Hola comunidad.

Un analista de seguridad, la mayoría de casos requiere de información adicional para tener más contexto de los IOCs que han generado una alerta de seguridad, con la finalidad de conocer su historial y/o reputación para así poder tomar una decisión informada.

Existen una gran cantidad de recursos para lograr esto, hoy les hablare de Cisco Talos Intelligence:

“Talos se formó combinando el Equipo de Investigación de Vulnerabilidades de SourceFire, el Grupo de Comunicaciones y Comunicaciones sobre Amenazas de Cisco y el Grupo de Aplicaciones de Seguridad de Cisco. La experiencia combinada está respaldada por una infraestructura sofisticada y la telemetría de datos sin igual de Cisco que se extiende a través de redes, puntos finales, entornos de nube, sistemas virtuales y tráfico diario de correo electrónico y web.” Tomado del sitio oficial

El equipo cuenta con una gama amplia de información:

• Software: tanto material para aprender de él, como la descarga del mismo, incluyendo herramientas como: SNORT, ClamAV, Moflow, Immunet, entre otros.
• Vulnerability Information: aquí podrás encontrar una lista de vulnerabilidades descubiertas por el equipo de Talos, así como vulnerabilidades de Microsoft.
• Library: repositorio donde estan ubicados los “write ups” y white papers del equipo.
• Support Communities: acceso a las comunidades en las que Talos como equipo se encuentra involucrado directamente tales como: Snort Community, ClamAV Community, Spamcop.
• Blog: aquí podrán encontrar podcast, los reportes semanales, como también “write ups” del equipo.
• Careers: se muestran los puestos abiertos, así como el contacto para formar parte de este genial e increíble equipo.
• Reputation Center: proporciona acceso a datos de amenazas expansivas e información relacionada, aquí es donde me enfocaré para mostrarles un poco más acerca de las opciones IP & Domain Reputation & Talos File Reputation.

IP & Domain Reputation Overview

Aquí podrás buscar por IP, dominio o dueño. En este caso he utilizado una de las IP suministradas por la IP Blacklist que se usa para realizar PoC con el IP Blacklist Preprocessor in Open Source Snort, lista disponible en esta misma sección:

El resultado les mostrará, la localización (si está disponible), los detalles de reputación, así como el detalle de por quienes ha sido “blacklisted”, como la clasificación que ha hecho Talos para la misma:

Tambien encontraras información adicional sobre las IPs contenidas en el rango (en este caso se detecto que el rango utilizado es un /24, de igual forma este valor es modificable). Para que no tengas que navegar a otro sitio la información contenida en WHOIS es accesible desde aquí mismo, como también estadísticas enfocadas en el volumen de envio.

Talos File Reputation

Esta herramienta permite hacer búsquedas ocasionales contra el sistema de reputación de archivos de Talos, este sistema se aplica a las líneas de productos AMP, FirePower, ClamAV y Open-Source Snort.

He utilizado el hash SHA256 de Wannacry AEE20F9188A5C3954623583C6B0E6623EC90D5CD3FDEC4E1001646E27664002C

Este te dará un resultado de alto nivel sobre el hash suministrado, tales como el puntaje que este tiene para Talos (100 en este caso), nombre de la detección que AMP tiene para el mismo, los dominios asociados (en caso de que existiesen), como también el nombre de las firmas que otros antivirus utilizan para categorizarlo.

Espero les sea de utilidad!

Si quieren conocer más sobre el equipo de Threat Intelligence and Research Group Talos, los invito a ver el siguiente video de la mano de Craig Williams, Senior Technical Leader en Talos: https://www.youtube.com/watch?v=8UOaAgQ8G4Q

Talos website: https://talosintelligence.com/