Cómo los investigadores de amenazas aprovechan la Darknet para adelantarse a las ciberamenazas

La famosa pintura » Cisnes que reflejan elefantes «  crea una imagen doble y es una metáfora ideal de lo que sabemos sobre Internet y la capa oculta debajo (la Darknet). También lo veo como una metáfora de los ciberdelincuentes e investigadores y de cómo estamos enredados por el destino casi en el mundo del ciberdelito. Déjame explicarte por qué …

Los investigadores a menudo pasan por alto la importancia de fuentes adicionales de inteligencia sobre amenazas cibernéticas y las formas de maximizar su búsqueda. En sus términos más básicos, la inteligencia sobre amenazas cibernéticas permite a las organizaciones prepararse para los ataques cibernéticos y mitigarlos. Pero eso se está volviendo cada vez más desafiante a medida que crece el ecosistema ciberdelincuente y el volumen y la sofisticación de los ataques continúan expandiéndose. Gartner  proporcionó esta  definición hace  casi una década, y todavía se aplica hoy: “La inteligencia de amenazas es conocimiento basado en evidencia, que incluye contexto, mecanismos, indicadores, implicaciones y consejos prácticos, sobre una amenaza o peligro existente o emergente para los activos que pueden ser utilizado para informar decisiones sobre la respuesta del sujeto a esa amenaza o peligro «.

Recursos de amenazas de FortiGuard Labs

En FortiGuard Labs, utilizamos inteligencia de amenazas para comprender mejor las técnicas, el software malicioso y los objetivos potenciales que los actores de amenazas están considerando atacar. Nuestra inteligencia de amenazas se selecciona de muchas fuentes diferentes, que incluyen (pero ciertamente no se limitan a) millones de sensores de red global, así como múltiples honeypots, informes de ciberseguridad e inteligencia compartida entre profesionales de seguridad, proveedores de seguridad, organizaciones gubernamentales y asociaciones privadas.

Con más de 100 mil millones de indicadores de compromiso, o IOC, observados todos los días, los cazadores de amenazas en FortiGuard Labs también emplean una variedad de herramientas de automatización para escanear, procesar, extraer y correlacionar estos datos. Esto incluye múltiples técnicas internas de aprendizaje automático y nuestro sistema patentado de correlación y recopilación de amenazas de inteligencia artificial , utilizando análisis de big data y clústeres de búsqueda elásticos, escribiendo reglas de Yara y, a veces, simplemente confiando en una relación cercana con nuestros clientes y otros profesionales de seguridad que participan en la comunidad. presentaciones de amenazas.

Aprovechando la Darknet

Una de nuestras fuentes de datos más frecuentes para la inteligencia de amenazas son los foros de atacantes y torrent / onion, generalmente en Darknet, donde el malware, el ransomware y la denegación de servicio a menudo se discuten, compran y venden. Muchos de estos foros requieren que los investigadores pasen por una cantidad significativa de obstáculos para acceder. Algunos foros requieren algún pago, otros foros requieren que las personas  respondan para usted como un verdadero pirata informático y, a veces, debe demostrar su valía demostrando su capacidad para codificar un problema de seguridad o crear software malicioso. Para complicar aún más este proceso, las reglas generales de participación desde la perspectiva de un investigador de seguridad de sombrero blanco establecen que, como uno de los buenos, nunca paga por información, nunca crea código y nunca participa ni remotamente en nada ilegal o poco ético.

Mucha gente pensaría que eso limitaría la utilidad de la información a la que podríamos acceder. No es asi. Eso es porque la mayoría de los atacantes en estos foros no solo están motivados por incentivos financieros. Quieren publicar y publicitar sus conocimientos en foros que tendrán la mayor cantidad de visitas y muchos quieren mostrar sus habilidades. Al contrario de la creencia popular (y de las películas de Hollywood), probablemente no encontrará espías de dos naciones rivales que se comuniquen subrepticiamente a través de algún canal secundario seguro en estas redes. Lo que sí vemos, sin embargo, son ataques frecuentes dirigidos a personas y organizaciones masivas en lugar de ataques específicos, específicos y dirigidos.

