutivo sobre las evidencias detectadas.
#IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/251206/0/html JoeSandbox muestra todas las evidencias y operaciones bien desglosadas, grafos de procesos, TTPs utilizados, .
#IntelCon2020 2 | Investigación forense de una amenaza – Hybrid Analysis https://www.hybrid-analysis.com/sample/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b/5ec77ef61d4f46518d494215 Buscamos el hash en la base de datos de Hybrid Analysis. Detectamos que la muestra ha sido categorizada como maliciosa por un total de 76% de motores antivirus, dispone de un score de amenaza de 100 sobre 100.
#IntelCon2020 2 | Investigación forense de una amenaza – ANY RUN https://app.any.run/tasks/cc29fa4f-5cd5-4084-bce0-425b3e9cd8cb/ Análisis Dinámico
#IntelCon2020 2 | Investigación forense de una amenaza – ANY RUN Mediante ANY RUN son detectados diversos TTPs asociados al hash analizado.
Congreso Online de Ciberinteligencia | Julio 2020 3 Investigación proactiva de una amenaza
#IntelCon2020 3 | Explorando un objetivo con ciberinteligencia de manera proactiva Dominios y DNS (A, MX), Activos, IPs Rangos Objetivo: Empresa, institución Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? VulnerabilidadesSistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? !
Congreso Online de Ciberinteligencia | Julio 2020 3.1 Tácticas, Técnicas y Procedimientos (TTP) Investigación proactiva de una amenaza
#IntelCon2020 3.1 | Tácticas, Técnicas y Procedimientos (TTP) Las tácticas, técnicas y procedimientos (TTP) describen el comportamiento que tiene un actor malicioso. Los TTPs son utilizados para entender las operaciones ejecutadas de los adversarios (objetivo, como y porque lo usan) y simular escenarios de ataquede maneracontrolada. Táctica Proceso que sigue un adversario para cumplir un objetivo marcado, el cual, puede apoyarse por diversas técnicas para alcanzar dicho fin. Técnica Actividad que utiliza un patrón conocido con el que permite ejecutar los movimientos marcados en la táctica y cumplir así con el objetivo fijado. Procedimiento Guía paso a paso con todas las pautas o acciones a realizar de manera oficial y que deben cumplir el objetivo de obtener el resultado deseado en la parte técnica Las técnicas son las herramientas para ejecutar la actividad, la táctica es la combinación de las técnicas que permiten cumplir con un trabajo concretoy el procedimientoes el estándar definidoque ayudaa hacer el trabajo
#IntelCon2020 3.1 | Tácticas, Técnicas y Procedimientos (TTP) https://attack.mitre.org/tactics /enterprise/ El MITRE ATT&CK es una de las referencias mundiales sobre TTPs. dispone de una base de conocimiento con un modelo donde es categorizado el comportamiento de los adversarios. Táctica Técnica Procedimiento https://attack.mitre.org/techniques/ enterprise/ https://attack.mitre.org /software/
#IntelCon2020 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR https://mitre-attack.github.io/attack-navigator/enterprise/ Simulador de TTPs de MITRE ATT&CK que permite navegar por toda la matriz, seleccionar TTPs de varios actores y visualizar la frecuencia de las técnicas detectadas.
#IntelCon2020 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR
#IntelCon2020 Exportación 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK DeTT&CT utiliza la matriz de MITRE ATT&CK para puntuar y comparar la calidad de los datos recibidos de los logs, la cobertura de visibilidad, cobertura de detección y los diferentes TTPs detectados. El framework DeTT&CK esta desarrollada en Python, utiliza archivos de administración YAML, dispone de un editor propioy de tablas de puntuaciónpara diferentes aspectos. Funcionalidades con el fin de priorizar esfuerzos: • Administray calificala calidadde las fuentes de datos tantoexternas comointernas. • Obtieneinformaciónde la visibilidad. • Mapeatodala coberturade detección. • Mapealos TTPsde los actores maliciosos. • Importación de resultados en ATT&CK Navigator https://github.com/rabobank-cdc/DeTTECT/
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Descargade contenedorde Docker: sudo docker pull rabobankcdc/dettect:latest Ejecutar contenedor docker run -p 8080:8080 -v $(pwd)/output:/opt/DeTTECT/output -v $(pwd)/input:/opt/DeTTECT/input -- name dettect -it rabobankcdc/dettect:latest /bin/bash Acceder a contenedor ya creado docker start -i dettect Ejecuciónde la herramientadentrodel contenedor python dettect.py editor Wiki: https://github.com/rabobank-cdc/DeTTECT/wiki
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK http://localhost:8080/dettect-editor
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Copiamos las muestras de datos que vienen ya en el contenedor y los alojamos en la carpeta /input para poder acceder a ella en la maquina anfitriona si fuera necesario Creamos nuevo ejemplo partiendo de una muestra vacía data-sources-empty.yaml y vamos a simular la Técnica T1071, para ello necesitamos fuentes de datos generadas mediante NetFlow, capturade paquetes, monitorizaciónde procesos y tráfico. https://attack.mitre.org/techniques/T1071/001/ https://attack.mitre.org/techniques/T1071/003/
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos datos sobre IDS, Netflow, analizador de paquetes, Simulamos que tenemos Snort como IDS Simulamos que tenemos zeek y switches como Netflow Simulamos tener un analizador de paquetes con tcpdump
