OSCD: Threat Detection Sprint #1, итоги
Open Security Collaborative Development — это открытая международная инициатива специалистов по компьютерной безопасности, направленная на решение общих проблем, распространение знаний и улучшение компьютерной безопасности в целом.
Она была создана осенью 2019 года дружественными свободными проектами из сферы Информационной Безопасности. Совместная разработка организуется в виде двухнедельных спринтов. Первый спринт был посвящен Обнаружению Угроз в целом и улучшению набора правил проекта Sigma в частности.
Почему Sigma
Проект Sigma [1] — это общий формат сигнатур для SIEM систем. В нем есть конвертор, который генерирует поисковые запросы для различных SIEM систем и набор правил обнаружения, из которых эти запросы генерируются.
Со временем набор правил проекта Sigma стал самым большим и зрелым набором правил обнаружения угроз, управляемым сообществом. В нем вы можете найти правила обнаружения угроз (правила "корреляции") для новых угроз (например эксплойты для BlueKeep [2]), инструментов для проведения тестирования на проникновение (Empire [3], Cobalt Strike [4]), вредоносного поведения (Token stealing [5]), и многое другое. Большинство правил имеют привязку к MITRE ATT&CK [6].
Даже если вы не используете конвертор Sigma, вы можете извлечь выгоду из его обновляемого набора правил обнаружения угроз. Большинство продвинутых команд по безопасности подписаны на обновления проекта Sigma на GitHub [1]. Это отличное время, чтобы подписаться, если вы этого еще не сделали.
В этом проекте есть пробелы и проблемы, в то же время в публичном доступе существует множество достойных исследований (таких как Hunting for Windows Privilege Escalation [7] / Lateral Movement [8] / Credentials Dumping [9]), материалы которых пока не были добавлены в репозиторий проекта. Это то, на чем мы решили сосредоточиться в ходе первого спринта.
Как это было
Около 50 человек подтвердили свое участие в спринте. План был довольно прост:
- Двухнедельный спринт начинается 21 Октября 2019
- Участники выбирают задачи из беклога [10] или предоставляют/разрабатывают иную аналитику
- Участники опираются на руководство [11] с описанием рабочего процесса
- Результаты будут проверены и добавлены в репозиторий проекта Sigma на GitHub
В целом все шло неплохо. Через несколько дней, 25 Октября 2019, мы отчитались по первым результатам на воркшопе EU MITRE ATT&CK [12] в Люксембурге:
И мы достигли ожидаемого результата (x2), несмотря на то что в конце спринта реальное количество участников сократилось до 30 человек.
Результат
В течение двухнедельного спринта участники:
- добавили 144 новых правила Sigma
- улучшили 19 существующих
- удалили два существующих правила (декомпозировали и разнесли логику по иным, более контекстуализированным)
Таким образом, мы увеличили набор правил проекта Sigma более чем на 40%.
Список добавленных правил доступен в описании Pull Request [13] в мастер ветку репозитория Sigma на GitHub.
Бэклог
Хотя мы и добились многого за первый спринт, осталось множество задач, которые было невозможно решить нашими силами в течение двух недель. Мы решили детализировать бэклог и перенести его в issues репозитория Sigma для последующей их обработки силами сообщества:
- Develop Sigma rules for Privilege Escalation in Windows Environment [14]
- Develop Sigma rules for PowerShell Abuse [15]
- Develop Sigma rules for Lateral Movement in Windows Infrastructure [16]
- Develop Sigma rules for Invoke-DOSfuscation [17]
- Develop Sigma rules for Invoke-Obfuscation [18]
- Develop Sigma rules for Living Off The Land Binaries and Scripts [19]
- Develop Sigma rules for Atomic Red Team tests [20]
Мы убеждены, что совместное решение перечисленных (и иных, того же рода) задач — это наиболее реалистичное и быстрое решение проблемы публикации "Offensive Security Tools", которая бурно [21] обсуждается [22] последние недели.