A menudo me preguntan dónde y cómo nos enteramos de estos foros de piratas informáticos. Hay algunos foros populares que reciben mucha atención, pero estos foros a menudo tienen mucho ruido, incluidos anuncios e información muy desactualizada. Otros están mucho más enfocados. Pero independientemente, estos foros no son necesariamente más maliciosos que un grupo de Facebook o incluso una clase de ciberseguridad. Y lo más importante, en nuestro caso, las técnicas compartidas en estos foros ayudan a los defensores a comprender la cultura del atacante y cómo defenderse de ataques frecuentes.

Sitios comunes utilizados por los cazadores de amenazas

Tenga en cuenta que solo voy a compartir sitios conocidos y bien discutidos, incluidos los sitios más utilizados por cazadores de amenazas, investigadores de amenazas y defensores de la ciberseguridad. comience con las fuentes típicas.

Twitter : todos los días, se comentan o publican en Twitter nuevos sitios web y foros basados en amenazas, ubicaciones para encontrar códigos de ataque u otros servicios de inteligencia de amenazas. Además, los actores de amenazas y los piratas informáticos a veces se comunican directamente en la plataforma. Sin embargo, se necesita tiempo para saber a qué personas seguir.

Pastebin : este es un servicio de alojamiento de contenido en línea donde los usuarios pueden publicar o almacenar de forma anónima texto sin formato, como fragmentos de código fuente para revisar el código, durante un período de tiempo limitado. Pastebin se ha vuelto un poco más difícil de usar recientemente debido a cómo hacen que las pastas públicas estén disponibles. En general, los atacantes publican información filtrada sobre violaciones de datos en este sitio.

IntelX : esta es una herramienta utilizada por los cazadores de amenazas avanzados. Es similar a Pastebin, pero también permite a las personas buscar correos electrónicos, dominios y direcciones de billeteras de criptomonedas. También proporciona una interfaz API útil para que los investigadores puedan automatizar sus búsquedas.

GitHub : hay un montón de herramientas de software de seguridad en GitHub que se crean para defensores e investigadores, incluidas aquellas que a veces son modificadas por atacantes. Puede encontrar ejemplos de kits de herramientas de ransomware, troyanos de acceso remoto (RAT), kits de ingeniería social, falsificadores de correo electrónico y muchas otras herramientas que los defensores usan para probar su seguridad, y que los atacantes pueden usar o modificar para propósitos más nefastos. Los defensores como FortiGuard Labs buscan automáticamente estas herramientas y también ejecutan pruebas para asegurarse de que podamos detectar y detener los ataques generados por estas herramientas. Los defensores deben redactar políticas flexibles que solo permitan que sus sistemas realicen auditorías de seguridad aprobadas por estas herramientas y bajo ninguna otra circunstancia.

Motores de búsqueda : los motores de búsqueda Darknet, como el que se muestra arriba, suelen ser una combinación de personas que hablan sobre varios pasatiempos, enlaces a otros sitios, artículos de noticias e historias. Si bien ciertamente hay información útil para los investigadores de amenazas en este sitio, lleva tiempo desarrollar una técnica para buscar información útil, separar y categorizar esa información para su revisión y almacenar y buscar esa información cuando sea necesario. 

En otras palabras, podría darles todos los foros, mercados y sitios TOR que visito; sin embargo, a menos que ya tenga técnicas (o pueda desarrollarlas), estos sitios web no serán útiles debido a la cantidad de información que debe buscarse y separarse para que esa información sea procesable.

Si bien ya no buscamos manualmente en estos sitios, configuramos rastreadores, API u otros métodos de acceso permitidos por los sitios web que alojan los datos para buscar palabras clave y frases específicas. Y debido al panorama cambiante de amenazas, tenemos que refinar nuestras búsquedas continuamente. Muchas de estas técnicas se desarrollan a medida y, por lo tanto, no suelen estar disponibles para el usuario medio. E incluso entonces, todavía tenemos que lidiar con cosas como inicios de sesión CAPTCHA, autenticación de dos factores y bloqueos automatizados. Y para complicar aún más las cosas, algunos de estos sitios buscan explícitamente IP que se conecten desde organizaciones o investigadores de ciberseguridad conocidos, y los bloquearán y bloquearán activamente.

