Detecção da presença da ferramenta BloodHound

Pré-requisito:

A regra requer que o sysmon, a política de auditoria de criação de processos e a auditoria de linha de comando estejam habilitados para garantir seu funcionamento adequado.

Tipo de regra:

Regra de correlação

Descrição da regra:

Esta regra de correlação tem como objetivo detectar o uso do BloodHound, uma ferramenta open source utilizada principalmente para reconhecimento em ambientes Active Directory. O BloodHound permite que invasores mapeiem contas de usuário, contas de computador e as relações entre elas dentro de uma rede.

Fonte dos dados:

Windows: Active Directory, logs de aplicações, tráfego de rede, contas de usuário, processos

Técnicas e táticas MITRE ATT&CK relevantes:

Táticas:TA0043 - Reconhecimento, TA0005 - Evasão de defesa

Técnicas:T1595 - Varredura ativa, T1589 - Coleta de informações de identidade da vítima (Gather), T1036 - Mascaramento

Subtécnicas:T1595.001 - Varredura de blocos de IP, T1589.001 - Credenciais

Critérios:

Command line contains bloodhound: Verifica se a linha de comando usada para iniciar um processo contém o termo "bloodhound" (case-insensitive). Pode indicar execução de um binário do BloodHound.

Command line contains --CollectionMethod: Procura o argumento "--CollectionMethod" na linha de comando, comumente usado pelo BloodHound para especificar o método de coleta de informações do Active Directory.

Command line contains azurehound: Detecta chamadas ao módulo AzureHound do BloodHound (usado para consultar o Azure Active Directory). A presença sugere tentativa de coleta de informações a partir do Azure AD.

Process name contains Windows Script Interpreter: Verifica se o nome do processo associado à linha de comando é "Windows Script Interpreter" (wscript.exe).

Quando habilitar esta regra:

Habilite esta regra quando houver suspeita de comprometimento da rede ou quando a organização deseja melhorar proativamente as defesas contra ferramentas como o BloodHound, utilizadas para reconhecimento em Active Directory e movimentação lateral.

Mapeamento de conformidade (NIST, CIS):

Habilitar esta regra contribui para o atendimento dos seguintes requisitos:

NIST Cybersecurity Framework (CSF):

• Acesso irregular a repositórios de credenciais (DE.CM-1): Detecção de tentativas de acessar ou manipular contas e recursos privilegiados.
• Padrões incomuns de tráfego de rede (DE.AE-1): Monitoramento de padrões de tráfego de rede incomuns indicativos de atividades de reconhecimento.
• Anomalias em logs de segurança (DE.CM-7): Alertas sobre atividades suspeitas associadas a escalonamento de privilégios ou padrões de acesso anômalos.

CIS:

• Controle 8: Defesa contra malware: Implementa mecanismos para detectar e prevenir a execução de ferramentas como o BloodHound, utilizadas para reconhecimento em Active Directory.
• Controle 6: Manutenção, monitoramento e análise de logs de auditoria: Análise de logs de auditoria para identificar anomalias que possam indicar a presença do BloodHound ou tentativas de acesso não autorizado.

Próximos passos:

Ao acionar este alerta, as seguintes ações podem ser tomadas:

• Identificação: Marque o alerta como parte de um incidente existente ou crie um novo. Atribua o incidente a um analista para investigação aprofundada.
• Análise: Realize uma investigação de impacto e avalie minuciosamente o grau de comprometimento utilizando o Incident Workbench para obter insights sobre a gravidade da ameaça.
• Resposta: Inicie a execução de um workflow automatizado para encerrar rapidamente o processo malicioso identificado e utilize os fluxos para mitigação imediata.