CAP. 4.

INCIDENTES DE
CIBERSEGURIDAD

4.2. FORENSIA DIGITAL: ANÁLISIS DE INTRUSIONES

Jhonny Barrera J. Ing.

jbarrera@ups.edu.ec
EVALUACIÓN DE ALERTAS
 FUENTES DE ALERTAS
SECURITY ONION
 Security Onion es una suite de código
abierto de Red de Monitoreo de Seguridad
(NSM) estas herramientas se ejecutan en
una distribución de Linux Ubuntu.
 Algunos componentes de Security Onion
son propiedad y mantenidos por las
empresas, tales como Cisco y Tecnologías
Riverbend, pero están disponibles como
código abierto.
 SOURCES OF ALERTS
DETECTION TOOLS FOR COLLECTION
 CapME proporciona el analista de seguridad cibernética
con un medio fácil de leer y de ver toda una sesión de
A Security Onion
Capa 4. Architecture
 Snort utiliza reglas y firmas para generar alertas.

 Bro utiliza políticas, en forma de secuencias de

comandos que determinan que se registren datos y
cuándo emitir notificaciones de alerta.
 OSSEC supervisa activamente las operaciones del
sistema anfitrión, incluyendo el monitoreo de archivo
que conduce integridad, la supervisión de registro local,
monitoreo de proceso del sistema, y ​la detección de
rootkit.

 Suricata utiliza múltiples hilos nativos, que permiten la

distribución del procesamiento de flujos de paquetes a
través de múltiples núcleos del procesador.
FUENTES DE ALERTAS
HERRAMIENTAS DE ANÁLISIS
Arquitectura de Security Onion
Sguil – Esto proporciona una consola de

analistas de seguridad cibernética de alto
nivel para investigar las alertas de seguridad
de una amplia variedad de fuentes.
 ELSA – Las fuentes de registro, como HIDS,
NIDS, firewalls, clientes y servidores de
syslog, servicios de dominio y otros pueden
configurarse para que sus registros estén
disponibles para las bases de datos de ELSA.
 Wireshark – Esta es una aplicación de captura
de paquetes que está integrada en el paquete
Security Onion.
 FUENTES DE ALERTAS
GENERACIÓN DE ALERTAS
 Se generan alertas en Security Onion por muchas
fuentes incluyendo Snort, Bro, Suricata, y OSSEC,
entre otros. Ventana Sguil
 Sguil proporciona una consola que integra alertas
de múltiples fuentes en una cola de sellos de
tiempo.
 Alertas en general incluirán los siguientes datos
cinco-tuplas:
 SrcIP - la dirección IP de origen para el evento.
 SPort - la fuente (local) capa 4 de puerto para el
evento.
 DstIP - la IP de destino para el evento.
 DPort - el puerto de destino de Capa 4 para el
evento.
 Pr - el número de protocolo IP para el evento.
 FUENTES DE ALERTAS
REGLAS Y ALERTAS
 Las alertas pueden provenir de varias fuentes:
 NIDS - Snort, Bro and Suricata
 HIDS – OSSEC
 Gestión de activos y monitoreo - Sistema de Detección de activos Pasivo (PADS)
 HTTP, DNS y transacciones TCP - Grabado por Bro y pcaps
 Mensajes Syslog – Multiples fuentes
FUENTES DE ALERTAS
SNORT ESTRUCTURA DE REGLAS
 Una regla Snort consiste en:
 Regla de cabecera contiene la acción, protocolo, direccionamiento y la información de puerto.
 Regla de opciones incluyen el mensaje de texto que identifica la alerta también un grupo de datos
sobre la alerta.
 Las reglas Snort provienen de una variedad de fuentes, incluyendo Amenazas
emergentes (ET), SourceFire, y Cisco Talos.
 Pulledpork es un componente de Security Onion que puede descargar nuevas reglas
automáticamente de snort.org.
DESCRIPCIÓN GENERAL DE LA EVALUACIÓN DE ALERTAS
LA NECESIDAD DE EVALUACIÓN DE ALERTA
 Las explotaciones inevitablemente
evadirán las medidas de protección, sin
importar qué tan sofisticadas sean.

 Las reglas de detección deben ser

demasiado conservadoras.