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Guardamos todoen un archivoYAML Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py ds -fd output/data-sources-empty.yaml -l
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK ATT&CK NAVIGATOR https://mitre-attack.github.io/attack-navigator/enterprise/ Accedemos a ATT&CK Navigator y cargamos el JSON generado por DeTT&CT
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos visibilidad.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Seleccionamos la muestra techniques-administration-endpoints.yaml. Ejemplo de visibilidad
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Seleccionamos la subtécnicaT1071.001, le indicamos que tenga una detecciónbuenay una muy buenavisibilidad Ejemplo de visibilidad
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Guardamos todas las modificaciones de las técnicas en un archivo YAML y generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML asociadas a las fuentes de datos facilitadas. Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py v -ft output/techniques-administration-endpoints.yaml -fd output/data-sources-empty.yaml -l Ejemplo de visibilidad
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de visibilidad Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos visibilidad.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py d -ft output/techniques-administration-endpoints.yaml -l Ejemplo de detección Generamos un JSON de detección de las técnicas seleccionadas en el YAML.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de detección
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Copiamos las muestras de datos sobre actores que vienen ya en el contenedor y los alojamos en la carpeta /input para poder acceder a ella en la maquina anfitriona si fuera necesario Seleccionamos la muestra techniques-administration-endpoints.yaml y lo abrimos dentro del modulo de análisis de grupos.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos un JSON a partir del fichero YAML resultante dentro del contenedor. python dettect.py g -g input/threat-actor-data/20200306- CrowdStrike.yaml -o output/techniques-administration- endpoints.yaml -t visibility Ejemplo de visibilidad con grupos Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de visibilidad Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos un JSON a partir del fichero YAML resultante dentro del contenedor. python dettect.py g -g input/threat-actor-data/20200306- CrowdStrike.yaml -o output/techniques-administration- endpoints.yaml -t detection Ejemplo de detección con grupos Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
#IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de detección Generamos un JSON de detección de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
Congreso Online de Ciberinteligencia | Julio 2020 3.2 Analizando amenazas con Yeti Investigación proactiva de una amenaza
#IntelCon2020 3.2 | Analizando amenazas con Yeti Yeti es una plataforma enfocada a la organización de observables y la recopilación de indicadores de compromiso (IoC) y TTPs relacionados a estos. Esta herramienta esta ideada para agrupar en un único repositorio todo el conocimiento sobre inteligencia de amenazas con el fin de descubrir y analizar posibles relaciones entre los IoC. Yeti enriquece automáticamente todos los observables de manera transparente para el usuario y proporciona una interfaz atractiva para él. Es un proyecto independiente que tuvo la ayuda del equipo del CERT Société Générale para probar la propia herramienta y orientar en el desarrollo de este. Yeti está pensado para hacer que la gestión de la inteligencia de amenazas sea rápida, eficiente e interoperable. https://ginseg.com/comunidad/plataformas-ciberinteligencia/yeti-your-everyday-threat-intelligence-platform/
#IntelCon2020 3.2 | Analizando amenazas con Yeti Características básicas: • Proyecto open-source desarrollado en python y JavaScript. • Permite crear un observablepor cadaamenazaa analizar y agrupar todas las evidencias sobreIoC en su interior. • Permite visualizar gráficamentelas relaciones entre las diversas amenazas, IoC, actores, etc. • Yeti incluye características orientadas a los datos, como los feeds, los análisis y las exportaciones, pero también cuenta con información de más alto nivel, como la descripción de los TTPs y su vinculación con diferentes actores. • Yeti es capaz de importar diversostipos de formatos(XML, JSON, STIX, bulkde datos,PDF, etc) e integrarlos en la plataforma. • Permite exportar los resultados en cualquier formato definido por el usuario, además de integrarlos con soluciones de terceros (think blocklist, SIEM). • API flexible para integrar Yeti con otras soluciones. A través de la librería de Python PYETI puedes automatizar todas las consultas deseadas desde cualquier tipo de feed. • Utiliza la basede datos MongoDBparaalmacenar todos losfeeds, observables y cualquier tipode dato a guardar. • Usa Redis y Celery para comunicar todas las peticiones de los diferentes servicios que interactúan con Yeti manteniendo una gestión de tareas con todos losprocesos. • Yeti es capaz de comunicarse con MISP enviando información desde las comunidades de MISP hasta esta plataforma. Además, el proyecto TheHive, a través de Cortex, puede utilizar Yeti comofuente de enriquecimientoparaartefactos de red.
