01- Distribución de phishing evento MISP

Introducción

Esta guía te ayudará a configurar y utilizar la plataforma MISP (Malware Information Sharing Platform & Threat Sharing) para crear y distribuir eventos de manera eficiente. MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOCs), análisis de malware y otros datos relevantes de seguridad.

Aprenderás cómo generar eventos en MISP, enriquecerlos con información contextual y distribuirlos de manera segura a otros usuarios o organizaciones dentro de la comunidad.

Contexto

Se ~~tiene~~ha identificado una campaña de phishing real que distribuye malware a través de adjuntos en ~~los~~ correos electró~~nicos~~nicos. ~~hacia~~

~~una entidad estatal "X".~~

Los pasos para lapublicar ~~publicación del~~el evento en MISP pueden variar ~~ligeramente~~según ~~de acuerdo al contenido e~~la información ~~suministrada~~disponible, ~~a la plataforma,~~pero en este ejemplo ~~de creación de evento en MISP~~ se ~~detallaran gran parte de~~detallarán los indicadores de compromiso ~~que~~(IOCs) semás ~~encuentran~~comunes alasociados ~~recibir~~a ~~phishing~~correos ~~mediante~~de ~~correo~~phishing. ~~electrónico, en~~En casos especí~~ficos~~ficos, ~~pueden~~es posible que no ~~encontrarse~~se encuentren todos los datos ~~proporcionados~~mencionados, por lo ~~cual~~que solo se debe ~~añadir al evento~~incluir información ~~comprobada.~~verificada.

Ingresar a la sección de ~~eventos~~Events eposteriormente ~~ingresar a~~ Event Actions y por último seleccionar Add ~~event.~~event.

Creación del evento.

Distribution.
Define lael ~~cantidad~~alcance de ~~destinatarios que pueden ver información~~visibilidad del evento.
Threat level.
Define el nivel de amenaza del ~~evento como Medio.~~evento.
Analysis.
Define el evento en Inicial,Ongoing ó (en ~~curso~~curso) o finalizado.
Event info. ~~contiene~~
Incluir el resumen de launa descripción del evento.
Extends Event.
Si el evento ~~tiene~~está ~~información relacionada~~relacionado con ununo ~~evento~~previo, ~~creado anteriormente se puede colocar~~agregar el UUID ~~del evento anterior~~correspondiente para ~~relacionar la información de ambos eventos.~~vincularlos.

Asignación de Tags

~~TLP~~TLP: seSe clasifica como "green", ~~debido a~~ya que ~~el público objetivo de~~ la información esdebe ~~grande~~compartirse ~~y se necesita compartir la información con toda la cantidad de personas posibles~~ampliamente para ~~realizar~~prevenir ~~la prevención.~~ataques
Se ~~indica~~etiqueta ~~que es~~como una detección ~~de analista~~ de tipo "mail" o "correo".
Se clasifica de acuerdo a la taxonomía de CIRCL como "malware" y campaña de "phishing".

El momento de añadir un TAG local, se utilizará el tag personalizado para filtrar eventos ~~de Bolivia respecto~~específicos de ~~eventos de otros países.~~Bolivia.

~~Para la asignació~~

Asignación de Atributos y Objetos

Los atributos ~~en este caso~~ se agruparán ~~por~~en objetos ~~por~~para ~~que~~este ~~tenemos~~caso, ~~tanto~~esto elnos sirve para organizar la información (cuerpo del ~~correo~~correo, ~~con~~archivo eladjunto, ~~adjunto como el archivo.~~etc.).

Objetos.

Para crear los objetos nos dirigimos al menú lateral de la derecha y seleccionamos la opción Add ~~Object.~~Object.

ElObjeto ~~primer~~1. ~~objeto~~Correo enelectrónico. ~~ser~~Extraemos ~~añadido~~los esdatos elrelevantes del correo ~~electrónico.~~malicioso.

En ~~base a esta captura de pantalla del~~al correo electrónico recibido, ~~los~~podemos ~~datos~~extraer ~~relevantes~~(remitente, deasunto, ~~esta~~adjuntos, ~~etapa se extraen de la muestra.~~etc.).

~~Con los datos del correo recibido podemos agregar estos~~Los atributos acorrespondientes ~~nuestro~~se ~~objeto:~~añaden al objeto Correo de la siguiente manera:

ElObjeto ~~segundo~~2. ~~objeto~~Archivo ~~importante~~adjunto a(malware).

~~ser~~

Es ~~analizado~~posible esanalizar el archivo ~~adjunto que contiene el malware que se debe analizar~~ en ~~opciones de seguridad~~herramientas como ~~virus~~VirusTotal, ~~total,~~Any.Run ~~any~~o ~~run,~~Hybrid ~~hybrid sandbox, etc.~~Analysis.

~~Los~~En ~~datos~~este caso la información que sepuede ~~pueden~~ser ~~extraer~~extraída para el análisis contiene hashes (MD5, SHA-1, SHA-256), nombre del ~~segundo~~archivo ~~objeto~~y ~~son:~~metadatos como podemos ver a continuación.

~~Una vez agregados los~~Los objetos ~~dentro~~y ~~del listado de~~sus atributos se ~~verá~~listarán deen la ~~siguiente~~sección ~~manera.~~correspondiente.

Event Reports

Para ~~agregar~~contextualizar el ~~contexto~~impacto ~~de las acciones que realiza el~~del malware complementando la información del evento creamos un Event ~~Report.~~Report de forma manual en primera instancia.

~~Es posible~~Opcionalmente, generar un ~~reporte~~informe ~~desde~~automático ~~las opciones de la plataforma por lo que hacemos una prueba en~~con Generate Report From ~~Event.~~Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

Al realizar click en cualquiera de los objetos se tendrá como resultado los atributos que lo componen.

Publicación del evento.

Para

~~Por último para cambiar~~modificar el estado inicial del evento ay ~~publicado y~~permitir que los demás usuarios de la plataforma ~~puedan verlo de acuerdo~~accedan a él, según su nivel de distribuciónn, observamos ~~en primera instancia~~inicialmente que el evento seaparece ~~encuentra~~con enel estado 'Published=No', como ~~observamos~~se muestra en la siguiente captura de ~~pantalla:~~

pantalla

Con ~~publish~~la opción 'Publish (noNo ~~email)~~Email)', se realiza la publicación ~~dentro de~~en la plataforma sin enviar un correo electrónico a los ~~usuarios~~usuarios. ~~de la misma, si~~Si se requiere el envío de ~~correos se~~correos, debe ~~seleccionar~~seleccionarse la opción 'Publish ~~Event,~~Event'. ~~despué~~Después de ~~seleccionar~~elegir cualquiera de las 2dos ~~opciones~~opciones, el estado del evento cambia a ~~published "yes".~~
'Published=Yes'

~~Una~~

~~vez~~

Cuando el evento es publicado se asigna un ID al evento en este caso el "3"3" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del ~~evento.~~evento como se muestra a continuación.