Organízate como un villano



Qué grupo de delitos cibernéticos FIN7 nos puede enseñar sobre el uso de marcos ágiles.

En septiembre pasado, Fedir Hladyr, el administrador de TI del grupo de delitos cibernéticos FIN7, que apuntó a los datos de los consumidores estadounidenses y los vendió en el mercado negro, declarado culpable para enviar fraude y conspiración para cometer piratería informática. Este caso se destacó porque las técnicas y los conjuntos de herramientas que FIN7 aprovechó son fundamentalmente similares a los que utilizan la mayoría de los departamentos de ingeniería, servicio de asistencia y TI para administrar su trabajo a diario.

Según documentos judiciales, Hladyr coordinó los esfuerzos criminales de FIN7 a través de varias plataformas que administran tickets, tareas y chat en tiempo real. Los piratas informáticos cargaron credenciales robadas y asignaron los siguientes pasos a través de Jira, compartieron código malicioso y datos PCI robados en HipChat, y se comunicaron en tiempo actual en JabbR. A través de estos medios, FIN7 robó más de 15 millones de números de tarjetas de crédito de minoristas y restaurantes de EE. UU.

Los ataques bien coordinados de FIN7 contribuyeron en gran medida a su éxito ilegal. Sus técnicas nos han inspirado a reflexionar sobre las tácticas que usamos para mantenernos organizados durante los equipos rojos y las pruebas de penetración, y los beneficios que obtenemos al aprovechar marcos ágiles y ChatOps (el uso de chatbots para ejecutar scripts y complementos personalizados y recibir métricas y alertas de automatización), ya sea que seamos un equipo de tres o un grupo grande distribuido en varias zonas horarias.

Eficiencia creciente
Si se ejecuta correctamente, la implementación de un flujo de trabajo ágil aumenta la eficiencia del compromiso al eliminar la necesidad de preguntar «¿qué debo hacer a continuación?» Después de completar una tarea, los probadores pueden comprobar si se les ha asignado un nuevo trabajo o pueden elegir entre una selección de tareas no reclamadas.

Dividir y conquistar tareas también permite a los miembros del equipo jugar con sus fortalezas: un miembro puede ser mejor para descifrar los hash de las credenciales, mientras que otro es excelente para encontrar dónde usar esas credenciales. Cuando los evaluadores especializados pueden enfocarse en tareas que se alinean con sus habilidades de nicho, el tiempo de inactividad y la confusión se reducen, y todo el equipo es más efectivo.

La creación espontánea de tareas es otro cambio de juego. Si aparece algo interesante a mitad de la revisión, se puede agregar una nueva tarea a la cartera y revisarla más tarde. Este proceso captura la chispa de la intuición del hacker mientras mantiene al probador enfocado en el objetivo genuine.

Transparencia creciente
Para la mayoría de los compromisos de seguridad, hay innumerables puntos de partida, cada uno con una gran cantidad de vectores de ataque para probar. Crear y asignar tareas en una ubicación centralizada no solo proporciona una estructura versatile para crear listas de lugares de ataque y monitorear el progreso, sino que también aumenta la transparencia para los equipos y sus clientes.

Durante una evaluación en el sitio, nuestro equipo de cuatro personas creó un tablero Kanban improvisado en una pared de la sala de conferencias, colocando notas Put up-it en tres columnas: HACER, EN CURSO y HECHO. Las tareas iniciales se basaron en objetivos de alto nivel y, a medida que identificamos nuevas oportunidades, se crearon nuevos Post-its. Este tablero Kanban improvisado nos ayudó a rastrear nuestras actividades de forma rápida y clara. Y cuando el cliente sugirió nuevas áreas para investigar, esas se convirtieron en nuevos Post-its en la columna HACER. Este nivel de transparencia en tiempo real comunicó nuestro progreso, confirmó que estábamos completando sus objetivos de alto nivel, demostró nuestro enfoque personalizado a su entorno y les mostramos sus aportaciones importantes.

Asegurando consistencia
Los comportamientos inconsistentes del equipo pueden conducir a exposiciones críticas perdidas. Los tickets se convierten en un lugar central para discutir cómo se completa una tarea y las plantillas aseguran que los trabajos se realicen de forma repetible.

Recientemente, el investigador de seguridad Tom Hudson (miembro de DISTURBIO, un equipo outstanding de recompensas de errores) nos dijo que las listas de verificación de Trello creadas durante los desafíos de recompensas de errores del equipo ayudaron a los equipos a construir una base sólida:

Es muy común realizar el mismo conjunto de tareas contra múltiples objetivos o puntos finales para un dominio dado, es posible que queramos enumerar subdominios, ejecutar escaneos de puertos, capturar respuestas del servidor world-wide-web, and so forth. Tener una tarjeta de plantilla con una lista de tareas prepoblada significa que podemos hacer que nuestro proceso sea consistente entre los miembros del equipo y no olvidamos las cosas.

La configuración de un marco confiable y acordado incluye elegir qué canales de ChatOps usar (como JabbR, HipChat, Slack, IRC) y decidir cómo clasificar y priorizar las tareas. También se necesita un buen administrador, como FIN7 con Hladyr, para administrar convenciones de nomenclatura compartidas, mantener carpetas bien etiquetadas y mantener todo funcionando sin problemas.

Habilitando la agilidad continua
Al adoptar técnicas ágiles de gestión de proyectos para nuestros trabajos de pruebas continuas, creamos una fuente de vulnerabilidades potenciales en tiempo authentic que podemos revisar de forma estructurada. Los sales opportunities en tiempo serious generados por la automatización se convierten automáticamente en tareas y los miembros del equipo pueden recogerlos de inmediato a través de zonas horarias o delegarlos a especialistas. Además, los bots pueden empujar vulns de cierto tipo o nivel de gravedad a un chat grupal para una investigación guide. Como resultado, podemos actuar sobre problemas de alto impacto de inmediato y crear una acumulación de tickets para otros indicadores potencialmente peligrosos.

La organización y flexibilidad que viene con esta metodología de prueba continua nos permite alertar a nuestros equipos sobre nuevos CVE divulgados públicamente y rastrear patrones recurrentes a lo largo del tiempo.

Ningún sistema se adapta a todos
Ya sea que se trate de una participación única o una evaluación continua, una estructura mínima y adaptable amplifica y acelera los esfuerzos de los profesionales de seguridad en ambos lados de la ley. Ya sea que esté utilizando Jira, Trello o un tablero Article-it Kanban, es importante crear un entorno sólido que incluya formas claras de organizar la información y comunicarse con su equipo.

La infraestructura de tickets, botnets y ChatOps de FIN7 les permitió reaccionar ante situaciones cambiantes y completar su acumulación de tareas de explotación. Sin procesos de gestión de proyectos, canales organizados y elementos etiquetados, el crimen de FIN7 probablemente no hubiera pagado tanto. El crimen desorganizado no es tan rentable.

Los atacantes están encontrando un gran éxito al adoptar estas técnicas ágiles. ¿No debería su equipo de seguridad ofensivo estar haciendo lo mismo?

Un agradecimiento especial a Tom Hudson y Ori Zigindere por sus concepts sobre este tema y a Brianne Hughes por su orientación editorial.

Contenido relacionado:

Rob Ragan es investigador principal en Bishop Fox, donde se enfoca en soluciones y estrategias, así como en fomentar las relaciones con la industria. Sus áreas de especialización incluyen pruebas de penetración continua y trabajo en equipo rojo. Está desarrollando una investigación para mejorar Bishop … Ver biografía completa

Más thoughts





Enlace a la noticia primary