03- Campaña DDoS evento MISP

Introducción

Esta guía te ayudará a configurar y utilizar la plataforma MISP (Malware Information Sharing Platform & Threat Sharing) para crear y distribuir eventos de manera eficiente. MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOCs), análisis de malware y otros datos relevantes de seguridad.

Aprenderás cómo generar eventos en MISP, enriquecerlos con información contextual y distribuirlos de manera segura a otros usuarios o organizaciones dentro de la comunidad.

Contexto

Se tienerealizó unaun campañaintento de phishingataque realde denegación de servicio (DDoS) hacia servidores gubernamentales en Bolivia, tras realizar la investigación se pudieron recopilar las direcciones IP que distribuye malwarepertenecen a travésla botnet para realizar ataques bajo el criterio de adjuntosnumero ende lossolicitudes correosrealizadas electrónicosy haciatipo unade entidadsolicitudes.

estatal "X".

Los pasos para lapublicar publicación delel evento pueden variar ligeramente desegún acuerdo alel contenido ey la información suministradaproporcionada a la plataforma,plataforma. enEn este ejemplo de creación de un evento en MISPMISP, se detallarandetallan gran parteconjuntos de direcciones IP que luego fueron reportadas a los indicadoresrespectivos países para tomar acciones de compromisomitigación quedesde sesus encuentranjurisdicciones. al recibir phishing mediante correo electrónico, enEn casos específicos puedende no encontrarse todosDDoS, los datos proporcionadosmás porimportantes loson cuallas solodirecciones debeIP añadirde alorigen, eventolos informaciórangos de IP y la geolocalización, comprobada.ya que son atributos clave para correlacionar. Como contexto adicional, los tiempos entre solicitudes son muy útiles para identificar patrones en solicitudes automatizadas.

CREACIÓN DEL EVENTO.

• Ingresar a la sección de eventosEvents eposteriormente ingresar a Event Actions y por último seleccionar Add event.event.

Creación del evento.

• Distribution. 
  Define lael cantidadalcance de destinatarios que pueden ver informaciónvisibilidad del evento.
  
• Threat level.
  Define el nivel de amenaza del evento como Medio.evento.
• Analysis.
  Define el evento en Inicial,Ongoing ó (en cursocurso) o finalizado.
  
• Event info. contiene
  Incluir el resumen de launa descripción del evento.
• Extends Event. 
  Si el evento tieneestá información relacionadarelacionado con ununo eventoprevio, creado anteriormente se puede colocaragregar el UUID del evento anteriorcorrespondiente para relacionar la información de ambos eventos.vincularlos.
  

AsignaciónASIGNACIÓN deDE TagsTAGS

• TLPTLP: seSe clasifica como "green"amber", debido aya que el público objetivo de la información es grandedelicada y sede necesitauso compartira nivel nacional, pero debe compartirse con todos los usuarios de la información con toda la cantidad de personas posibles para realizar la prevención.plataforma.
  
• Se indicaetiqueta que escomo una detección de analistatipo "botnet"  debido al comportamiento malicioso observado en la mayoría de tipolas "Malware".direcciones IP.
  
• Se clasifica decomo acuerdoDDoS aattack laevidence taxonomíacampaing, ya que este intento de CSIRTataque Américasfue yanunciado CIRCLpreviamente comoen "malware".redes sociales (X/Twitter), lo que indica una planificación por parte de actores maliciosos.
  

El momento de añadir un TAG local, se utilizará el tag personalizado para filtrar eventos de Bolivia respectoespecíficos de eventos de otros países.Bolivia.

Para la asignació

Asignación de Atributos

Los atributos enpara este caso seson agruparánde poractividad objetosde porred, queesto tenemosnos tantosirve elpara cuerpoorganizar della correo con el adjunto como el archivo.información.

Objetos.OBJETOS.

En este caso específico no se tienenincluyen objetosobjetos, porcomo muestras de malware o archivos maliciosos, ya que el origen de la información nosse detallalimita a direcciones IP que sonforman parte de la botnet queresponsable realizadel elataque DDoSDDoS. porPor loeste quemotivo, no se añadirán objetos.objetos al análisis.

Atributos.ATRIBUTOS.

Para agregar la lista de direcciones IP procedemos a seleccionar el botón "+" para añadir los atributos.

Estos  atributos se clasifican en la categoría de actividad de red e IP destinofuente por que son las direcciones IP adesde las que se comunicanrealizó losel equiposintento infectados.de denegación de servicio.

Una vez seleccionada la opción 'Submit', podemos observarverificar que los atributos se han sido agregadosagregado correctamente observandoy comprobar si existe una correlación con otros eventos,eventos. enEn este caso alparticular, serdado unael cantidadvolumen sumamente grandeelevado de direcciones IPIP, esse recomendablerecomienda revisar lalas correlacióncorrelaciones en la esquina superior derecha,derecha podemosde verla ainterfaz. enEn la columna aadyacente continuaciónpueden observarse los atributos agregadosque han sido añadidos al evento.
evento

CORRELACIÓN

• EnDE EVENTOS.

  La forma recomendada para visualizar la correlación se encuentra en la esquina superior derecha donde podemos observar losencontrar eventos que fueron relacionados con nuestro evento.
  

  En la esquina superior derecha de la interfaz se visualizan los eventos relacionados con las direcciones IP reportadasidentificadas como parte de la red delinvolucrada en el ataque DDoSDDoS, extraídas después dedurante la investigación,n. con esteEste contexto podemosnos relacionarpermite queestablecer lasque:

  direcciones

  • Direcciones IP estánasociadas relacionadasa conactividad malware,maliciosa

    también
  existen
  • dispositivos de

    Dispositivos IoT infectados,comprometidos

    direcciones
  IP

  • Direcciones dedicadas a la enumeración de usuarios,usuarios

    intentos
  no
  • autorizados

    Intentos de exploración,n etc.no autorizados.

  

  EVENT REPORT.

  • Es posible generarGeneramos un reporteevent desdereport lasautomático opciones de la plataforma por lo que hacemos una prueba encon Generate Report From Event.Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

  

  

  • Una vez generado el reporte se observa laen filael resumen.
    
    apartado de Event Reports el resumen de los datos relevantes del reporte.

  

  Se

  obtiene
  • El reporte generado resume la información resumidadel para compartirevento en caso de que los destinatarios de la informaciónsiguiente noplantilla:
  tengan una cuenta en MISP.

  

  Publicación del evento.

  Para

  • Por último para cambiarmodificar el estado inicial del evento ay publicado ypermitir que los demás usuarios de la plataforma puedan verlo de acuerdoaccedan a él, según su nivel de distribuciónn, observamos en primera instanciainicialmente que el evento seaparece encuentracon enel estado 'Published=No', como observamosse muestra en la siguiente captura de pantalla:
  pantalla

  

  Con publishla opción 'Publish (noNo email)Email)', se realiza la publicación dentro deen la plataforma sin enviar un correo electrónico a los usuariosusuarios. de la misma, siSi se requiere el envío de correos secorreos, debe seleccionarseleccionarse la opción 'Publish Event,Event'. despuéDespués de seleccionarelegir cualquiera de las 2dos opcionesopciones, el estado del evento cambia a published "yes".
  'Published=Yes'

  

  UnaCuando vezel evento es publicado se asigna un ID al evento en este caso el "36748"53289" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento.evento como se muestra a continuación.