#IntelCon2020 3.2 | Analizando amenazas con Yeti https://yeti-platform.github.io/ Instalaciónde Yeti git clone https://github.com/yeti-platform/yeti.git cd yeti/extras/docker/dev sudo docker-compose up Acceder a plataforma http://localhost:5000/observable/ Documentación Yeti https://yeti-platform.readthedocs.io/en/latest/use- cases.html#documenting-malware-intelligence
#IntelCon2020 3.2 | Analizando amenazas con Yeti Seleccionamosinvestigación de IBM X-Force https://exchange.xforce.ibmcloud.com/collection/c97550188a dcec90fc36c7f8373ceb4c Copiamos el IoCpresenteen la colección 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1 449894892f125b
#IntelCon2020 3.2 | Analizando amenazas con Yeti Seleccionamosinvestigación https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/
#IntelCon2020 3.2 | Analizando amenazas con Yeti Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
#IntelCon2020 3.2 | Analizando amenazas con Yeti Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
#IntelCon2020 3.2 | Analizando amenazas con Yeti Resultado final de la investigación
Congreso Online de Ciberinteligencia | Julio 2020 3.3 Analizando amenazas con TheHive Investigación proactiva de una amenaza
#IntelCon2020 3.3 | Analizando amenazas con TheHive Características: • Permite crear casos forense a investigar. • Cada caso puede disponer de tareas a analizar. • Algunos casos pueden compartir la misma estructura (etiquetas, tareas, descripción, métricas). • Permite definir plantillas especificas para amenazas concretas. • Integración con todos los observables disponibles en Cortex para obtener información sobre el caso. • Dispone de plantillas de informes breves y en detalle por cada observable. • Dispone de métricas de los observables y casos analizados https://github.com/TheHive-Project/TheHive https://thehive-project.org/ TheHive es una Plataforma de Respuesta a Incidentes de Seguridad escalable, de código abierto y gratuita, diseñada para ayudar en la operativa interna de un SOC, CSIRT, CERT y de cualquier profesional de la seguridad de la información.
#IntelCon2020 3.3 | Analizando amenazas con TheHive OVA TheHive Contiene: • TheHive • Cortex • TheHive4py • Cortex4py • Cortex analyzers & responder Enlace: https://drive.google.com/open?id=1v_8GMdXrZnWRiW2X5zw6fXY nCjUD2DPm OVAMISP Enlace: https://www.circl.lu/misp-images/latest/
#IntelCon2020 3.3 | Analizando amenazas con TheHive • Sistema (OVA): thehive/thehive1234 • URL: http://IP_OF_VM:9000 • Web: admin/thehive1234 • Sistema (OVA): thehive/thehive1234 • URL: http://IP_OF_VM:9001 • Web (SuperAdmin): admin/thehive1234 • Web (Org Admin): thehive/thehive1234 • Sistema (OVA): misp/Password1234 • URL: https://IP_OF_VM • Credenciales: admin@admin.test/admin
#IntelCon2020 3.3 | Analizando amenazas con TheHive Métricas personalizables de casos forenses • Ejemplo plantillasobrecaso: https://github.com/TheHive- Project/TheHive- Resources/tree/master/case_templates/vulnerable • AwesomeTheHive: https://github.com/TheHive-Project/awesome • Documentación: https://github.com/TheHive-Project/TheHiveDocs • Paquetecon todas las plantillas de reportes: https://dl.bintray.com/thehive-project/binary/report-templates.zip
#IntelCon2020 3.3 | Analizando amenazas con TheHive Máquina MISP Modificar Dirección IP en base_url Ruta: sudo vi /var/www/MISP/app/Config/config.php Dejar comillas únicamente: ‘baseurl’=> ‘’ ‘external_baseurl’=> ‘’ Reiniciar el servicio de apache2 sudo service apache2 restart Corrección en la OVA Oficial de MISP
#IntelCon2020 3.3 | Analizando amenazas con TheHive Máquina TheHive Integrar MISP con TheHive • Acceder a maquina TheHive • Abrir fichero de configuración de TheHive ▪ sudo nano /etc/thehive/application.conf • Modificar valores url y key con datos de MISP • Descomentar valores max-attributes y max-age Reiniciar servicio de TheHive sudo service thehive restart Enlazar TheHive con MISP
#IntelCon2020 3.3 | Analizando amenazas con TheHive Caso a investigar: https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c https://otx.alienvault.com/pulse/5ebd49f1d79dd0fc894c5bc1 IoCs a investigar: • 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b • welheadcontrol.com • posqit.net • 185.126.202.111
Congreso Online de Ciberinteligencia | Julio 2020 4 Conclusiones
#IntelCon2020 4 | Conclusiones • Hay que dedicar tiempo, recursos y esfuerzo en analizar indicios maliciosos de manera proactiva • Los analistas forenses empiezan a trabajar cuando el incidente ya ha ocurrido, estando un paso por detrás de los actores maliciosos • Disponer de una base de datos sobre incidentes pasados, tantos internos como externos a la organización • La inteligencia de amenazas no trata de recolectar únicamente indicadores sobre amenazas o información sobre adversarios • Si tratamos una amenaza desde el punto de vista de la ciberinteligencia, tenemos que ser capaces de responder a las famosas preguntas de quienes son, que usan, donde atacan, cuando actúan, por que atacan y como operan los adversarios • El valor del conocimiento generado del análisis reactivo de los casos forenses combinándolo con técnicas empleadas a través de la ciberinteligencia de manera proactiva
Congreso Online de Ciberinteligencia | Julio 2020 #IntelCon2020 Gracias por la atención