 Es necesario que los expertos analistas de

cyber seguridad investiguen las alertas
para determinar si realmente se ha
producido una hazaña.
 Nivel 1 Los analistas de cybersecurity
trabajarán a través de colas de alertas en
una herramienta como Sguil, Bro,
Wireshark y ELSA.
DESCRIPCIÓN GENERAL DE LA EVALUACIÓN DE ALERTAS
EVALUANDO ALERTAS
 Las alertas se pueden clasificar de la siguiente manera:
• Verdadero positivo: se ha verificado que la alerta es un incidente de seguridad real.
• Falso positivo: la alerta no indica un incidente de seguridad real.
• Verdadero negativo: no se ha producido ningún incidente de seguridad.
• Falso negativo: ha ocurrido un incidente no detectado.
DESCRIPCIÓN GENERAL DE LA EVALUACIÓN DE ALERTAS
ANÁLISIS DETERMINISTA Y ANÁLISIS PROBABILÍSTICO
 Las técnicas estadísticas se pueden utilizar para evaluar el riesgo de que las
explotaciones tengan éxito en una red determinada.
 Análisis determinístico: evalúa el riesgo según lo que se sabe sobre una
vulnerabilidad.
 Análisis probabilístico: estima el éxito potencial de una hazaña al estimar la
probabilidad de que un paso se ha completado con éxito, el próximo paso también
será exitoso.
ANÁLISIS DE DATOS DE
SEGURIDAD
PLATAFORMA DE DATOS COMUNES

ELSA
 Enterprise Log Search and Archive (ELSA)
es una herramienta de nivel empresarial
para buscar y archivar datos de NSM que
se originan en múltiples fuentes.
 ELSA puede normalizar las entradas del
archivo de registro en un esquema
común que luego puede mostrarse en la
interfaz web de ELSA.
 ELSA recibe los registros a través de
Syslog-NG, almacena los registros en las
bases de datos MySQL e índices usando
Sphinx Search.
PLATAFORMA DE DATOS COMUNES

REDUCCIÓN DE DATOS
 La reducción de datos es la
identificación de los datos que deben
recopilarse y almacenarse para reducir
la carga de los sistemas.
 Al limitar el volumen de datos, las
herramientas como ELSA serán mucho
más útiles.
 PLATAFORMA DE DATOS COMUNES

NORMALIZACIÓN DE DATOS
 La normalización de datos es el proceso de combinar datos de varias fuentes en
un formato común para la indexación y la búsqueda.
PLATAFORMA DE DATOS COMUNES

ARCHIVO DE DATOS
 Retener los datos de NSM por tiempo
indefinido no es factible debido a problemas de
almacenamiento y acceso.
 Los marcos de cumplimiento pueden requerir
el almacenamiento de datos durante un
período de tiempo específico.
 ELSA puede configurarse para retener datos por
un período de tiempo. El valor predeterminado
es 90 días.
 Los datos de alerta de Sguil se conservan
durante 30 días de forma predeterminada.
INVESTIGANDO DATOS DE RED
TRABAJANDO EN SGUIL
 Dentro de Security Onion, el
primer lugar donde un analista
debe ir a verificar las alertas es
Sguil.
 Sguil correlaciona
automáticamente alertas
similares en una sola línea y
proporciona una manera
eficiente para ver los eventos
correlacionados.
INVESTIGANDO DATOS DE RED
CONSULTAS DE SGUIL
 El Generador de
consultas de Sguil,
simplifica la construcción
de consultas
personalizadas.
 El analista de ciber
seguridad debe conocer
los nombres de los
campos y algunos
problemas con los
valores de los campos.
 INVESTIGANDO DATOS DE RED
ALREDEDOR DE SGUIL
 Sguil proporciona la
capacidad de "girar" la
investigación a otras
herramientas como ELSA,
Wireshark o Bro.

 Los archivos de registro

están disponibles en ELSA,
las capturas de paquetes
relevantes se pueden
mostrar en Wireshark, y las
transcripciones de las
sesiones TCP y la
información de Bro también
están disponibles.
INVESTIGANDO DATOS DE RED
MANEJO DE EVENTOS EN SGUIL
 Tres tareas se pueden completar
en Sguil para gestionar las alertas.

