Detección de amenazas con CHIRP IOC
Actualizado el 15 de abril de 2021: el gobierno de EE. UU. Atribuye esta actividad al Servicio de Inteligencia Exterior de Rusia (SVR). Se puede encontrar información adicional en un comunicado de la Casa Blanca . Para obtener más información sobre la actividad relacionada con SolarWinds, visite https://us-cert.cisa.gov/remediating-apt-compromised-networks y https://www.cisa.gov/supply-chain-compromise .
Esta alerta anuncia la herramienta CISA Hunt and Incident Response Program (CHIRP). CHIRP es una herramienta de recopilación forense que CISA desarrolló para ayudar a los defensores de la red a encontrar indicadores de compromiso (IOC) asociados con la actividad que se detalla en las siguientes Alertas de CISA:
- AA20-352A: Compromiso de amenazas persistentes avanzadas de agencias gubernamentales, infraestructura crítica y organizaciones del sector privado , que se centra principalmente en el compromiso de un actor de amenazas persistentes avanzadas (APT) de los productos SolarWinds Orion que afectan a agencias gubernamentales de EE. UU., Entidades de infraestructura crítica y organizaciones de redes privadas .
- AA21-008A: Detección de actividad de amenazas posteriores a un compromiso en entornos de nube de Microsoft , que aborda la actividad de APT en entornos de Microsoft 365 / Azure y ofrece una descripción general y orientación sobre las herramientas de código abierto disponibles. La alerta incluye la herramienta Sparrow desarrollada por CISA que ayuda a los defensores de la red a detectar posibles cuentas y aplicaciones comprometidas en el entorno Azure / M365.
Similar a Sparrow, que busca signos de compromiso de APT dentro de un entorno M365 o Azure, CHIRP busca signos de compromiso de APT dentro de un entorno local.
En esta versión, CHIRP, de forma predeterminada, busca IOC asociados con la actividad maliciosa detallada en AA20-352A y AA21-008A que se ha extendido a un entorno empresarial local.
CHIRP está disponible gratuitamente en el repositorio CISA GitHub . Para obtener orientación adicional, vea el video de descripción general de CHIRP de CISA . Nota: CISA continuará lanzando complementos y paquetes IOC para nuevas amenazas a través del repositorio CISA GitHub.
CISA aconseja a las organizaciones que utilicen CHIRP para:
- Examine los registros de eventos de Windows en busca de artefactos asociados con esta actividad;
- Examinar el Registro de Windows en busca de evidencia de intrusión;
- Consultar artefactos de red de Windows; y
- Aplique las reglas de YARA para detectar malware, puertas traseras o implantes.
Los defensores de la red deben revisar y confirmar cualquier actividad de amenaza posterior al compromiso detectada por la herramienta. CISA ha proporcionado puntajes de confianza para cada regla de IOC y YARA incluida con el lanzamiento de CHIRP. Para los resultados positivos confirmados, CISA recomienda recopilar una imagen forense de los sistemas relevantes y realizar un análisis forense de los sistemas.
Si una organización no tiene la capacidad de seguir las instrucciones de esta Alerta, considere solicitar soporte de seguridad de TI de terceros. Nota : Responder a los impactos positivos confirmados es esencial para desalojar a un adversario de una red comprometida.
Haga clic aquí para obtener una versión en PDF de este informe.
Detalles técnicos
Cómo funciona CHIRP
CHIRP es un ejecutable de línea de comandos con un complemento dinámico y un sistema de indicadores para buscar signos de compromiso. CHIRP tiene complementos para buscar a través de registros de eventos y claves de registro y ejecutar reglas YARA para buscar señales de tácticas, técnicas y procedimientos de APT. CHIRP también tiene un archivo YAML que contiene una lista de IOC que CISA asocia con el malware y la actividad APT detallada en las Alertas CISA AA20-352A y AA21-008A .
Actualmente, la herramienta busca:
- La presencia de malware identificado por los investigadores de seguridad como TEARDROP y RAINDROP ;
- Extracciones de certificados de volcado de credenciales;
- Ciertos mecanismos de persistencia identificados como asociados con esta campaña;
- Enumeración de sistema, red y M365; y
- Indicadores observables conocidos de movimiento lateral.
