Botnet Encyclopedia ayuda a los equipos de seguridad a analizar actividades sospechosas en centros de datos


Nuevos recursos enumeran IP de origen, servidores de conexión y flujos de ataque para campañas establecidas y amenazas emergentes.

guardicorebotnetencyclopedia.jpg

Guardicore ha publicado un nuevo recurso para que lo utilicen los equipos de seguridad al defender los centros de datos contra las campañas de botnet.

Imagen: Guardicore

Guardicore&#39s Enciclopedia Botnet es una herramienta nueva y gratuita para equipos de seguridad que rastrea actividades sospechosas en centros de datos. Los usuarios pueden buscar información mediante una búsqueda de texto libre y varios indicadores de compromiso (IOC), incluidas direcciones IP, dominios, nombres de archivos y nombres de servicios y tareas programadas.

Ophir Harpaz realiza investigaciones de amenazas en Guardicore y se especializa en malware que se dirige a centros de datos. Ella creó la enciclopedia y ha estado recopilando datos para ella durante dos años.

«Estamos identificando amenazas dentro de los datos y aclarándolas para contar toda la historia sobre un ataque», dijo. «La enciclopedia incluye todo tipo de atributos que encontramos indicativos de una campaña».

FritzFrog es un nuevo bot que Harpaz descubrió recientemente mientras trabajaba en la enciclopedia.

«El malware está escrito en Golang y no parece tener una infraestructura centralizada», dijo. «Estamos en medio del proceso de investigación en este caso».

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Cada una de las 11 entradas está etiquetada con una característica del evento, que incluye escaneo de puertos 22, SSH, comando de shell 11, descarga y ejecución, y otros. La Enciclopedia Botnet proporciona contexto en torno a amenazas avanzadas que incluyen:

  • Información de la campaña incluyendo nombre, variantes, marco de tiempo de identificación dentro de la Purple de Sensores Globales Guardicore (GGSN) y enlaces a recursos externos sobre
  • Los COI asociados con la campaña, incluidas las direcciones IP desde las que se originan los ataques, las direcciones IP y los dominios que contienen conexiones de ataque salientes, y los archivos caídos o creados como parte del ataque
  • Flujo de ataque completo cuando fue capturado por el GGSN con análisis de Guardicore Labs

Los datos de la enciclopedia provienen de sensores Guardicore distribuidos en servidores de todo el mundo.

«Exponemos estos sensores a Net en diferentes centros de datos de producción para que se vean muy atractivos para los atacantes», dijo el vicepresidente de investigación de Guardicore, Ofri Ziv. «Luego reunimos una enorme cantidad de datos sobre los COI y TTP (tácticas, técnicas y procedimientos) que están usando esos atacantes».

La plataforma Centra de Guardicore utiliza los datos para comprender el tráfico de crimson y mejorar la seguridad de la nube para los clientes y comparte el análisis con la comunidad de ciberseguridad.

«Esto le permite encontrar las mitigaciones correctas y crea un terreno común para cuestionar lo que está viendo», dijo.

Harpaz dijo que este conjunto diverso de datos recopilados de máquinas Windows y Linux les brinda a los investigadores de Guardicore una explicación paso a paso de cómo se desarrollan los ataques de botnet.

«Grabamos los ataques en alta resolución para tener la cadena de ataque completa», dijo.

Ziv dijo que esta cuenta detallada muestra qué elementos del ataque funcionaron y cuáles fallaron.

«Esto ayuda a los defensores a ver a qué se enfrentan y saber exactamente a qué se enfrentan en su propia purple», dijo.

Centra se implementa dentro del centro de datos y las cargas de trabajo en la nube y la comunicación de mapas entre máquinas para comprender cómo se comunican los servidores dentro de la pink.

La plataforma luego establece reglas basadas en la investigación de amenazas y los patrones existentes de comunicación en la red. Los usuarios también pueden usar los datos para crear una lista negra.

«Por ejemplo, ahora hay una nueva vulnerabilidad que se dirige a los escritorios remotos, así que ahora puedo decir que quiero limitar al mínimo la capacidad de dicha comunicación para continuar en mi centro de datos», dijo Ziv.

Cuando Guardicore identifica una nueva campaña de botnet, la compañía agregará una entrada a la enciclopedia. Harpaz dijo que espera recibir contribuciones, preguntas y sugerencias de la comunidad de ciberseguridad para mejorar la enciclopedia y planea conectarse a otros recursos de ciberseguridad de la enciclopedia.

Guardicore también creó el Mono de infección, una herramienta de código abierto que simula infracciones y ataques, y tiene ataques documentados de botnet en varios repositorios de Github.

Ver también



Enlace a la noticia authentic