Si trabajas, estudias o te encuentras en el punto medio en el campo de la ciberseguridad, es posible que hayas visto, escuchado o utilizado los Indicator of Compromise (IOC) o Indicadores de compromiso en español sin que te hayas dado cuenta.
Un IOC es en resumen, la descripción de un incidente de ciberseguridad o cualquier actividad maliciosa, que es posible identificar mediante patrones. Los IOC permiten mejorar la reacción, generar una alerta y una respuesta al momento de ser detectados por algún sistema de seguridad (WAF, FW, IPS, EDR, Antispam, etc). Los patrones que se pueden encontrar en un IOC hacen énfasis a las evidencias que pueden existir en las redes o en los equipos.
La importancia de contar con IOC:
Gracias a los IOC que son generados por investigaciones o usuarios que suben muestras digitales a la red, permiten a las diferentes organizaciones, particulares o sistemas de ciberseguridad prevenir ataques a partir de la detección de vulnerabilidades ya explotadas anteriormente por un grupo de cibercriminales. Generalmente, mucho de los incidentes informáticos relacionado a malwares tienen IOC con bases en:
- Dirección IP de descarga
- Dirección IP del C&C del atacante.
- HASH (MD5, SHA256, etc…) de algún archivo sospechoso.
- Dominios en los cuales son apuntados las direcciones IP.
- Paquetes de redes con características similares a los identificados anteriormente.
- Extractos de código.
- Programas usados por los cibercriminales.
- Modus operandi.
Los indicadores de compromiso han facilitado la tarea de seguridad a diferentes organizaciones y entidades que trabajan en el mundo de la ciberseguridad. Además de crear planes y estrategias ante un posible ataque informático de los múltiples frentes que existen a los cuales, la toma de atención es clave. Algo que CronUp con nuestro servicio ATR (Alerta temprana de Riesgo) usamos de forma diaria para notificar a nuestros clientes las nuevas variantes de amenazas informáticas que existen en la actualizad y generar reportes que tienen como objetivo la prevención mediante la entrega de IOCs.
Implementación de IOC:
En el entorno de la ciberseguridad existen múltiples formas de obtener información y trabajar con la información que puede brindar los diferentes servicios que constantemente generar nuevos IOCs o los que se puede encontrar en linea de forma gratuita a modo colectivo por diferentes usuarios con el objetivo de informar a la comunidad, aplicativos que integran estas opciones son:
- Sistemas de detección de intrusiones o «Intrusion Detection System» (IDS).
- Sistemas de prevención de intrusiones o «Intrusion Prevention System» (IPS).
- Sistema de detección de intrusiones en un Host o «Host-based intrusion detection system» (HIDS).
- Sistema de prevención de intrusiones en un Host o «Hostbased Intrusion Prevention System» (HIPS).
- Firewalls.
El gran problema de los IOC:
Las constantes actualizaciones de las bases de datos de los indicadores de compromiso es un factor clave para detectar las nuevas amenazas que estas surgiendo día tras día en la red. Uno de los grandes problemas que existen dentro del sector de la ciberseguridad es la falta de actualizaciones de los indicadores de compromiso críticos. Concentrándose generalmente en las muestras de HASH (sin importar cual se esté usando) de archivos del tipo ofimática, exe, dll, APK, JS, etc.
El tiempo en un ataque es un factor crítico y los analistas deben lidiar con esto cuando se trabaja en la identificación de una amenaza para determinar de forma fiable cuales son los IOC que permiten detectar esta amenazas. Debemos de saber que la vida útil de un IOC es generalmente de una semana, eso hablando de las muestras de los malwares, para dominios maliciosos, es solo útil por un par de días. Esto siempre puede ir variando dependiendo del tipo de campaña, el tipo de malware, el modus operandi y que información se dispone para detectarlos. Los command and control (C&C / C2) puede permanecer durante semanas, ya que son parte de la infraestructura más importante de los grupos de cibercriminales. Lo que debe estar claro es que los IOC para una amenaza cambian y se debe realizar el seguimiento continuo para actualizar cuando corresponda.
Ejemplos de IOCs:
Para llevar este articulo a un entorno más real y que esta relacionado al mundo de la ciberseguridad, ofrecemos a modo de ejemplo los siguientes IOCs de Maas (Malware As A Services) Emotet.
