Thanos explain: Pyramid of Pain/Thanos explica: Pyramid of Pain
EN
In the second episode of Notebook by V adventure:
“I am inevitable.” In the Avengers Endgame movie, this phrase was said by Thanos. So, no matter how hard you try, you can’t stop it, he will get stronger and keep collecting the infinity stones. Yes, but what is the correlation with the Pyramid of Pain?
Pyramid of Pain was create by David Bianco and this is how it looks like:
This Pyramid is presenting different kinds of artifacts that actors may use in their activities. Each layer represents in a scale, from easy to hard, how painful it is for them when researches discover their characteristics.
With that being said, we can consider, from the bottom to the top, each layer has one infinity stone that compose the infinity gauntlet.
Let’s break the gaunlet, I mean, the pyramid down:
Every layer has an IoC (Indicator of Compromise), the analyst knowing this information, can be a help during hunting activities.
Hash Values (the power stone) — hash is considered trivial. Why? It can change. Hashes are like the ID of the file and/or software. Some types of hash: MD5, Sha-256, Sha-1.
IP Addresses (the space stone) — IP is consider easy. A motive for it is: when you are doing proactive hunting activities in your environment, you can identify suspicious actions performed by an specific IP. But in any regard, actors may have a set of IPs, so it won’t cause much pain to them.
Domain Names (the reality stone) — Suspicious domains can be website, server or a known domain that taken over by an actor group. Its a good resource IoC to have when hunting, but still simple for the actors level of concern.
Network/Host Artifacts (soul stone) — Network and or host activities. In this level, the intelligence analyst will be able to identify different activities while quering and analyzing logs. An example can be, an unexpected modification in a registry. Any actor wants to be noticed while performing their art. Here the analyst can annoy them breking the chain.
Tools (time stone) — Time is running and analysts are more closer to find something that will challenge the actors. Here are the tools that they may be using to succeed with the activity. Example: a tool that will deploy a malicious code into the victim environment.
TTPs (mind stone) — Tactics, Techniques and Procedures are the tough! Actors may feel the discomfort when analysts are able to enforce security with this information. This the main secret, the “modus operandi” of the actor. Knowing this you will have the power to grasp their behavior and think strategically against them.
COMPLETED
In Conclusion, all the stones has their own role and all of them are important. With the power of all the infinity stones (layers of the pyramid), we complete the infinity gauntlet.
Pyramid of Pain is an ally in cyber threat intelligence. Use it while doing researching activities to create the strategy that fits best with what you need.
Refer to: https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
Thanks for reading it! See you in the next one :)
PT-BR
No segundo episódio da aventura Notebook by V:
“Eu sou inevitável.” No filme Vingadores: Ultimato, essa frase foi dita por Thanos. Então, não importa o quanto você tente, você não pode detê-lo, ele ficará mais forte e continuará coletando as pedras do infinito. Sim, mas qual é a correlação com a Pyramid of Pain (Pirâmide da Dor)?
Pyramid of Pain foi criada por David Bianco e é assim que ela se parece:
Esta pirâmide apresenta diferentes tipos de artefatos que os atores podem usar em suas atividades. Cada camada representa, em uma escala de fácil a difícil, o quão doloroso é para eles quando as pesquisas descobrem suas características.
Com isso dito, podemos considerar que, de baixo para cima, cada camada tem uma Joia do Infinito que compõe a Manopla do Infinito.
Vamos desmontar a manopla, quero dizer, a pirâmide:
Cada camada tem um IoC (Indicador de Comprometimento), o analista, sabendo dessa informação, pode ser útil durante as atividades de threat hunting.
Hash Values (a pedra do poder) — o hash é considerado trivial. Por quê? Ele pode mudar. Hashes são como o ID do arquivo e/ou software. Alguns tipos de hash: MD5, Sha-256, Sha-1.
IP Addresses (a pedra do espaço) — IP é considerado fácil. Um motivo para isso é: quando você está realizando atividades de threat hunting proativa em seu ambiente, você pode identificar ações suspeitas realizadas por um IP específico. Mas de qualquer forma, os atores podem ter um conjunto de IPs, então isso não lhes causará muita dor.
Domain Names (a pedra da realidade) — Domínios suspeitos podem ser um site, servidor ou um domínio conhecido que foi assumido por um grupo de atores. É um bom recurso IoC (indicador de comprometimento) para ter durante a caça, mas ainda é simples para o nível de preocupação dos atores.
Network/Host Artifacts (a pedra da alma) — Atividades de rede e/ou host. Neste nível, o analista de inteligência será capaz de identificar diferentes atividades enquanto consulta e analisa logs. Um exemplo pode ser uma modificação inesperada no registro. Qualquer ator deseja ser notado enquanto realiza sua arte. Aqui, o analista pode irritá-los quebrando a cadeia.
Tools (a pedra do tempo) — O tempo está passando e os analistas estão mais próximos de encontrar algo que desafiará os atores. Aqui estão as ferramentas que eles podem estar usando para ter sucesso com a atividade. Exemplo: uma ferramenta que implantará um código malicioso no ambiente da vítima.
TTPs (a pedra da mente) — Táticas, Técnicas e Procedimentos são os difíceis! Os atores podem sentir desconforto quando os analistas são capazes de reforçar a segurança com estas informações. Este é o segredo principal, o “modus operandi” do ator. Sabendo disso, você terá o poder de compreender seu comportamento e pensar estrategicamente contra eles.
COMPLETA
Em conclusão, todas as pedras têm seu próprio papel e todas elas são importantes. Com o poder de todas as pedras do infinito (camadas da pirâmide), completamos a manopla do infinito.
A Pyramid of Pain é uma aliada na inteligência de ameaças cibernéticas. Utilize-a ao realizar atividades de pesquisa para criar a estratégia que melhor se adapta ao que você precisa.
Referência: https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
Obrigada por ler o artigo! Até o próximo :)
