La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de EE. UU. ha anunciado RedEye, una herramienta analítica de código abierto para que los operadores visualicen e informen la actividad de comando y control (C2).
RedEye es tanto para los equipos rojos como para los azules y proporciona una forma fácil de medir datos que conducen a decisiones prácticas.
Evaluación de campañas de ataque
Un proyecto conjunto de CISA y el Laboratorio Nacional del Noroeste del Pacífico del DOE, RedEye puede analizar registros de marcos de ataque (por ejemplo, Cobalt Strike) para presentar datos complejos en un formato más digerible.
La herramienta permite a los usuarios cargar datos de campaña para ver información relevante, como balizas y comandos.
Los registros históricos de los registros de cada campaña cargados en RedEye se pueden ver en una representación gráfica que correlaciona los servidores y los hosts involucrados.
Los analistas también pueden explorar eventos clave en una campaña seleccionada para descubrir la actividad de carga útil y seguir la ruta de penetración de un atacante, como la actividad de movimiento lateral o el uso de credenciales para aumentar los privilegios en una máquina.
Las funciones disponibles en RedEye permiten a los analistas comentar sobre la actividad del atacante para una mejor colaboración y comprensión de la ruta del ataque.
Utilizando los comentarios de los analistas y las técnicas utilizadas en la campaña, RedEye también puede generar presentaciones que se pueden compartir con las partes interesadas y los clientes.
Todos los datos recopilados de una campaña y los comentarios de los analistas se pueden exportar para que los clientes puedan revisar
Los equipos azules también pueden usar RedEye para comprender más fácilmente los datos sin procesar recibidos de una evaluación y ver la ruta de ataque y los hosts comprometidos para que puedan tomar las medidas adecuadas.
Por el momento, RedEye puede analizar registros del marco Cobalt Strike.
Se ha probado que funciona en Linux (Ubuntu 18 y superior, Kali Linux 2020.1 o posterior), macOS (El Capitan y superior) y Windows 7 o posterior.
La herramienta está disponible en GitHub , en el repositorio de CISA.
CISA también ha lanzado un video, disponible a continuación, que repasa las principales funciones disponibles en RedEye:
RedEye es la última de un conjunto de herramientas que CISA lanzó como proyectos de código abierto en los últimos años.
Fuente: https://www.bleepingcomputer.com/news/security/cisa-releases-open-source-redeye-c2-log-visualization-tool/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.