Recommended

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 

Recommended

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGHacking Bolivia
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]Eduardo Arriols Nuñez
 
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remingtoncarolinaromero05
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 
EthelHub Presentación Corporativa 2017
EthelHub Presentación Corporativa 2017EthelHub Presentación Corporativa 2017
EthelHub Presentación Corporativa 2017Carlos Crisóstomo Vals
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentesSecpro - Security Professionals
 
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad CórdobaII Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdobamiguel_arroyo76
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Mateo Martinez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informacióneccutpl
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking eticoVicente Lingan
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 

More Related Content

What's hot

Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGHacking Bolivia
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...RootedCON
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad CórdobaII Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdobamiguel_arroyo76
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Mateo Martinez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informacióneccutpl
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 

What's hot (20)

Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTING
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
EthelHub Presentación Corporativa 2017
EthelHub Presentación Corporativa 2017EthelHub Presentación Corporativa 2017
EthelHub Presentación Corporativa 2017
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad CórdobaII Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
II Taller Hacking Ético - Hackeando éticamente tu router - Universidad Córdoba
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras
 
Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016Open source tools for Incident Response bogota 2016
Open source tools for Incident Response bogota 2016
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
 

Similar to [2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros

Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Security de Hacking-etico-.pdf
Security de Hacking-etico-.pdfSecurity de Hacking-etico-.pdf
Security de Hacking-etico-.pdfLuisMuoz394308
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forensemelida19
 
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Randy Varela
 
Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos ToriMar Rubio Rubio
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...HelpSystems
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security Panda Security
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxfernandojh
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 

Similar to [2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros (20)

2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Security de Hacking-etico-.pdf
Security de Hacking-etico-.pdfSecurity de Hacking-etico-.pdf
Security de Hacking-etico-.pdf
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
Threat intelligence workshop randy varela - pwnedcr0 x04 - 2021
 
Informe Campus Party 2013
Informe Campus Party 2013Informe Campus Party 2013
Informe Campus Party 2013
 
Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos Tori
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Administración de la seguridad
Administración de la seguridadAdministración de la seguridad
Administración de la seguridad
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 

Recently uploaded

GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxGESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxCarlosRizos
 
412414553-La-Globalizacion-en-El-Arte.pptx
412414553-La-Globalizacion-en-El-Arte.pptx412414553-La-Globalizacion-en-El-Arte.pptx
412414553-La-Globalizacion-en-El-Arte.pptxAndresSantana60
 
Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024KellySue4
 
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaS.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaRodrigoReynaldo1
 
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na CoruñaCURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruñaanoiteenecesaria
 
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoCURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoanoiteenecesaria
 

Recently uploaded (6)

GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxGESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
 
412414553-La-Globalizacion-en-El-Arte.pptx
412414553-La-Globalizacion-en-El-Arte.pptx412414553-La-Globalizacion-en-El-Arte.pptx
412414553-La-Globalizacion-en-El-Arte.pptx
 
Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024
 
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaS.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
 
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na CoruñaCURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
 
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoCURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
 

[2020] Taller IntelCon - La reactividad del forense digital vs la proactividad de la inteligencia de amenazas - Ivan Portillo y Pedro Cisneros