Мы стремимся, чтобы наши Правила Обнаружения покрывали уровень TTP по модели The Pyramid of Pain [23], таким образом, мы сможем детектировать вредоносное поведение, безотносительно используемого инструмента. 'Offensive Security Tools' — наши лучшие друзья в исследованиях и разработке правил такого типа.
Благодарности
Первый OSCD Спринт не состоялся бы без Александре Дюлонуа [24] и команды организаторов конференции hack.lu [25]. Они предоставили информационную поддержку, слот на конференции для воркшопа OSCD, помогли с получением визы и проживанием. Мы очень благодарны им за это.
Последнее, но не менее важное — участники спринта, которые провели всю работу:
- Томас Пацке, @blubbfiction [26] (Sigma Project [1]) DE
- Теймур Хеирхабаров, @HeirhabarovT [27] (BI.ZONE SOC [28]) RU
- Дэниэл Бохэннон, @danielhbohannon [29] (FireEye [30]) US
- Алексей Потапов (PT ESC [31]) RU
- Кирилл Кирьянов (PT ESC [31]) RU
- Егор Подмоков (PT ESC [31]) RU
- Антон Кутепов (PT ESC [31]) RU
- Алексей Леднев (PT ESC [31]) RU
- Антон Тюрин (PT ESC [31]) RU
- Ева Мария Анхауз (BSI [32]) DE
- Ян Хазенбуш (BSI [32]) DE
- Диего Перез, @darkquassar [33] (Независимый Исследователь) AR
- Михаил Ларин (Jet CSIRT [34]) RU
- Александр Ахремчик (Jet CSIRT [34]) RU
- Дмитрий Лифанов (Jet CSIRT [34]) RU
- Алексей Баладин, @Kriks87 [35] (Jet CSIRT [34]) RU
- Роман Резвухин (CERT-GIB [36]) RU
- Алина Степченкова (CERT-GIB [36]) RU
- Тимур Зиннятуллин (Angara technologies group [37]) RU
- Глеб Суходольский (Angara technologies group [37]) RU
- Виктор Сергеев, @stvetro [38] (Help AG [39]) AE
- Ильяс Очков, @CatSchrodinger [40] (Независимый Исследователь) RU
- Джеймс Пембетон, @4A616D6573 [41] (Hydro Tasmania [42]) AU
- Денис Бею (ГКУ ТО ЦИТТО [43]) RU
- Матэуш Выдра, @sn0w0tter [44] (Relativity [45]) PL
- Якоб Вайнзетл, @mrblacyk [46] (Tieto SOC [47]) PL
- Том Керн (NIL SOC [48]) SI
- Сергей Солдатов, @SVSoldatov [49] (Kaspersky MDR [50]) RU
- Иэн Дэвис (Tieto SOC [47]) CZ
Спасибо всем вам. Увидимся на следующем спринте [51]!
С Новым Годом и Рождеством!
