Te voy a contar como tuve que luchar con un hacker en tiempo real y analizar y bloquear su malware para causar males mayores en esta simulación como un buen miembro del blue team.
La sala «Summit» forma parte de la ruta de aprendizaje «SOC Level 1» y se centra en la detección y prevención de malware utilizando el marco de la «Pirámide del Dolor». En este caso tuve que rastrear a un adversario simulado a través de diferentes niveles de la pirámide hasta lograr que retroceda.
Mediante el Malware Sandbox, hashes, y sobre todo el Sigma Rule Builder fui capaz de llegar al final del reto.
Introducción del caso
PicoSecure ha decidido mejorar sus capacidades de detección de malware mediante un ejercicio de simulación de amenazas y detección de ataques. Como parte de un equipo rojo-azul, trabajarás con un tester externo que intentará ejecutar malware en una estación de trabajo simulada, mientras configuras herramientas de seguridad para detectar y prevenir su ejecución.
Siguiendo la jerarquía de la Pirámide del Dolor, el objetivo es dificultar las operaciones de los atacantes y expulsarlos definitivamente. Cada nivel de la pirámide te permitirá identificar y prevenir distintos indicadores de ataque.
Lo que hice para resolver el caso:
Te voy a contar como resolví el caso de la sala tryhackme summit, pero no te voy a dar los resultados si estás aquí por eso.
Detectar sample1.exe mediante Hashes
- Análisis de la muestra en la Malware Sandbox.
- Copiar el hash SHA256 y añadirlo a la lista de bloqueo de hashes.
- Confirmación de que el malware ha sido bloqueado.
Detectar sample2.exe mediante IPs Sospechosas
- Análisis de red para identificar conexiones sospechosas.
- Bloqueo de la IP 154.35.10.113 en el Firewall Manager.
- Confirmación de que el malware ha sido bloqueado.
Detectar sample3.exe mediante Dominios Sospechosos
- Identificación de un dominio malicioso en la actividad del malware.
- Bloqueo del dominio a través de la DNS Rule Manager.
Detectar sample4.exe mediante Modificaciones en el Registro
- El malware deshabilita Windows Defender a través del registro de Windows.
- Creación de una Sigma Rule para detectar cambios en la clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection.
Detectar sample5.exe mediante Patrones de Tráfico Sospechosos
- Revisión de logs de conexiones salientes.
- Identificación de conexiones recurrentes a la IP 51.102.10.19 cada 30 minutos por el puerto 443.
- Creación de una Sigma Rule para detectar este tráfico.
Detección Final: Exfiltración de Datos
- Análisis del commands.log para detectar exfiltración de información.
- Identificación del archivo %temp%\exfiltr8.log.
- Creación de una Sigma Rule para detectar la creación/modificación de este archivo.
Caso resuelto con éxito
Utilizando técnicas de detección avanzadas como hashing, listas negras de IPs, reglas DNS, análisis de registros y Sigma Rules, es posible frustrar intentos de ataque antes de que causen daños al igual que he hecho yo en esta simulación en tiempo real.
La combinación de estrategias ofensivas y defensivas fortalece la postura de seguridad de cualquier organización, mejorando la capacidad de respuesta ante incidentes.
Como esto podría ser una captura de internet, os muestro un pantallazo donde se claramente «Sala completada» con mi usuario de TryHackme, donde puedes ver todas las salas que he ido completando a lo largo del tiempo.
Si quieres seguir indagando más sobre este tipo de casos en mi portfolio puedes encontrar muchos más casos similares.