Tácticas y técnicas MIT

¿Qué es ATT&CK?

MITRE (Massachusetts Institute of Technology Research and Engineering) ATT&CK son las siglas de Adversarial Tactics, Techniques, & Common Knowledge.

El objetivo es desarrollar modelos y metodologías de amenazas específicas reuniendo a las comunidades para resolver problemas para un mundo más seguro.

En este blog, explicaré toda la matriz de técnicas y tácticas de forma más sencilla. Este blog está escrito como un eje de MITRE ATT&CK.

ATT&CK tiene 14 Técnicas que conforman una cadena de ataque:


1. Reconocimiento :

Los atacantes tratan de recopilar información de la organización, infraestructura o personal de la víctima para planificar y ejecutar el Acceso Inicial y otras tácticas.


Antes de comprometer a una víctima, los atacantes realizan :

    • Escanear activamente la infraestructura de la víctima a través del tráfico de red.
    • Los atacantes recogen cada detalle de hardware y software, configuración, arquitectura, información de red, datos personales, credenciales, etc..

2. Desarrollo de recursos :

Después de recopilar los detalles, los atacantes tratan de establecer los recursos que pueden utilizar para apoyar y realizar el ataque/operaciones o explotarlo.

Antes de comprometer a una víctima, los atacantes realizan :

  • Adquirir la infraestructura requerida que puede ser utilizada durante el ataque para explotar las vulnerabilidades.
  • Activar el ataque.
  • Comprometer las cuentas de redes sociales de la víctima.
  • Construir un malware y material de automatización para realizar la explotación.

3. Acceso inicial :

Después de establecer los recursos, los atacantes intentan entrar en la red explotando esas debilidades de seguridad y obtener el acceso inicial.


Antes de comprometer a una víctima, los atacantes utilizan técnicas y ganan un punto de apoyo incluye estos ataques.

  1. Ataques de malware
  2. Ataques de suplantación de identidad
  3. Ataque de hombre en el medio
  4. Ataques DDoS/DDoS
  5. Ataques de suplantación de identidad
  6. Ataques de inyección de datos
  7. Ataques de seguridad
  8. Inyección SQL
  9. Secuencias de comandos cruzadas
  10. Compromiso del correo electrónico empresarial

4. Ejecución :

Después de tener el acceso inicial a los sistemas, los atacantes tratan de ejecutar código malicioso y comprometer el sistema/red y también emerger una puerta trasera con el fin de tener acceso repetido en el sistema.


Antes de comprometer a una víctima, los atacantes realizan :

    • Ejecutar intérpretes de comandos y scripts para ejecutar comandos, scripts o binarios para comprometer.
    • Alterar el funcionamiento regular de las tareas/trabajos programados
    • Abordar los servicios del sistema como cambiar los controles de administración, ejecutar códigos maliciosos, etc…

5. Persistencia :

Después de comprometer el sistema de la víctima, los atacantes tratan de mantener su posición en la red de la víctima. Este es el trabajo más difícil para los atacantes para permanecer en la red de la víctima.

Antes de comprometer a una víctima, los atacantes realizan :

    • Mantener el acceso a los sistemas a través de reinicios, cambios de credenciales y otras interrupciones que podrían cortar su acceso

.

  • Manipular cuentas, crear una cuenta, crear o modificar procesos del sistema, realizar algunos [ataques.](https://dev.to/varaprasad_gudi/common-cyber-attacks-i9n)

6. Escalada de privilegios :

Después de una persistencia exitosa en la red de la víctima, los atacantes intentan entonces obtener permisos de nivel superior explorando una red con acceso sin privilegios.


Antes de comprometer a una víctima, los atacantes realizan :

    • Abusar de los servicios del Sistema como cambiar los controles de administración, ejecutar códigos maliciosos, etc… y saltarse los Controles de Acceso de los Usuarios.
    • Secuestrar el Flujo de Ejecución, Abusar de las credenciales de las cuentas existentes como medio para obtener el Acceso Inicial, la Persistencia, la Escalada de Privilegios o la Evasión de la Defensa.

.


7. Evasión de la defensa :

Después de tener acceso a los permisos de nivel superior, los atacantes intentan evitar ser detectados desinstalando/desactivando el software de seguridad u ofuscando/encriptando datos y scripts. Este es el paso importante para que los atacantes se mantengan estables y activos en la red de la víctima.