Mercados de Darknet

Otra pregunta que me hacen a menudo es: “¿Cuáles son algunas de las cosas que encontramos en los foros de atacantes / hackers, como los infames sitios de cebolla de Darknet?

Comencemos con los mercados de Darknet. Esta es una versión clandestina de los sitios de comercio electrónico, donde puede navegar y comprar bienes y servicios. La mayoría de los listados están relacionados generalmente con narcóticos. Sin embargo, cuando navegamos por las secciones de software o malware de estos sitios, a menudo encontramos nuevos datos. Usando las capturas de pantalla a continuación, puede ver elementos como troyanos de acceso remoto (RAT), botnets en venta (como la botnet Zeus) y malware de moneda criptográfica.

Los precios de la mayor parte del software son bastante bajos, aunque el software más nuevo, más complicado o más refinado es mucho más caro. Sin embargo, la mayoría del malware que se encuentra en estos mercados es en su mayoría barato porque el malware es antiguo, se vende a granel y, por lo general, la mayoría del software de ciberseguridad debe detectarlo (al menos en su configuración predeterminada). Sin embargo, esto no impide que los atacantes intenten utilizar estos servicios a gran escala o intentar modificar el software de manera que sea indetectable por el software de ciberseguridad.

También encontramos artículos a la venta que no son software malicioso, sino más en la categoría de trucos o guías. Ejemplos de esto incluyen cómo cambiar su dirección MAC (que la mayoría de los administradores de sistemas pueden averiguar cómo hacerlo con una búsqueda de Google) o herramientas de prueba de lápiz de código abierto reempaquetadas como DROID Jack, que es un troyano de acceso remoto para dispositivos Android más antiguos. (normalmente disponible para descarga gratuita desde muchos sitios). Y de vez en cuando, encontrará a alguien que se haya tomado el tiempo de actualizar el malware antiguo y agregar nuevas funciones. 

De la captura de pantalla anterior, podemos ver que hay una nueva versión de DroidJack disponible para la venta. Como investigadores, debemos asegurarnos de que podemos proteger a nuestros clientes contra esta nueva variante. Afortunadamente, no necesitamos obtener el software de este foro. Tenemos muchos recursos y honeypots donde podemos recopilar y ejecutar el software real. Sin embargo, cuando vemos que este software aparece en varios sitios, podemos adivinar que lo más probable es que se esté volviendo popular. 

También podemos comenzar a buscar revisiones de software y comenzar a rastrear al vendedor utilizando su ID de usuario, su información de contacto y tal vez incluso la dirección de su billetera de criptomonedas para tener una idea de en qué otra actividad está involucrado el actor de la amenaza. Tenga en cuenta que esto puede ser bastante difícil porque muchos actores de amenazas cambiarán sus ID, generarán nuevas direcciones de criptomonedas o usarán una moneda de privacidad enfocada como Monero. 

En cualquier caso, nuestro primer objetivo es examinar el software malicioso y asegurarnos de que podamos detectar y detener los ataques generados por el software.

Aprovechamiento de volcados de texto

También nos encontramos con frecuencia con volcados de texto que contienen nombres de usuario, nombres, contraseñas y otra información. Esto es a menudo lo que sucede con los datos cuando los ladrones cibernéticos, o incluso las personas de su organización, han filtrado intencional o inadvertidamente contraseñas u otra PII (y es por eso que esto puede poner en riesgo a toda su organización). El servicio FortiWeb de Fortinet, por ejemplo, ha una  función de relleno de cuentas  que identifica los intentos de inicio de sesión utilizando credenciales que se han visto comprometidas mediante una fuente siempre actualizada de credenciales robadas como resultado de numerosas filtraciones publicadas en Internet. 

A continuación se muestra una publicación reciente en un foro que afirma tener millones de cuentas de una violación de datos reciente. En este caso específico, casi cualquier persona con un nombre de usuario y una contraseña del foro puede descargar la base de datos.

