Análisis de Logs Posterior a un Ataque DDoS

El sitio web FalconFeeds.io contiene información sobre múltiples actores de amenaza. Es posible buscar información para recolectar datos sobre actores maliciosos.

Degradación de los servicios.

Verificar la página de Uptime Kuma para concluir, en base a los registros, el tiempo de respuesta de los sitios web afectados. En caso de caída del sitio, verificar el tiempo que se mantuvo fuera de línea.

Prevención interna.

1. Configuración y mejora de los mecanismos de respuesta ante la detección de actividad de red inusual.
2. Verificación de la configuración del firewall disponible ante la respuesta ante ataques de tipo SYN DDoS (ataque de denegación de servicio que explota el proceso de establecimiento de conexiones TCP).

Análisis con Wazuh Manager.

Realizar un laboratorio de prueba para simular la carga de registros en un servidor de prueba, descartando los registros de información y seleccionando alertas de nivel medio y alto.

• Utilizar un script de simulación de carga de registros en el mismo directorio donde se almacenan los registros a analizar.

nano simulador.sh

#!/bin/bash
#Archivo de entrada al script que contiene los registros del objetivo del ataque
input_file="access.log"
#Archivo de salida monitorizado por Wazuh para la generación de alertas
output_file="archivoaccess.log"
# Verifica si el archivo de salida existe y, si es así, lo elimina
# para evitar duplicar los registros o mezclarlos con anteriores
if [ -f "$output_file" ]; then
    rm "$output_file"
fi
# Lee el archivo línea por línea
while IFS= read -r line
do
    # Simula la recepción de logs añadiendo un retraso de 90 ms
    # para no sobrepasar el humbral de deteccion de eventos que tiene wazuh manager
    sleep 0.09
    # Escribe la línea en el archivo de salida
    echo "$line" >> "$output_file"
    echo "Log añadido: $line"
done < "$input_file"
# Registro de la cantidad de lineas copiadas mientras se ejecuta el script
echo "El archivo ha sido copiado línea por línea a $output_file"

• Añadir permisos de ejecución del archivo.

sudo chmod +x simulador.sh

• Añadir al archivo "ossec.conf" la configuración para el análisis del archivo de salida del script y que las alertas se generen en base a este comportamiento.

<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/home/wazuh/monitoreo/archivoaccess.log</location>
  </localfile>
</ossec_config>

• Reiniciar el servicio de Wazuh manager o Wazuh agent que se esté utilizando para aplicar los cambios realizados.

sudo systemctl restart wazuh-manager

sudo systemctl restart wazuh-agent

• Ejecutar el script de simulación para observar las alertas.

./simulador.sh

• Analizar las alertas en base a los resultados

Análisis de resultados con la plataforma MISP.

Con la lista de direcciones IP únicas, agruparlas de 1000 en 1000 para poder copiar la lista y observar qué direcciones IP tienen correlación con otro evento dentro de la región.

Distribución de la información.

Extraer de los archivos de registro las direcciones IP involucradas y crear un evento con nivel alto de peligrosidad dentro de la plataforma MISP, indicando todos los indicadores de compromiso para proporcionar la información a las instituciones.