Antes de comprometer a una víctima, los atacantes realizan :

    • Aprovechar los mecanismos de control incorporados para escalar privilegios en una red y Modificar el proceso de autenticación.
    • Activar la seguridad de la víctima.
    • Explotar una vulnerabilidad del sistema o de la aplicación para saltarse las funciones de seguridad. Ocultar artefactos, usuarios, archivos, etc..

.


8. Acceso a credenciales :

Después de sobrevivir en la red, los atacantes ahora tratan de robar las credenciales como nombres de cuentas y contraseñas . Esta es la verdadera razón/pasos para su entrada en la red de la víctima.


Antes de comprometer a una víctima, los atacantes realizan :

    • Ataque de fuerza bruta, extraer credenciales de los datos guardados, Autenticación forzada, keylogging, ataque Man-in-the-Middle, Modificar el proceso de autenticación, Network Sniffing, etc..

.

  • También realizan algunos famosos [ciberataques.](https://dev.to/varaprasad_gudi/common-cyber-attacks-i9n)

9. Descubrimiento :

Después de hackear con éxito las credenciales, ahora los atacantes tratarán de averiguar el sistema de la víctima y la red interna. Este es el paso similar como el reconocimiento pero se examina dentro de la red de la víctima después del acceso inicial.

Antes de comprometer a una víctima, los atacantes realizan :

    • Obtener un listado de cuentas en un sistema o dentro de un entorno.

.

  • Escanear activamente la infraestructura de la víctima a través del tráfico de red.
  • Los atacantes recopilan todos los detalles de hardware y software, configuración, arquitectura, información de red, datos personales, credenciales, etc..

10. Movimiento lateral :

El Movimiento Lateral consiste en las técnicas que utilizan los adversarios para entrar y controlar sistemas remotos en una red.


Antes de comprometer a una víctima, los atacantes realizan :

    • Acceso remoto en la red/sistema.
    • Emergir una puerta trasera para tener acceso repetido al sistema.

.


11. Recogida :

Después de hackear con éxito las credenciales, ahora los atacantes tratarán de recopilar información y se recogen las fuentes de información que son relevantes para el plan de objetivos del atacante. El siguiente objetivo después de recoger los datos es robar (exfiltrar) los datos.


Antes de comprometer a una víctima, los atacantes realizan :

    • Archivar los datos recogidos
    • Captura de audio, captura de vídeo, keylogging, datos relevantes del sistema local, recopilación de correos electrónicos, etc.

.


12. Mando y control :

Después de que el atacante recopila todos los datos necesarios, ahora el atacante intenta comunicarse con los sistemas comprometidos para controlarlos.


Antes de comprometer a una víctima, los atacantes realizan :

    • Utilizar los protocolos de la capa de aplicación para evitar la detección/filtrado de la red fusionándose con el tráfico de la red existente.
    • Por ejemplo, la red de telefonía móvil de la empresa de transporte.
    • Comunicación a través de medios extraíbles.

.

  • Utilizar un proxy de conexión para dirigir el tráfico de red entre sistemas o actuar como intermediario de las comunicaciones de red a un servidor de mando y control para evitar las conexiones directas a su infraestructura.

13. Exfiltración :

El siguiente objetivo después de recopilar los datos es robarlos (exfiltrarlos).


Antes de comprometer a una víctima, los atacantes realizan :

    • Robar datos utilizando ataques de red como autorización débil, DOS débil, sistemas de detección de intrusos débiles.
    • Explorar a través de la superficie de ataque del software, realizar ataques físicos como el uso de dispositivos de hardware.

.

  • Superficie de ataque digital a la que se accede desde una ubicación de acceso remoto.
  • Superficie de ataque de ingeniería social / humana.

14. Impacto :

Este es el último paso para el atacante. Después de realizar todas estas etapas, ahora el atacante intenta manipular, interrumpir o destruir sus sistemas y datos.


Antes de comprometer a una víctima, los atacantes realizan :

    • Eliminación/borrado del acceso a la cuenta.
    • Manipulación/borrado de datos.
    • Borrado de disco, apagado/reinicio del sistema.

.


EN RESUMEN :

Hay varias formas en que una organización puede utilizar la matriz MITRE ATT&CK y salir beneficiada.


— Escrito por Gudi Varaprasad

Categorías : # seguridad

Deja una respuesta

Tu dirección de correo electrónico no será publicada.