Enlaces de descarga de Emotet:
- hxxp://1725studio.com/cgi-bin/7683007310-xvvzz3Ibh-2502359631751-I1KydycCdIpL/guarded-forum/422880755-OZGQz6yN4o9x/
- hxxp://99tv.in/js/closed_section/guarded_cloud/42447387423_65vkonm0HcBZ/
- hxxp://99tv.in/js/qh6naguzvy-9eqtzujdeyho4-disk/security-space/82134730-AWeOQF3O2Rl/
- http://abacusnoida.com/js/common_box/corporate_wKF2K_IgF1cAmlWSy/Fxs24mYNy_xfrm3N5nx9G81/
- hxxp://acainacumbuca.com.br/protected-disk/test-space/IOIHrMa-n18rHbsr96c/
http://airmaxx.rs/available-zone/verified-wZJky-haCdLK2LNidNou/567332098341-x2cfw4MZZB/ - hxxp://alenta.net/desarrollo/protected-k1q84f-7ewep5y2w8tsb3/verified-space/713993-VS5TpdByk32dLS/
- hxxp://alkan-immo.de/cgi-bin/multifunctional-1565177-0GaDkHxvf8KX/044170015712-1bQ3mZG-j8y-5p2noqq/88313725525214-iHczBklN/
Hash-256 de los ejecutables usados por Emotet para el inicio del Payload:
- 0001b15f34ed153e445ac4cba23a594d029b3e28f161b06ce5fec859af4badbf
- 0008efde78ffc4d9b5a94bf092668d04ce5f8bd3cdcba0e761109da2710c48f0
- 000e2629f35124741899cd7c4978b4e50014349b078003ab9f5da89497426564
- 001730e1d130460af5e07ea29acbd8b6c2449271cb8c9be872408159bdb0308a
- 00190c02e03c052e9500e5640519f759f5bb94c6e81c6782006dd23f41218a8e
- 00272e4db555db7ef28908c8db78e075360c2d29a9d48011201cb2016fa852af
- 0027bb7baa4c21ed3b9dbd36b4c37cc0ff4bd83637822eb223bc56dd138925e6
Command and Control (C&C / C2):
- 181.30.61.163:443
- 209.126.6.222:8080
- 5.153.250.14:8080
- 188.135.15.49:80
- 104.131.41.185:8080
- 178.250.54.208:8080
- 50.28.51.143:8080
Command and Control Spam (C&C / C2):
- 89.163.142.217:8080
- 54.38.143.246:7080
- 138.197.137.58:443
- 128.199.48.71:8080
- 145.239.64.167:8080
- 104.236.168.190:7080
Directorios de Persistencia:
- C:\Windows\System32\randomnumber\
- C:\Windows\System32\tasks\randomname
- C:\Windows[randomname]
- C:\users[myusers]\appdata\roaming[random]
- %appdata%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup [Randomname].LNK. file in the startup folder
Registros del sistema:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services {Random Hexadecimal Numbers}
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run {Random Names} with value c:\users\admin\appdata\roaming{Random}{Legitimate Filename}.exe
Recomendaciones de trabajo con los IOC:
- Siempre ir actualizando las bases de datos de las nuevas amenazas que van saliendo día a día.
- Comprobar la fecha de descubrimiento del IOC, y comprobar si aun se encuentra activo.
- Generar reglas especificar para evitar el acceso a direcciones IP sospechosas.
- Mantenga constante comunicación con el departamento de ciberseguridad.
- Seguir en las redes sociales a expertos que publican nuevos IOCs.
Los dejamos invitados a conocer nuestro servicio ATR (Alerta temprana de Riesgo) que por medio de nuestra metodología y plataformas, le permitirá a su organización la detección de amenazas, brechas, vulnerabilidades y compromisos de de forma oportuna, disminuyendo de forma significativamente su ventana de exposición al riesgo, aportando inteligencia de amenazas para la toma de decisiones. Nuestro compromiso es ser los primeros en detectar falencias de seguridad y apoyar de forma continua para que su estrategia de defensa sea más robusta.
Actualización: 27 de agosto del 2020
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