Foros de ataque

El punto que quiero hacer sobre los foros de ataque es que permite a investigadores como yo comprender qué es interesante para los atacantes. Entrar en la mente de un ataque no solo permite a los investigadores de amenazas anticipar las amenazas y los pasos dentro de un ataque, sino que también comienza a perfilar ciertos ciberdelincuentes. Los comportamientos de amenazas se parecen mucho a las huellas dactilares y pueden ser muy útiles para descubrir y defenderse de ciertas amenazas. 

Por ejemplo, en los últimos meses hemos visto muchas discusiones sobre seguridad en varias plataformas de reuniones web.

La mayoría de estas charlas no tienen intenciones maliciosas y probablemente sean personas que solo quieran comprender o discutir un tema específico. En algunos casos raros, sin embargo, descubrimos que cuando una aplicación está recibiendo suficiente charla, los atacantes están comenzando a investigar vulnerabilidades o probar código. 

Tuve una búsqueda automática para una conferencia web de marca y malware para la venta. Mi búsqueda solo produjo discusiones normales. Esto significa que tendré que refinar más mis propias búsquedas o continuar monitoreando para ver si veo alguna actividad nueva alrededor de mis palabras clave. Pero como investigador, a veces, incluso las conversaciones genéricas siguen siendo valiosas porque ahora puedo medir el interés que tienen los atacantes en apuntar a aplicaciones específicas, o cómo sus propios intereses pueden cambiar según los eventos globales. 

Además, las conversaciones genéricas a menudo pueden derivar en temas de interés. En este caso específico, uno de los hilos del foro que estaba monitoreando se disparó por la tangente en el que un miembro del foro comenzó a discutir ATM Jackpotting, una técnica utilizada para piratear ATM (cajeros automáticos) con malware en un intento de que distribuya efectivo. Esta persona tenía enlaces a un foro diferente que yo no tenía en mi radar que vendía artículos relacionados con ataques a cajeros automáticos.

Nunca sabes a dónde te llevará la madriguera del conejo.

Defensa contra amenazas descubiertas

Casi todas las amenazas que descubrimos son examinadas inicialmente por nosotros, ya sea manualmente o utilizando una de nuestras herramientas de automatización. Luego, se escriben las defensas y las firmas de amenazas para proteger a los clientes contra estas amenazas. No hace falta decir que tomamos estas firmas de protección y actualizamos todas nuestras soluciones Fortinet Security Fabric . Debido a la naturaleza de la mayoría de las amenazas que descubrimos, la mayoría de estas defensas se concentran en nuestros motores AV, lo que significa que cualquiera de nuestros productos con motores AV habilitados los protegerá contra ellos. También desarrollamos firmas IPS para aquellas amenazas que necesitan ese nivel de detección.

En aquellos casos en los que identificamos malware que se conecta a sitios específicos para comando y control, también agregamos las URL y las IP (si tiene sentido) a las categorías de software malicioso en nuestros filtros de reputación web, DNS e IP.

Y en el caso de los ataques de hardware, como los skimmers de cajeros automáticos, examinamos el software que utilizan y sensibilizamos a nuestros clientes cuando nos encontramos con una nueva herramienta o técnica. También compartimos esta información con nuestras organizaciones asociadas de ciberseguridad de confianza y con personas que podrían estar interesadas en ella.

No intentes esto en casa

En FortiGuard Labs, utilizamos una variedad de fuentes diferentes para estar al tanto de los ataques. Hoy les he mostrado un vistazo de algunas de las fuentes de cosas que usamos cuando se trata de usar foros de ataque y Darknet y cómo estamos protegiendo a nuestros clientes. Sin embargo, debido a los riesgos inherentes a la navegación en la Darknet, incluida la infección por malware y el robo de PII, le recomiendo que deje esta actividad a los profesionales de la ciberseguridad con la capacitación necesaria para evitar riesgos y las herramientas necesarias para recuperar un dispositivo que se ve comprometido inadvertidamente. 

Fuente: https://www.fortinet.com/blog/threat-research/how-threat-researchers-leverage-darknet-to-stay-ahead-of-cyber-threats