  • 1. Congreso Online de Ciberinteligencia Julio 2020 #IntelCon2020 La reactividad del forense digital vs la proactividad de la inteligencia de amenazas Iván Portillo y Pedro Cisneros
  • 2. Congreso Online de Ciberinteligencia | Julio 2020 Índice Whoami Investigación reactiva de una amenaza Investigación proactiva de una amenaza Conclusiones 01 02 03 04
  • 3. Congreso Online de Ciberinteligencia | Julio 2020 1 Whoami
  • 4. #IntelCon2020 1 | Whoami • Analista Ciberinteligencia & Seguridad en Big4 • Cofundador de la comunidad de ciberinteligencia Ginseg • Cofundador del congreso sobre ciberinteligencia IntelCon • Profesor Máster de Ciberinteligencia en Campus Internacional de Ciberseguridad / UFV • Profesor Máster en Ciberseguridad y Seguridad de la Información en UCLM • Graduado en Sistemas de Información, postgraduado en Seguridad Informática y de la Información por la UCLM, y postgraduado en Inteligencia por la UNED • Ponente en congresos nacionales (CCN-CERT Labs, Cybercamp, Ciberseg, CyberGasteiz, HC0N, HoneyCON, Osintcity, etc). • +10 años de experiencia en proyectos de ciberseguridad Iván Portillo ivanportillomorales @ivanPorMor
  • 5. #IntelCon2020 1 | Whoami • Técnico de sistemas • Formación sobre desarrollo de aplicaciones multiplataformas • Curso superior de ciberseguridad por medio de la URJC • Colaborador en la comunidad de ciberinteligencia Ginseg • Dedica su tiempo libre a HTB y THM, al igual que a analizar muestras de malware Pedro Cisneros pedro-cisneros-santana-ab3a1bb5 @W4nn4Die
  • 6. Congreso Online de Ciberinteligencia | Julio 2020 2 Investigación reactiva de una amenaza
  • 7. #IntelCon2020 2 | Elementos de una investigación forense RegistroConexiones y Peticiones Aplicaciones Procesos TTPs Actor Relaciones entre elementosElementos forenses
  • 8. #IntelCon2020 2 | Investigación forense de una amenaza Objetivo Investigación del hash, junto con las posibles relaciones conotros IoCs Donde investigamosTipo de investigación Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna amenaza conocida. El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Identificar posible relación del hash conalgúntipo de amenaza • IBM X-Force • AlienVaultOTX • VirusTotal • HybridAnalysis • Any RUN
  • 9. #IntelCon2020 2 | Investigación forense de una amenaza - OTX https://otx.alienvault.com/indicator/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Análisis Estático Análisis de RedAnálisis Dinámico Buscamos el hash en la base de datos de AlienVault. En su plataforma podemos observar que el hash es detectado en 10 Pulses relacionados con la amenaza BECnuevamente.
  • 10. #IntelCon2020 2 | Investigación forense de una amenaza – X-Force https://exchange.xforce.ibmcloud.com/malware/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Detectamos el hash en IBM X-Force dentro de una colección de SilverTerrier sobre COVID-19. Categorizado con un Riesgo Alto, es un SHA256, muestra dirigida a plataformas Windows, visto por primera vez el 30 de marzo de 2020 y por última vez el 21 de mayode 2020.
  • 11. #IntelCon2020 2 | Investigación forense de una amenaza - X-Force https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c Dentro de la colección mencionada anteriormente, vemos un mini análisis de la amenaza y con la presencia del hash como IoC asociado a la amenaza.
  • 12. #IntelCon2020 2 | Investigación forense de una amenaza - VirusTotal https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirusy que es un PE EXE.
  • 13. #IntelCon2020 2 | Investigación forense de una amenaza - VirusTotal https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos posibles relaciones del hash con otros IoCs para obtener hasta donde puede llegar a alcanzar la arquitectura de la amenaza.
  • 14. #IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox JoeSandbox es otra herramienta online para el análisis de muestras de malware. Realizamos una búsqueda del hash malicioso en su BBDD. https://www.joesandbox.com/search?q=4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
  • 15. #IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/398053 JoeSandbox permite ver informes emitidos por VT, Metadefender y el propio JoeSanbox.
  • 16. #IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/251206/0/html JoeSandbox muestra un resumen ejecutivo sobre las evidencias detectadas.
  • 17. #IntelCon2020 2 | Investigación forense de una amenaza – JoeSandbox https://www.joesandbox.com/analysis/251206/0/html JoeSandbox muestra todas las evidencias y operaciones bien desglosadas, grafos de procesos, TTPs utilizados, .
  • 18. #IntelCon2020 2 | Investigación forense de una amenaza – Hybrid Analysis https://www.hybrid-analysis.com/sample/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b/5ec77ef61d4f46518d494215 Buscamos el hash en la base de datos de Hybrid Analysis. Detectamos que la muestra ha sido categorizada como maliciosa por un total de 76% de motores antivirus, dispone de un score de amenaza de 100 sobre 100.
  • 19. #IntelCon2020 2 | Investigación forense de una amenaza – ANY RUN https://app.any.run/tasks/cc29fa4f-5cd5-4084-bce0-425b3e9cd8cb/ Análisis Dinámico
  • 20. #IntelCon2020 2 | Investigación forense de una amenaza – ANY RUN Mediante ANY RUN son detectados diversos TTPs asociados al hash analizado.