Автор: Даниил Югославский
Источник [52]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/341772
Ссылки в тексте:
[1] Sigma: https://github.com/Neo23x0/sigma/
[2] BlueKeep: https://github.com/Neo23x0/sigma/blob/master/rules/windows/builtin/win_rdp_potential_cve-2019-0708.yml
[3] Empire: https://github.com/Neo23x0/sigma/search?q=empire&unscoped_q=empire
[4] Cobalt Strike: https://github.com/Neo23x0/sigma/search?q=cobalt+strike&unscoped_q=cobalt+strike
[5] Token stealing: https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_kernel_and_3rd_party_drivers_exploits_token_stealing.yml
[6] MITRE ATT&CK: https://attack.mitre.org/
[7] Windows Privilege Escalation: https://www.slideshare.net/heirhabarov/hunting-for-privilege-escalation-in-windows-environment
[8] Lateral Movement: https://drive.google.com/file/d/1lKya3_mLnR3UQuCoiYruO3qgu052_iS_/view
[9] Credentials Dumping: https://www.slideshare.net/heirhabarov/hunting-for-credentials-dumping-in-windows-environment
[10] беклога: https://docs.google.com/document/u/1/d/1aAIZr4TKwF94zzVi44tAPs-HLJRg1Nz62GZr4oIXoEA
[11] руководство: https://docs.google.com/document/d/1EGKfXwlea-Nf1TwqZH09dqPjerDbo6PFyt9DpX0daRk
[12] воркшопе EU MITRE ATT&CK: https://www.youtube.com/watch?v=lkkC4UEIpAE&feature=youtu.be&t=438
[13] Pull Request: https://github.com/Neo23x0/sigma/pull/554
[14] Develop Sigma rules for Privilege Escalation in Windows Environment: https://github.com/Neo23x0/sigma/issues/574
[15] Develop Sigma rules for PowerShell Abuse: https://github.com/Neo23x0/sigma/issues/575
[16] Develop Sigma rules for Lateral Movement in Windows Infrastructure: https://github.com/Neo23x0/sigma/issues/576
[17] Develop Sigma rules for Invoke-DOSfuscation: https://github.com/Neo23x0/sigma/issues/577
[18] Develop Sigma rules for Invoke-Obfuscation: https://github.com/Neo23x0/sigma/issues/578
[19] Develop Sigma rules for Living Off The Land Binaries and Scripts: https://github.com/Neo23x0/sigma/issues/579
[20] Develop Sigma rules for Atomic Red Team tests: https://github.com/Neo23x0/sigma/issues/580
[21] бурно: https://medium.com/@QW5kcmV3/misconceptions-unrestricted-release-of-offensive-security-tools-789299c72afe
[22] обсуждается: http://lockboxx.blogspot.com/2019/12/misconceptions-regarding-offensive.html?view=flipcard
[23] The Pyramid of Pain: https://globalsecuresolutions.com/the-pyramid-of-pain/
[24] Александре Дюлонуа: https://twitter.com/adulau
[25] hack.lu: https://2019.hack.lu/
[26] @blubbfiction: https://twitter.com/blubbfiction
[27] @HeirhabarovT: https://twitter.com/HeirhabarovT
[28] BI.ZONE SOC: https://www.bi.zone
[29] @danielhbohannon: https://twitter.com/danielhbohannon
[30] FireEye: https://www.fireeye.com/services.html
[31] PT ESC: https://www.ptsecurity.com/ww-en/
[32] BSI: https://www.bsi-fuer-buerger.de
[33] @darkquassar: https://twitter.com/darkquassar
[34] Jet CSIRT: https://csirt.jet.su
[35] @Kriks87: https://twitter.com/Kriks87
[36] CERT-GIB: https://www.group-ib.com/cert.html
[37] Angara technologies group: https://www.angaratech.ru/
[38] @stvetro: https://twitter.com/stvetro
[39] Help AG: https://www.helpag.com
[40] @CatSchrodinger: https://t.me/CatSchrodinger
[41] @4A616D6573: https://twitter.com/4A616D6573
[42] Hydro Tasmania: https://www.hydro.com.au
[43] ГКУ ТО ЦИТТО: https://citto.ru
[44] @sn0w0tter: https://twitter.com/sn0w0tter
[45] Relativity: https://www.relativity.com/ediscovery-software/relativityone/trust/threat-prevention/our-team/
[46] @mrblacyk: https://twitter.com/mrblacyk
[47] Tieto SOC: https://www.tieto.com/en/what-we-do/managed-services-and-integration/security-services/security-operations-center/
[48] NIL SOC: https://www.nil.com/en/security/security-operations-center-soc-building-services/
[49] @SVSoldatov: https://twitter.com/SVSoldatov
[50] Kaspersky MDR: https://www.kaspersky.com/enterprise-security/security-operations-center-soc
[51] следующем спринте: https://oscd.community/sprints/sprint_2.html
[52] Источник: https://habr.com/ru/post/482642/?utm_source=habrahabr&utm_medium=rss&utm_campaign=482642
Нажмите здесь для печати.