 Las alertas que se han encontrado

como falsos positivos pueden
caducar.

 Un evento se puede escalar

presionando la tecla F9.

 Un evento puede ser categorizado.

 INVESTIGANDO DATOS DE RED
TRABAJANDO EN ELSA
 ELSA proporciona un acceso a una gran
cantidad de entradas de archivos de
registro.
 ELSA solo recuperará los primeros 100
registros de las 48 horas anteriores.
 La forma más fácil de ver información
en ELSA es emitir las consultas
integradas que aparecen a la izquierda
de la ventana de ELSA y luego ajustar
las fechas y volver a enviar la consulta
usando el botón Enviar consulta.
 INVESTIGANDO DATOS DE RED
CONSULTAS EN ELSA
 ELSA proporciona un resumen de los valores para cada campo que se indexa en los
resultados de la consulta. Esto permite refinar consultas basadas en una amplia gama
de valores.
 Al hacer clic en una entrada en la columna de Valor, se mostrará la consulta con el
valor agregado a la consulta anterior. Este proceso se puede repetir para limitar los
resultados de búsqueda fácilmente.

 Las expresiones
regulares se ejecutan en
ELSA usando la función
grep.
INVESTIGANDO DATOS DE RED

PROCESO DE INVESTIGACIÓN O LLAMADAS A LA API

 Si el malware puede engañar a un kernel del
sistema operativo para que le permita hacer
llamadas al sistema, es posible que haya
muchas vulnerabilidades.
 Las reglas OSSEC detectan cambios en los
parámetros basados en el host, como la
ejecución de procesos de software, cambios
en los privilegios de los usuarios y
modificaciones del registro, entre otros.
 Las reglas OSSEC activarán una alerta en
Sguil.
 Elegir OSSEC como el programa fuente en
ELSA da como resultado una vista de los
eventos OSSEC que ocurrieron en el host.
INVESTIGANDO DATOS DE RED

INVESTIGANDO LOS DETALLES DE ARCHIVO

 Cuando se abre directamente ELSA, existe un acceso directo de consulta para Archivos.
 Al abrir las consultas de Archivos y seleccionar Tipos Mime en el menú, se muestra una
lista de los tipos de archivos que se han descargado.
 También están disponibles los hashes MD5 y SHA-1 para los archivos descargados.
 Los valores de hash del archivo pueden enviarse a sitios en línea para determinar si el
archivo es un malware conocido.
MEJORANDO EL TRABAJO DEL ANALISTA DE CIBERSEGURIDAD
GESTIÓN DE FLUJO DE TRABAJO
 El monitoreo de seguridad de la red requiere que los flujos de trabajo sean
administrados. Mejora la eficiencia del equipo de ciberoperaciones.
 Asegura que todas las alertas potenciales sean tratadas adecuadamente, al ser
asignada, procesada y documentada sistemáticamente.
 Sguil proporciona una gestión básica del flujo de trabajo, pero no es una buena opción
para grandes operaciones, existen sistemas de terceros que pueden personalizarse.
 Las consultas automatizadas añaden eficiencia al flujo de trabajo.
 La consulta ELSA puede configurarse como una regla de alerta y ejecutarse
regularmente
 Se puede crear en un lenguaje de scripting como Python
FORENSIA DIGITAL
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
FORENSIA DIGITAL
 Un analista de ciberseguridad debe descubrir evidencia de actividad criminal, identificando a los
actores de amenazas, informando a las autoridades apropiadas y proporcionando evidencia
para respaldar el procesamiento.
 El análisis forense digital es la recuperación e investigación de la información que se encuentra
en los dispositivos digitales en relación con la actividad delictiva.
 Pueden ser datos en dispositivos de almacenamiento, en la memoria volátil de la computadora
o rastros de ciberdelincuencia en datos de la red, como pcaps y registros.
 La actividad cibernética puede ser originada dentro o fuera de la organización.
 Bajo HIPAA, la notificación de incumplimiento debe hacerse a las personas afectadas.
 Los analistas deben conocer los requisitos relacionados con la conservación y el manejo de la
evidencia.
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
PROCESO FORENSE DIGITAL
 NIST describe el proceso de análisis forense digital que involucra cuatro pasos:
1. Recolección: identificación de fuentes potenciales de datos forenses y adquisición, manejo y
almacenamiento de esos datos.
2. Examen: evaluación y extracción de información relevante de los datos recopilados. Puede
implicar descompresión y descifrado.
3. Análisis - Sacar conclusiones a partir de los datos. (Personas, lugares, tiempo, eventos, etc.)
4. Reporte - Preparación y presentación de información. Se deben hacer sugerencias para una
mayor investigación y los próximos pasos.
 MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
TIPOS DE EVIDENCIA
 En los procesos judiciales, la evidencia se clasifica ampliamente:
 Las pruebas directas estaban indiscutiblemente en posesión del acusado, o son
pruebas presenciales de alguien que observó una conducta delictiva.
 La mejor evidencia es evidencia que está en su estado original.
 La evidencia que corrobora apoya una afirmación que se desarrolla a partir de la
mejor evidencia.
 La evidencia indirecta, en combinación con otros hechos, establece una hipótesis.
También se conocen como evidencia circunstancial.
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
ORDEN DE RECOLECCIÓN DE EVIDENCIA
Evidence Collection Priority
 La recopilación de evidencia digital debe
comenzar en el orden de la evidencia más
volátil y proceder a la menos volátil.