  • 21. Congreso Online de Ciberinteligencia | Julio 2020 3 Investigación proactiva de una amenaza
  • 22. #IntelCon2020 3 | Explorando un objetivo con ciberinteligencia de manera proactiva Dominios y DNS (A, MX), Activos, IPs Rangos Objetivo: Empresa, institución Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? VulnerabilidadesSistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? !
  • 23. Congreso Online de Ciberinteligencia | Julio 2020 3.1 Tácticas, Técnicas y Procedimientos (TTP) Investigación proactiva de una amenaza
  • 24. #IntelCon2020 3.1 | Tácticas, Técnicas y Procedimientos (TTP) Las tácticas, técnicas y procedimientos (TTP) describen el comportamiento que tiene un actor malicioso. Los TTPs son utilizados para entender las operaciones ejecutadas de los adversarios (objetivo, como y porque lo usan) y simular escenarios de ataquede maneracontrolada. Táctica Proceso que sigue un adversario para cumplir un objetivo marcado, el cual, puede apoyarse por diversas técnicas para alcanzar dicho fin. Técnica Actividad que utiliza un patrón conocido con el que permite ejecutar los movimientos marcados en la táctica y cumplir así con el objetivo fijado. Procedimiento Guía paso a paso con todas las pautas o acciones a realizar de manera oficial y que deben cumplir el objetivo de obtener el resultado deseado en la parte técnica Las técnicas son las herramientas para ejecutar la actividad, la táctica es la combinación de las técnicas que permiten cumplir con un trabajo concretoy el procedimientoes el estándar definidoque ayudaa hacer el trabajo
  • 25. #IntelCon2020 3.1 | Tácticas, Técnicas y Procedimientos (TTP) https://attack.mitre.org/tactics /enterprise/ El MITRE ATT&CK es una de las referencias mundiales sobre TTPs. dispone de una base de conocimiento con un modelo donde es categorizado el comportamiento de los adversarios. Táctica Técnica Procedimiento https://attack.mitre.org/techniques/ enterprise/ https://attack.mitre.org /software/
  • 26. #IntelCon2020 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR https://mitre-attack.github.io/attack-navigator/enterprise/ Simulador de TTPs de MITRE ATT&CK que permite navegar por toda la matriz, seleccionar TTPs de varios actores y visualizar la frecuencia de las técnicas detectadas.
  • 27. #IntelCon2020 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR
  • 28. #IntelCon2020 Exportación 3.1 | Simulación de TTPs - ATT&CK NAVIGATOR
  • 29. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK DeTT&CT utiliza la matriz de MITRE ATT&CK para puntuar y comparar la calidad de los datos recibidos de los logs, la cobertura de visibilidad, cobertura de detección y los diferentes TTPs detectados. El framework DeTT&CK esta desarrollada en Python, utiliza archivos de administración YAML, dispone de un editor propioy de tablas de puntuaciónpara diferentes aspectos. Funcionalidades con el fin de priorizar esfuerzos: • Administray calificala calidadde las fuentes de datos tantoexternas comointernas. • Obtieneinformaciónde la visibilidad. • Mapeatodala coberturade detección. • Mapealos TTPsde los actores maliciosos. • Importación de resultados en ATT&CK Navigator https://github.com/rabobank-cdc/DeTTECT/
  • 30. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Descargade contenedorde Docker: sudo docker pull rabobankcdc/dettect:latest Ejecutar contenedor docker run -p 8080:8080 -v $(pwd)/output:/opt/DeTTECT/output -v $(pwd)/input:/opt/DeTTECT/input -- name dettect -it rabobankcdc/dettect:latest /bin/bash Acceder a contenedor ya creado docker start -i dettect Ejecuciónde la herramientadentrodel contenedor python dettect.py editor Wiki: https://github.com/rabobank-cdc/DeTTECT/wiki
  • 31. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK http://localhost:8080/dettect-editor
  • 32. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Copiamos las muestras de datos que vienen ya en el contenedor y los alojamos en la carpeta /input para poder acceder a ella en la maquina anfitriona si fuera necesario Creamos nuevo ejemplo partiendo de una muestra vacía data-sources-empty.yaml y vamos a simular la Técnica T1071, para ello necesitamos fuentes de datos generadas mediante NetFlow, capturade paquetes, monitorizaciónde procesos y tráfico. https://attack.mitre.org/techniques/T1071/001/ https://attack.mitre.org/techniques/T1071/003/
  • 33. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos datos sobre IDS, Netflow, analizador de paquetes, Simulamos que tenemos Snort como IDS Simulamos que tenemos zeek y switches como Netflow Simulamos tener un analizador de paquetes con tcpdump
  • 34. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Guardamos todoen un archivoYAML Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py ds -fd output/data-sources-empty.yaml -l
  • 35. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK ATT&CK NAVIGATOR https://mitre-attack.github.io/attack-navigator/enterprise/ Accedemos a ATT&CK Navigator y cargamos el JSON generado por DeTT&CT
  • 36. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos visibilidad.
  • 37. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Seleccionamos la muestra techniques-administration-endpoints.yaml. Ejemplo de visibilidad
