Extracción de indicadores de compromiso a través técnicas de fingerprinting TLS y footprinting

El objetivo de este proyecto es recolectar de manera automatizada indicadores de compromiso (IOCs) de diversos servidores de comando y control (Cobalt Strike o Empire PowerShell) y malwares conocidos (Emotet) con un alto nivel de fiabilidad. Para ello se aplicarán técnicas footprinting que consisten en usar diversas fuentes de ciberinteligencia públicas (OSINT), y otras más avanzadas de pago, para a continuación aplicar técnicas fingerprinting TLS que permitan encontrar más IOCs.

Para cada uno de los servidores de C&C o malware que se van a analizar en el proyecto primero se investigarán fuentes desde donde se puedan extraer IOCs ya catalogados como tal (como por ejemplo Shodan, AlienVault, URL hause, GitHub o Twitter). A continuación, se calculará el hash JARM, desarrollado por la empresa Salesforce, el cual resume la información TLS de la respuesta del servidor, permitiendo englobar diversos IOCs que comparten una misma configuración TLS bajo el mismo hash. Después se sacarán de Shodan las direcciones IPs que compartan dicho JARM.

Se desarrollarán métodos para descartar los falsos positivos ( como por ejemplo calcular la URI completa a la que hacer la petición para poder descargarse el payload malicioso y extraer su configuración) o para asignar un índice de fiabilidad a los IOCs encontrados. Por último, se usarán servicios de ciberinteligencia (como Recorded Future) para enriquecer los IOCs obtenidos. Durante todo el proceso se hará uso de servicios de la nube de AWS para ejecutar los scripts automatizados, almacenar y analizar la información obtenida. También se extraerán los IOCs presentes en la fuga de información sobre el grupo de ransomware Conti realizada en marzo de 2022.

The main goal of this project is fully automate the collection of indicators of compromise (IOCs) from several command and control servers (Cobalt Strike or Empire PowerShell) and famous malwares (Emotet) with a high level of reliability. For this purpose, footprinting techniques will be applied, which consist of using various public cyberintelligence sources (OSINT), and other more advanced paid ones, and then applying TLS fingerprinting techniques to find more IOCs.

For each of the C&C server or malware to be analyzed in this project, we will first investigate sources from which we can extract IOCs that are already catalogued (such as Shodan, AlienVault, URL hause, GitHub or Twitter). Then the JARM hash (developed by Salesforce) will be calculated of each one of those IOCs. This hash summarizes the TLS information of an IOC, so that several IOCs that have the same TLS configuration can share the same JARM. Then, all the IPSs linked to each of the calculated JARMs will be extracted from Shodan.

Several methods will be developed to eliminate false positives (such as calculating the full URI to make the request in order to download the malicious payload and extract its configuration) or to assign a reliability index to the IOCs found. Finally, cyber-intelligence services (such as Recorded Future) will be used to enrich the IOCs obtained. Throughout the process, AWS cloud services (EC2, S3, Athena, QuickSight) will be used to run the automated scripts, store and analyze the information obtained. The IOCs present in the Conti ransomware group information leak conducted in March 2022 will also be extracted.