Este año en BSidesDFW, en la conferencia de seguridad local, se destaco una tendencia continua de adversarios que usan herramientas ofensivas de código abierto. La charla revisó uno de estos marcos posteriores a la explotación llamado Koadic y recorrió diferentes formas en que los defensores pueden construir detecciones de comportamiento mediante el uso del lenguaje de consulta de eventos (EQL). En esta publicación, se revisa la investigación brindando antecedentes sobre Koadic y sus características, por qué es relevante, y luego profundizar en algunos ejemplos de EQL donde hay diferentes estrategias de detección contra el marco de trabajo de Koadic.

Los adversarios continúan adoptando marcos de ataque de código abierto como parte de su conjunto de herramientas. Mediante el uso de estas herramientas estándar, los atacantes pueden completar sus objetivos mientras reducen sus costos de desarrollo y presentan problemas de atribución para los respondedores de incidentes. Estas herramientas desafían las técnicas de investigación tradicionales al crear la idea de la negabilidad plausible y dejan menos marcas de herramientas que se pueden rastrear hasta un adversario. Incluso con fuertes capacidades de inteligencia de amenazas y visibilidad defensiva adecuada, no siempre es una tarea fácil diferenciar las operaciones del equipo rojo del comportamiento adversario real, especialmente en las primeras fases de un ataque.

Como defensores, estamos obligados a monitorear activamente los proyectos ofensivos de código abierto. Estos proyectos sirven como canarios en una mina de carbón, dándonos la oportunidad de obtener información sobre el nuevo comercio de atacantes. Esto no solo nos lleva a una mentalidad de atacante, sino que todo el código está disponible gratuitamente para su emulación y revisión. Algunas formas diferentes de obtener valor de la disección de estas herramientas pueden ser validar sus capacidades de detección, generar nuevos análisis, desarrollar hipótesis de búsqueda de amenazas o simplemente transfiriendo conocimiento en torno a un comportamiento subyacente.

Más información y nota completa, Blog Oficial Elastic