Botnet Encyclopedia ayuda a los equipos de seguridad a analizar actividades sospechosas en los centros de datos

por

Los nuevos recursos enumeran las direcciones IP de origen, los servidores de conexión y los flujos de ataque para campañas establecidas y amenazas emergentes.

guardicorebotnetencyclopedia.jpg

Guardicore ha publicado un nuevo recurso para que los equipos de seguridad lo utilicen al defender los centros de datos contra campañas de botnets.

Imagen: Guardicore

Guardicore Enciclopedia de botnets es una nueva herramienta gratuita para los equipos de seguridad que rastrean actividades sospechosas en los centros de datos. Los usuarios pueden buscar información mediante una búsqueda de texto libre y varios indicadores de compromiso (IOC), incluidas direcciones IP, dominios, nombres de archivos y nombres de servicios y tareas programadas.

Ophir Harpaz realiza investigaciones de amenazas en Guardicore y se especializa en malware dirigido a centros de datos. Creó la enciclopedia y ha estado recopilando datos durante dos años.

“Estamos identificando amenazas dentro de los datos y clarificándolas para contar la historia completa sobre un ataque”, dijo. “La enciclopedia incluye todo tipo de atributos que encontramos indicativos de una campaña”.

FritzFrog es un nuevo bot que Harpaz descubrió recientemente mientras trabajaba en la enciclopedia.

“El malware está escrito en Golang y no parece tener una infraestructura centralizada”, dijo. “Estamos en medio del proceso de investigación sobre este”.

VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)

Cada una de las 11 entradas está etiquetada con una característica del evento, incluido el escaneo del puerto 22, SSH, el comando de shell 11, descargar y ejecutar, y otros. La Enciclopedia de Botnet proporciona contexto sobre amenazas avanzadas que incluyen:

  • Información de la campaña, incluido el nombre, las variantes, el período de identificación dentro de la red global de sensores de Guardicore (GGSN) y enlaces a recursos externos
  • IOC asociados con la campaña, incluidas las direcciones IP desde las que se originan los ataques, las direcciones IP y los dominios que contienen conexiones de ataque salientes y los archivos eliminados o creados como parte del ataque.
  • Flujo de ataque completo tal como fue capturado por el GGSN con análisis de Guardicore Labs

Los datos de la enciclopedia provienen de sensores Guardicore distribuidos en servidores de todo el mundo.

“Exponemos estos sensores a Internet en diferentes centros de datos de producción para que parezcan muy atractivos para los atacantes”, dijo el vicepresidente de investigación de Guardicore, Ofri Ziv. “Luego recopilamos una enorme cantidad de datos sobre los IOC y los TTP (tácticas, técnicas y procedimientos) que utilizan los atacantes”.

La plataforma Centra de Guardicore utiliza los datos para comprender el tráfico de la red y mejorar la seguridad de la nube para los clientes y comparte el análisis con la comunidad de ciberseguridad.

“Esto le permite encontrar las mitigaciones adecuadas y crea un terreno común para cuestionar lo que está viendo”, dijo.

Harpaz dijo que este conjunto diverso de datos recopilados tanto de máquinas Windows como Linux les brinda a los investigadores de Guardicore un relato paso a paso de cómo se desarrollan los ataques de botnets.

“Registramos los ataques en alta resolución para tener la cadena de ataque completa”, dijo.

Ziv dijo que este relato detallado muestra qué elementos del ataque funcionaron y cuáles fallaron.

“Esto ayuda a los defensores a ver a qué se enfrentan y saber exactamente qué están abordando en su propia red”, dijo.

Centra se implementa dentro del centro de datos y las cargas de trabajo en la nube y mapea la comunicación entre las máquinas para comprender cómo se comunican los servidores dentro de la red.

Luego, la plataforma establece reglas basadas en la investigación de amenazas y los patrones de comunicación existentes en la red. Los usuarios también pueden utilizar los datos para crear una lista negra.

“Por ejemplo, ahora hay una nueva vulnerabilidad que se dirige a los escritorios remotos, por lo que ahora puedo decir que quiero limitar al mínimo la capacidad para que dicha comunicación continúe en mi centro de datos”, dijo Ziv.

Cuando Guardicore identifica una nueva campaña de botnet, la empresa agregará una entrada a la enciclopedia. Harpaz dijo que espera recibir contribuciones, preguntas y sugerencias de la comunidad de ciberseguridad para mejorar la enciclopedia y planea vincularla a otros recursos de ciberseguridad de la enciclopedia.

Guardicore también creó el Mono de infección, una herramienta de código abierto que simula infracciones y ataques, y tiene ataques de botnet documentados en varios repositorios de Github.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Navegador Microsoft Edge: este nuevo monitor de contraseñas ayuda a mantener sus datos seguros
  2. Check Point ayuda a Zoom a resolver el problema de seguridad de la “URL personalizada”
  3. Windows 10: la nueva característica de seguridad clave de Microsoft ayuda a proteger su información
  4. ¿Quiere crear clientes leales? Póngase a la vanguardia de la seguridad de los datos

Deja un comentario