RED EYE: UNA GRAN HERRAMIENTA DE VISUALIZACIÓN DE REGISTROS DE CIBERSEGURIDAD DE CÓDIGO ABIERTO PARA EQUIPOS ROJOS Y AZULES

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de EE. UU. ha anunciado RedEye, una herramienta analítica de código abierto para que los operadores visualicen e informen la actividad de comando y control (C2).

RedEye es tanto para los equipos rojos como para los azules y proporciona una forma fácil de medir datos que conducen a decisiones prácticas.

Evaluación de campañas de ataque

Un proyecto conjunto de CISA y el Laboratorio Nacional del Noroeste del Pacífico del DOE, RedEye puede analizar registros de marcos de ataque (por ejemplo, Cobalt Strike) para presentar datos complejos en un formato más digerible.

La herramienta permite a los usuarios cargar datos de campaña para ver información relevante, como balizas y comandos.

Herramienta RedEye – carga de datos de campaña

Los registros históricos de los registros de cada campaña cargados en RedEye se pueden ver en una representación gráfica que correlaciona los servidores y los hosts involucrados.

Herramienta RedEye – visualización de campañas

Los analistas también pueden explorar eventos clave en una campaña seleccionada para descubrir la actividad de carga útil y seguir la ruta de penetración de un atacante, como la actividad de movimiento lateral o el uso de credenciales para aumentar los privilegios en una máquina.

Herramienta RedEye – reproducción de campaña

Las funciones disponibles en RedEye permiten a los analistas comentar sobre la actividad del atacante para una mejor colaboración y comprensión de la ruta del ataque.

Herramienta RedEye: función de comentarios y etiquetas

Utilizando los comentarios de los analistas y las técnicas utilizadas en la campaña, RedEye también puede generar presentaciones que se pueden compartir con las partes interesadas y los clientes.

Todos los datos recopilados de una campaña y los comentarios de los analistas se pueden exportar para que los clientes puedan revisar

Los equipos azules también pueden usar RedEye para comprender más fácilmente los datos sin procesar recibidos de una evaluación y ver la ruta de ataque y los hosts comprometidos para que puedan tomar las medidas adecuadas.

Herramienta RedEye – generar presentaciones

Por el momento, RedEye puede analizar registros del marco Cobalt Strike.

Se ha probado que funciona en Linux (Ubuntu 18 y superior, Kali Linux 2020.1 o posterior), macOS (El Capitan y superior) y Windows 7 o posterior.

La herramienta está disponible en GitHub , en el repositorio de CISA.

CISA también ha lanzado un video, disponible a continuación, que repasa las principales funciones disponibles en RedEye:

RedEye es la última de un conjunto de herramientas que CISA lanzó como proyectos de código abierto en los últimos años.

Fuente: https://www.bleepingcomputer.com/news/security/cisa-releases-open-source-redeye-c2-log-visualization-tool/