 Los datos en la memoria RAM son los más

volátiles:
1. Registros de memoria, cachés
2. Tabla de enrutamiento, caché ARP, tabla de
procesos, estadísticas del kernel,RAM
3. Sistemas de archivos temporales.
4. Medios no volátiles, fijos y removibles.
5. Registro remoto y seguimiento de datos.
6. Interconexiones físicas y topologías.
7. Soportes de archivo, cintas u otras copias de
seguridad.
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
CADENA DE CUSTODIA
 La cadena de custodia implica la recolección,
manejo y almacenamiento seguro de la evidencia.

 Quien descubrió la evidencia.

 Todos los detalles sobre el manejo de la evidencia,

incluidos los tiempos, lugares y personal
involucrado.

 Quién tiene la responsabilidad principal de las

pruebas, cuándo se asignó la responsabilidad y
cuándo se cambió la custodia.

 ¿Quién tiene acceso físico a la evidencia mientras

estaba almacenada? El acceso debe estar
restringido solo al personal más esencial.
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
INTEGRIDAD Y CONSERVACIÓN DE DATOS
 La evidencia digital debe conservarse en su estado original.
• La evidencia original debe copiarse y el análisis solo debe
realizarse en copias.
• Las marcas de tiempo pueden ser parte de la evidencia, por lo
que debe evitarse abrir archivos desde el medio original.
 El proceso utilizado para crear copias de evidencia debe ser
registrado.
 Se deben utilizar herramientas especiales para preservar la
evidencia forense antes de que el dispositivo se apague y se
pierda la evidencia.
 Los usuarios no deben desconectar, desconectar ni apagar la
máquina infectada a menos que se lo indique el personal de
seguridad.
MANEJO DE EVIDENCIAS Y ATRIBUCIÓN DE ATAQUES.
ATRIBUCIÓN DE ATAQUE
 La atribución de amenazas es el acto de determinar al individuo, organización o nación responsable de una
intrusión exitosa o incidente de ataque.

 La identificación de los actores de amenazas debe ocurrir a través de una investigación de evidencia
basada en principios y sistemática.

 En una investigación basada en la evidencia, el equipo de respuesta a incidentes relaciona las tácticas,
técnicas y procedimientos (TPP) que se usaron en el incidente con otras hazañas conocidas para identificar
a los actores de amenazas.
 Los aspectos de una amenaza que pueden ayudar en la atribución son la ubicación de los hosts o dominios
de origen, las características de los códigos utilizados en el malware, las herramientas utilizadas y otras
técnicas.
LABORATORIOS Y PRÁCTICAS
LAB. 4.1 – REGLAS DE SNORT Y FIREWALL
LAB. 4.2 - PRÁCTICA DE LABORATORIO EXTRAER UN EJECUTABLE DE UN PCAP
GRACIAS POR SU ATENCIÓN

Jhonny Barrera J. Ing.

jbarrera@ups.edu.ec