Nounou Mbeiri
2021
Soy ingeniero en Sistemas de Información, Redes y Ciberseguridad, multilingüe con experiencia en administración de sistemas, Redes y ciberseguridad. Pasión por el Blue Team y en la seguridad de la información y en todo lo que tenga que ver con la tecnología.
Apoyo y Difusión
![]()
Ponencia 2021
Caracterización del Ransomware Ryuk utilizando las herramientas de CTI
El trabajo diario de un analista CTI (cyber threat intelligence) suele ser investigar sobre los grupos APTs que tienen interés de actuar contra su organización, es decir, quién es el enemigo, cuáles son sus adjetivos, cuáles son sus capacidades tácticas, técnicas, patrones de ataques, las herramientas que utiliza, etc., con el fin de caracterizar su comportamiento y priorizar de manera más practica la defensa de su organización.
Durante este taller hablaré sobre cómo aterrizar todo este proceso CTI, paso a paso, en un caso práctico utilizando los estándares y las herramientas opensource de CTI y la amenaza Ryuk, siendo una amenaza muy dañina, con el objetivo de actuar contra las entidades gubernamentales, los hospitales, y las grandes empresas y de ahí su relevancia para la comunidad.
Veremos la potencia y la utilidad de utilizar los estándares y las herramientas CTI para ayudar a los analistas a caracterizar los TTPs y agilizar el intercambio de información sobre diferentes tipos de amenaza.
Para tratar y analizar la información sobre amenazas utilizaremos:
Durante este taller hablaré sobre cómo aterrizar todo este proceso CTI, paso a paso, en un caso práctico utilizando los estándares y las herramientas opensource de CTI y la amenaza Ryuk, siendo una amenaza muy dañina, con el objetivo de actuar contra las entidades gubernamentales, los hospitales, y las grandes empresas y de ahí su relevancia para la comunidad.
Veremos la potencia y la utilidad de utilizar los estándares y las herramientas CTI para ayudar a los analistas a caracterizar los TTPs y agilizar el intercambio de información sobre diferentes tipos de amenaza.
Para tratar y analizar la información sobre amenazas utilizaremos:
- STIX2: Estándar de serialización, el más utilizado actualmente, para intercambiar el conocimiento sobre ciberamenazas que nos va a permitir representar todo el conocimiento de inteligencia que hemos podido recopilar de la fase de Obtención en un formato adecuando para el análisis.
- OPENCTI: Plataforma que nos va a permitir guardar, gestionar, visualizar y compartir el conocimiento de la Inteligencia sobre Amenazas.
- Maltego: Herramienta OSINT que nos va a permitir exportar el conocimiento de inteligencia desde OPENCTI, enriqueciendo nuestras investigaciones de Inteligencia sobre Amenazas.
Taller
Análisis profundo de los TTPs con el uso MitreAttack-CTI
Hoy en día es de primordial importancia utilizar el framework de Mitre Attack para el análisis de ciberamenazas. Dicho framework permite a un analista buscar información sobre los APTs, TTPs, detecciones y mitigaciones que han sido observadas en el mundo de las ciberamenazas.
Una metodología de análisis de las Amenazas Persistentes Avanzadas (APTs) podría consistir en usar la potente herramienta Mitre-Assistant. Otra metodología útil sería exportar y analizar la base de datos Mitre Attack con la herramienta de análisis de datos Jupyter Notebook.
Estas metodologías de análisis nos van a permitir tener una visión y un entendimiento muy profundo de los TTPs a la hora de perfilar un APT. Es decir, tener el poder de ver dónde está centrado el esfuerzo de las técnicas a la hora de lograr una táctica, si tenemos una telemetría para la detección, mitigación o perfil de emulación, etc. Además nos va a poder facilitar el análisis toda esa información y contextualizar la amenaza de forma rápida, accionable y hacer la vida del analista de ciberamenazas mucho más fácil.
Voy a elegir un APT relevante como ejemplo para el análisis.Dicho proceso de análisis va a estar enfocado específicamente al nivel operacional y técnico del threat actor(APT). En primer lugar, enseñaré la utilidad de la herramienta Mitre-Assistant y luego me centraré en la segunda metodología que consiste en el análisis de la colección TAXII de MitreAttack con la herramienta de análisis de datos Jupyter Notebook.Primero obtendré información de dicho APT y luego iré sacando y analizando las Tácticas, Técnicas y Procedimientos (TTPs), malwares, herramientas, y patrones de ataque. Después correlacionaré los TTPs con las diferentes fases de intrusión de MitreAttack para tener una visión con un contexto más relevante sobre la amenaza (APT).
Iré también enseñando cómo mapear esos TTPs analizados del paso previo a las fuentes de datos de mitigación y detección de MitreAttack que nos van a permitir tener información muy relevante sobre cómo detectar esos TTPs en nuestro sistema de información y cómo prevenir y mitigar su impacto.
Por último enseñaré la utilidad de mapear los TTPs del threat actor(APT) al proyecto (OSSEM) Detection Model (DM) que nos va a permitir tener una capa adicional donde podemos tener una visión muy completa sobre la detección y el thread hunting de los TTPs.
Una metodología de análisis de las Amenazas Persistentes Avanzadas (APTs) podría consistir en usar la potente herramienta Mitre-Assistant. Otra metodología útil sería exportar y analizar la base de datos Mitre Attack con la herramienta de análisis de datos Jupyter Notebook.
Estas metodologías de análisis nos van a permitir tener una visión y un entendimiento muy profundo de los TTPs a la hora de perfilar un APT. Es decir, tener el poder de ver dónde está centrado el esfuerzo de las técnicas a la hora de lograr una táctica, si tenemos una telemetría para la detección, mitigación o perfil de emulación, etc. Además nos va a poder facilitar el análisis toda esa información y contextualizar la amenaza de forma rápida, accionable y hacer la vida del analista de ciberamenazas mucho más fácil.
Voy a elegir un APT relevante como ejemplo para el análisis.Dicho proceso de análisis va a estar enfocado específicamente al nivel operacional y técnico del threat actor(APT). En primer lugar, enseñaré la utilidad de la herramienta Mitre-Assistant y luego me centraré en la segunda metodología que consiste en el análisis de la colección TAXII de MitreAttack con la herramienta de análisis de datos Jupyter Notebook.Primero obtendré información de dicho APT y luego iré sacando y analizando las Tácticas, Técnicas y Procedimientos (TTPs), malwares, herramientas, y patrones de ataque. Después correlacionaré los TTPs con las diferentes fases de intrusión de MitreAttack para tener una visión con un contexto más relevante sobre la amenaza (APT).
Iré también enseñando cómo mapear esos TTPs analizados del paso previo a las fuentes de datos de mitigación y detección de MitreAttack que nos van a permitir tener información muy relevante sobre cómo detectar esos TTPs en nuestro sistema de información y cómo prevenir y mitigar su impacto.
Por último enseñaré la utilidad de mapear los TTPs del threat actor(APT) al proyecto (OSSEM) Detection Model (DM) que nos va a permitir tener una capa adicional donde podemos tener una visión muy completa sobre la detección y el thread hunting de los TTPs.