  • 38. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Seleccionamos la subtécnicaT1071.001, le indicamos que tenga una detecciónbuenay una muy buenavisibilidad Ejemplo de visibilidad
  • 39. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Guardamos todas las modificaciones de las técnicas en un archivo YAML y generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML asociadas a las fuentes de datos facilitadas. Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py v -ft output/techniques-administration-endpoints.yaml -fd output/data-sources-empty.yaml -l Ejemplo de visibilidad
  • 40. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de visibilidad Técnicas detectadas en función de los datos generados, cuanto más oscuro mas visibilidad de las técnicas y cuanto más claro menos visibilidad.
  • 41. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamosun JSONa partir del ficheroYAMLresultantedentrodel contenedor. python dettect.py d -ft output/techniques-administration-endpoints.yaml -l Ejemplo de detección Generamos un JSON de detección de las técnicas seleccionadas en el YAML.
  • 42. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de detección
  • 43. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Copiamos las muestras de datos sobre actores que vienen ya en el contenedor y los alojamos en la carpeta /input para poder acceder a ella en la maquina anfitriona si fuera necesario Seleccionamos la muestra techniques-administration-endpoints.yaml y lo abrimos dentro del modulo de análisis de grupos.
  • 44. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos un JSON a partir del fichero YAML resultante dentro del contenedor. python dettect.py g -g input/threat-actor-data/20200306- CrowdStrike.yaml -o output/techniques-administration- endpoints.yaml -t visibility Ejemplo de visibilidad con grupos Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
  • 45. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de visibilidad Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
  • 46. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Generamos un JSON a partir del fichero YAML resultante dentro del contenedor. python dettect.py g -g input/threat-actor-data/20200306- CrowdStrike.yaml -o output/techniques-administration- endpoints.yaml -t detection Ejemplo de detección con grupos Generamos un JSON de visibilidad de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
  • 47. #IntelCon2020 3.1 | Simulación de TTPs – DeTT&CK Ejemplo de detección Generamos un JSON de detección de las técnicas seleccionadas en el YAML incluidas dentro de los resultados de CrowdStrike.
  • 48. Congreso Online de Ciberinteligencia | Julio 2020 3.2 Analizando amenazas con Yeti Investigación proactiva de una amenaza
  • 49. #IntelCon2020 3.2 | Analizando amenazas con Yeti Yeti es una plataforma enfocada a la organización de observables y la recopilación de indicadores de compromiso (IoC) y TTPs relacionados a estos. Esta herramienta esta ideada para agrupar en un único repositorio todo el conocimiento sobre inteligencia de amenazas con el fin de descubrir y analizar posibles relaciones entre los IoC. Yeti enriquece automáticamente todos los observables de manera transparente para el usuario y proporciona una interfaz atractiva para él. Es un proyecto independiente que tuvo la ayuda del equipo del CERT Société Générale para probar la propia herramienta y orientar en el desarrollo de este. Yeti está pensado para hacer que la gestión de la inteligencia de amenazas sea rápida, eficiente e interoperable. https://ginseg.com/comunidad/plataformas-ciberinteligencia/yeti-your-everyday-threat-intelligence-platform/
  • 50. #IntelCon2020 3.2 | Analizando amenazas con Yeti Características básicas: • Proyecto open-source desarrollado en python y JavaScript. • Permite crear un observablepor cadaamenazaa analizar y agrupar todas las evidencias sobreIoC en su interior. • Permite visualizar gráficamentelas relaciones entre las diversas amenazas, IoC, actores, etc. • Yeti incluye características orientadas a los datos, como los feeds, los análisis y las exportaciones, pero también cuenta con información de más alto nivel, como la descripción de los TTPs y su vinculación con diferentes actores. • Yeti es capaz de importar diversostipos de formatos(XML, JSON, STIX, bulkde datos,PDF, etc) e integrarlos en la plataforma. • Permite exportar los resultados en cualquier formato definido por el usuario, además de integrarlos con soluciones de terceros (think blocklist, SIEM). • API flexible para integrar Yeti con otras soluciones. A través de la librería de Python PYETI puedes automatizar todas las consultas deseadas desde cualquier tipo de feed. • Utiliza la basede datos MongoDBparaalmacenar todos losfeeds, observables y cualquier tipode dato a guardar. • Usa Redis y Celery para comunicar todas las peticiones de los diferentes servicios que interactúan con Yeti manteniendo una gestión de tareas con todos losprocesos. • Yeti es capaz de comunicarse con MISP enviando información desde las comunidades de MISP hasta esta plataforma. Además, el proyecto TheHive, a través de Cortex, puede utilizar Yeti comofuente de enriquecimientoparaartefactos de red.