Los defensores de la red pueden seguir instrucciones paso a paso en el repositorio de GitHub de CISA CHIRP para agregar IOC, reglas YARA o complementos adicionales a CHIRP para buscar actividades de amenazas posteriores al compromiso relacionadas con el compromiso de la cadena de suministro de SolarWinds Orion o una nueva actividad de amenazas.
Compatibilidad
CHIRP actualmente solo analiza los sistemas operativos Windows.
Instrucciones
CHIRP está disponible en el repositorio GitHub de CISA en dos formas:
- Un ejecutable compilado
- Una secuencia de comandos de Python
CISA recomienda usar la versión compilada para escanear fácilmente un sistema en busca de actividad APT. Para obtener instrucciones sobre cómo ejecutarlo, lea README.md en el repositorio CHIRP GitHub.
Si elige usar la versión nativa de Python, consulte las instrucciones detalladas en el repositorio CHIRP GitHub.
Mitigaciones
Interpretación de los resultados
CHIRP proporciona los resultados de su análisis en formato JSON. CISA fomenta la carga de los resultados en un sistema de gestión de eventos e información de seguridad (SIEM), si está disponible. Si no hay un sistema SIEM disponible, los resultados se pueden ver en un navegador web o editor de texto compatible. Si CHIRP detecta alguna actividad de amenaza posterior al compromiso, esas detecciones deben revisarse y confirmarse. CISA ha proporcionado puntajes de confianza para cada regla de IOC y YARA incluida con el lanzamiento de CHIRP. Para los resultados positivos confirmados, CISA recomienda recopilar una imagen forense de los sistemas relevantes y realizar un análisis forense de los sistemas.
Si no tiene la capacidad para seguir las instrucciones de esta Alerta, considere solicitar soporte de seguridad de TI de terceros. Nota: Responder a los impactos positivos confirmados es esencial para desalojar a un adversario de una red comprometida.
Preguntas frecuentes
- ¿En qué sistemas debería funcionar CHIRP?Sistemas que ejecutan SolarWinds Orion o que se cree que están involucrados en cualquier movimiento lateral resultante.
- ¿Qué debo hacer con los resultados?Ingiera los resultados JSON en un sistema SIEM, navegador web o editor de texto.
- ¿Existen herramientas que CHIRP complemente y / o proporcionen el mismo beneficio que CHIRP?
- Es posible que los desarrolladores de software antivirus hayan comenzado a implementar detecciones para la actividad posterior al compromiso de SolarWinds. Sin embargo, esos productos pueden pasar por alto signos históricos de compromiso. CHIRP puede proporcionar un beneficio complementario al antivirus cuando se ejecuta.
- CISA lanzó anteriormente la herramienta Sparrow que busca actividad APT dentro de entornos M365 y Azure relacionada con la actividad detallada en CISA Alerts AA20-352A y AA21-008A. CHIRP proporciona una capacidad complementaria a Sparrow al buscar sistemas locales para una actividad similar.
- ¿Con qué frecuencia debo ejecutar CHIRP?CHIRP se puede ejecutar una vez o de forma rutinaria. Actualmente, CHIRP no proporciona un mecanismo para ejecutarse repetidamente en su formato nativo.
- ¿Necesito configurar la herramienta antes de ejecutarla?No.
- ¿CHIRP cambiará o afectará algo en los sistemas en los que se ejecuta?No, CHIRP solo escanea los sistemas en los que se ejecuta y no realiza cambios activos.
- ¿Cuánto tiempo llevará ejecutar CHIRP?CHIRP completará su escaneo en aproximadamente 1 a 2 horas. La duración dependerá del nivel de actividad, el sistema y el tamaño de los conjuntos de datos residentes. CHIRP proporcionará actualizaciones periódicas de progreso a medida que se ejecute.
- Si tengo preguntas, ¿con quién me comunico? Si tiene preguntas generales sobre CHIRP, comuníquese con CISA por correo electrónico a central@cisa.dhs.gov o por teléfono al 1-888-282-0870. Para informar sobre indicadores de posible compromiso, comuníquese con nosotros enviando un informe a través de nuestro sitio web en https://us-cert.cisa.gov/report . Para todos los problemas técnicos o soporte para CHIRP, envíe los problemas al Repositorio de GitHub de CISA CHIRP .
Fuente: us-cert.cisa