02- Direcciones IP con actividad de malware evento MISP

Introducción

Esta guía te ayudará a configurar y utilizar la plataforma MISP (Malware Information Sharing Platform & Threat Sharing) para crear y distribuir eventos de manera eficiente. MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOCs), análisis de malware y otros datos relevantes de seguridad.

Aprenderás cómo generar eventos en MISP, enriquecerlos con información contextual y distribuirlos de manera segura a otros usuarios o organizaciones dentro de la comunidad.

Contexto

Se ~~tiene~~recibió información de un proveedor de información que proporciona una ~~campaña~~lista de ~~phishing~~direcciones ~~real~~IP que ~~distribuye~~es parte de una red de distribución de malware aactiva.

~~través de adjuntos en los correos electrónicos hacia una entidad estatal "X".~~

Los pasos para lapublicar ~~publicación del~~el evento en MISP pueden variar ~~ligeramente~~según ~~de acuerdo al contenido e~~la información ~~suministrada~~disponible, ~~a la plataforma,~~pero en este ejemplo ~~de creación de evento en MISP~~ se ~~detallaran gran parte de~~detallarán los indicadores de compromiso ~~que~~(IOCs) semás ~~encuentran~~comunes alasociados ~~recibir~~a ~~phishing~~distribución ~~mediante~~de ~~correo~~malware. ~~electrónico, en~~En casos especí~~ficos~~ficos, ~~pueden~~es posible que no ~~encontrarse~~se encuentren todos los datos ~~proporcionados~~mencionados, por lo ~~cual~~que solo se debe ~~añadir al evento~~incluir información ~~comprobada.~~verificada.

CREACIÓN DEL EVENTO.

Ingresar a la sección de ~~eventos~~Events eposteriormente ~~ingresar a~~ Event Actions y por último seleccionar Add ~~event.~~event.

~~Creación del evento.~~

Distribution.
Define lael ~~cantidad~~alcance de ~~destinatarios que pueden ver información~~visibilidad del evento.
Threat level.
Define el nivel de amenaza del ~~evento como Medio.~~evento.
Analysis.
Define el evento en Inicial,Ongoing ó (en ~~curso~~curso) o finalizado.
Event info. ~~contiene~~
Incluir el resumen de launa descripción del evento.
Extends Event.
Si el evento ~~tiene~~está ~~información relacionada~~relacionado con ununo ~~evento~~previo, ~~creado anteriormente se puede colocar~~agregar el UUID ~~del evento anterior~~correspondiente para ~~relacionar la información de ambos eventos.~~vincularlos.

~~Asignación~~ASIGNACIÓN deDE ~~Tags~~TAGS

~~TLP~~TLP: seSe clasifica como "green", ~~debido a~~ya que ~~el público objetivo de~~ la información esdebe ~~grande~~compartirse ~~y se necesita compartir la información con toda la cantidad de personas posibles~~ampliamente para ~~realizar~~prevenir ~~la prevención.~~ataques
Se ~~indica~~etiqueta ~~que es~~como una detección de ~~analista de~~ tipo "~~Malware"~~malware".
Se clasifica de acuerdo a la taxonomía de CSIRT Américas y CIRCL como "malware".

El momento de añadir un TAG local, se utilizará el tag personalizado para filtrar eventos ~~de Bolivia respecto~~específicos de ~~eventos de otros países.~~Bolivia.

~~Para la asignació~~

Asignación de Atributos

Los atributos enpara este caso seson ~~agruparán~~de ~~por~~actividad ~~objetos~~de ~~por~~red, ~~que~~esto ~~tenemos~~nos ~~tanto~~sirve elpara ~~cuerpo~~organizar ~~del~~la ~~correo con el adjunto como el archivo.~~información.

~~Objetos.~~OBJETOS.

En este caso específico no se tienen ~~objetos~~objetos, como muestras de malware o distribución por phishing o spam debido a que el origen de la información nos detalla direcciones IP que ~~contienen o~~ distribuyen ~~malware por lo que no se añadirán objetos.~~malware.

~~Atributos.~~ATRIBUTOS.

Para agregar la lista de IP's procedemos a seleccionar el boton de "+" para añadir los atributos.

Estos atributos se clasifican en la categoría de actividad de red e IP destino por que son las direcciones IP a las que se comunican los equipos infectados.

Una vez seleccionada la opción Submit podemos observar que los atributos han sido agregados correctamente observando si existe una correlación con otros ~~eventos,~~eventos

CORRELACIÓN ~~este~~DE ~~caso~~EVENTOS.

El evento creado automáticamente se ~~relacionan~~correlaciona con el evento 2 y 16298 como podemos ver a en la columna Related Events a continuación.

Es posible generar un ~~reporte~~event ~~desde~~report ~~las~~automático ~~opciones de la plataforma por lo que hacemos una prueba en~~con Generate Report From ~~Event.~~Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

Una vez generado el reporte se observa laen ~~fila~~el ~~resumen.~~apartado de Event Reports el resumen de los datos relevantes del reporte.

~~obtiene~~

El reporte generado resume la información ~~resumida~~del ~~para compartir~~evento en ~~caso de que los destinatarios de~~ la ~~información~~siguiente noplantilla:

~~tengan una cuenta en MISP.~~

Publicación del evento.

Para

~~Por último para cambiar~~modificar el estado inicial del evento ay ~~publicado y~~permitir que los demás usuarios de la plataforma ~~puedan verlo de acuerdo~~accedan a él, según su nivel de distribuciónn, observamos ~~en primera instancia~~inicialmente que el evento seaparece ~~encuentra~~con enel estado 'Published=No', como ~~observamos~~se muestra en la siguiente captura de ~~pantalla:~~

pantalla

Con ~~publish~~la opción 'Publish (noNo ~~email)~~Email)', se realiza la publicación ~~dentro de~~en la plataforma sin enviar un correo electrónico a los ~~usuarios~~usuarios. ~~de la misma, si~~Si se requiere el envío de ~~correos se~~correos, debe ~~seleccionar~~seleccionarse la opción 'Publish ~~Event,~~Event'. ~~despué~~Después de ~~seleccionar~~elegir cualquiera de las 2dos ~~opciones~~opciones, el estado del evento cambia a ~~published "yes".~~
'Published=Yes'

En la esquina superior derecha podemos observar los eventos que fueron relacionados con las direcciones IP reportadas como maliciosas por el proveedor de información, con este contexto podemos relacionar que las direcciones IP están relacionadas con malware Agent tesla y se vio involucrada en realización de solicitudes maliciosas a dominios del país.

~~Una~~Cuando ~~vez~~el evento es publicado se asigna un ID al evento en este caso el "~~36748"~~36748" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del ~~evento.~~evento como se muestra a continuación.