  • 51. #IntelCon2020 3.2 | Analizando amenazas con Yeti https://yeti-platform.github.io/ Instalaciónde Yeti git clone https://github.com/yeti-platform/yeti.git cd yeti/extras/docker/dev sudo docker-compose up Acceder a plataforma http://localhost:5000/observable/ Documentación Yeti https://yeti-platform.readthedocs.io/en/latest/use- cases.html#documenting-malware-intelligence
  • 52. #IntelCon2020 3.2 | Analizando amenazas con Yeti Seleccionamosinvestigación de IBM X-Force https://exchange.xforce.ibmcloud.com/collection/c97550188a dcec90fc36c7f8373ceb4c Copiamos el IoCpresenteen la colección 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1 449894892f125b
  • 53. #IntelCon2020 3.2 | Analizando amenazas con Yeti Seleccionamosinvestigación https://unit42.paloaltonetworks.com/silverterrier-covid-19-themed-business-email-compromise/
  • 54. #IntelCon2020 3.2 | Analizando amenazas con Yeti Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
  • 55. #IntelCon2020 3.2 | Analizando amenazas con Yeti Detecta todos los IoCs del enlace introducido, los selecciona y los importa a Yeti
  • 56. #IntelCon2020 3.2 | Analizando amenazas con Yeti Resultado final de la investigación
  • 57. Congreso Online de Ciberinteligencia | Julio 2020 3.3 Analizando amenazas con TheHive Investigación proactiva de una amenaza
  • 58. #IntelCon2020 3.3 | Analizando amenazas con TheHive Características: • Permite crear casos forense a investigar. • Cada caso puede disponer de tareas a analizar. • Algunos casos pueden compartir la misma estructura (etiquetas, tareas, descripción, métricas). • Permite definir plantillas especificas para amenazas concretas. • Integración con todos los observables disponibles en Cortex para obtener información sobre el caso. • Dispone de plantillas de informes breves y en detalle por cada observable. • Dispone de métricas de los observables y casos analizados https://github.com/TheHive-Project/TheHive https://thehive-project.org/ TheHive es una Plataforma de Respuesta a Incidentes de Seguridad escalable, de código abierto y gratuita, diseñada para ayudar en la operativa interna de un SOC, CSIRT, CERT y de cualquier profesional de la seguridad de la información.
  • 59. #IntelCon2020 3.3 | Analizando amenazas con TheHive OVA TheHive Contiene: • TheHive • Cortex • TheHive4py • Cortex4py • Cortex analyzers & responder Enlace: https://drive.google.com/open?id=1v_8GMdXrZnWRiW2X5zw6fXY nCjUD2DPm OVAMISP Enlace: https://www.circl.lu/misp-images/latest/
  • 60. #IntelCon2020 3.3 | Analizando amenazas con TheHive • Sistema (OVA): thehive/thehive1234 • URL: http://IP_OF_VM:9000 • Web: admin/thehive1234 • Sistema (OVA): thehive/thehive1234 • URL: http://IP_OF_VM:9001 • Web (SuperAdmin): admin/thehive1234 • Web (Org Admin): thehive/thehive1234 • Sistema (OVA): misp/Password1234 • URL: https://IP_OF_VM • Credenciales: admin@admin.test/admin
  • 61. #IntelCon2020 3.3 | Analizando amenazas con TheHive Métricas personalizables de casos forenses • Ejemplo plantillasobrecaso: https://github.com/TheHive- Project/TheHive- Resources/tree/master/case_templates/vulnerable • AwesomeTheHive: https://github.com/TheHive-Project/awesome • Documentación: https://github.com/TheHive-Project/TheHiveDocs • Paquetecon todas las plantillas de reportes: https://dl.bintray.com/thehive-project/binary/report-templates.zip
  • 62. #IntelCon2020 3.3 | Analizando amenazas con TheHive Máquina MISP Modificar Dirección IP en base_url Ruta: sudo vi /var/www/MISP/app/Config/config.php Dejar comillas únicamente: ‘baseurl’=> ‘’ ‘external_baseurl’=> ‘’ Reiniciar el servicio de apache2 sudo service apache2 restart Corrección en la OVA Oficial de MISP
  • 63. #IntelCon2020 3.3 | Analizando amenazas con TheHive Máquina TheHive Integrar MISP con TheHive • Acceder a maquina TheHive • Abrir fichero de configuración de TheHive ▪ sudo nano /etc/thehive/application.conf • Modificar valores url y key con datos de MISP • Descomentar valores max-attributes y max-age Reiniciar servicio de TheHive sudo service thehive restart Enlazar TheHive con MISP
  • 64. #IntelCon2020 3.3 | Analizando amenazas con TheHive Caso a investigar: https://exchange.xforce.ibmcloud.com/collection/c97550188adcec90fc36c7f8373ceb4c https://otx.alienvault.com/pulse/5ebd49f1d79dd0fc894c5bc1 IoCs a investigar: • 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b • welheadcontrol.com • posqit.net • 185.126.202.111
  • 65. Congreso Online de Ciberinteligencia | Julio 2020 4 Conclusiones
  • 66. #IntelCon2020 4 | Conclusiones • Hay que dedicar tiempo, recursos y esfuerzo en analizar indicios maliciosos de manera proactiva • Los analistas forenses empiezan a trabajar cuando el incidente ya ha ocurrido, estando un paso por detrás de los actores maliciosos • Disponer de una base de datos sobre incidentes pasados, tantos internos como externos a la organización • La inteligencia de amenazas no trata de recolectar únicamente indicadores sobre amenazas o información sobre adversarios • Si tratamos una amenaza desde el punto de vista de la ciberinteligencia, tenemos que ser capaces de responder a las famosas preguntas de quienes son, que usan, donde atacan, cuando actúan, por que atacan y como operan los adversarios • El valor del conocimiento generado del análisis reactivo de los casos forenses combinándolo con técnicas empleadas a través de la ciberinteligencia de manera proactiva
  • 67. Congreso Online de Ciberinteligencia | Julio 2020 #IntelCon2020 Gracias por la atención