TÁCTICA 1: RECONOCIMIENTO ATT&CK DE MITRE

por | Abr 12, 2022 | Ethical Hacking, Mitre, Security Awareness, Vulnerability Assessment

ATT&CK DE MITRE

MITRE: Organización sin ánimo de lucro, financiada por el gobierno federal de Estados Unidos.

ATT&CK: Adversary Tactics and Techniques and Common Knowledge.

ATT&CK es una base de conocimiento de acceso global que describe las técnicas utilizadas por los atacantes. Una técnica es un tipo de acción ofensiva que puede ser usada contra una plataforma particular. Las técnicas se agrupan bajo una serie de tácticas que son los objetivos que buscan los adversarios. En resumen, las técnicas representan el COMO un atacante ejecuta una acción para lograr un objetivo táctico (tácticas). Una misma técnica puede aplicar para varias tácticas.

ATT&CK se clasifica en 3 matrices: Empresas, Móviles e ICS (Sistemas de Control Industrial). Anteriormente la tercera matriz se llamaba PRE e incluía las técnicas preparatorias, lo que los atacantes hacen antes de intentar vulnerar una red, pero esa matriz fue incluida dentro de la matriz Empresas. La matriz Empresas contiene las técnicas que se utilizan en las siguientes plataformas: Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Containers y Kubernetes. Móviles por su parte cubre iOS y Android.

En cuanto a la matriz ICS, esta se desarrolló debido a que, aunque los sistemas de control industrial mantienen una características únicas, estos están adoptando cada vez más las tecnologías de la información en busca de la conectividad de los sistemas y el acceso remoto. El mundo lógico de estos sistemas tiene un impacto directo en el mundo físico, por lo que comprometer esta infraestructura desde el punto de vista lógico conlleva riesgos asociados a la pérdida de vidas humanas, daños al medio ambiente y serias consecuencias financieras causadas por la indisponibilidad y destrucción de las infraestructuras.

MATRIZ ENTERPRISE

Como ya se mencionó, la matriz Empresas contiene las técnicas que se utilizan contra las plataformas Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Containers y Kubernetes.

En total son 14 tácticas u objetivos que los atacantes quieren lograr:

  1. Reconocimiento.
  2. Desarrollo de Recursos.
  3. Acceso Inicial.
  4. Ejecución.
  5. Persistencia.
  6. Escalamiento de Privilegios.
  7. Evasión de Defensa.
  8. Credenciales de Acceso.
  9. Descubrimiento.
  10. Movimiento Lateral.
  11. Recolección.
  12. Mando y Control.
  13. Exfiltración.
  14. Impacto.

Para cada táctica se utiliza un conjunto de técnicas para lograr el objetivo planteado.

TÁCTICA 1: RECONOCIMIENTO

El adversario está tratando de recoger información que pueda usar en ataques futuros. La información puede ser sobre la organización, la infraestructura o el personal, y puede ser aprovechada en el mismo proceso de RECONOCIMIENTO, en otras fases del ciclo de vida del ataque, como ACCESO INICIAL, o para determinar el alcance y priorizar objetivos una vez se ha comprometido la infraestructura.

Qué tipo de información se busca conseguir:

  • Hardware: Nombre, tipos y versiones del host, direcciones IP. Componentes adicionales de defensa como lectores biométricos, elementos de cifrado, etc.
  • Software: Antivirus, navegador, versión de flash player, etc.
  • Firmware: Configuraciones y parches.
  • Configuraciones: Sistemas operativos, arquitectura, entornos de virtualización.
  • Red: rangos de direcciones IP, nombres de dominio, topología, dominios que posee la víctima, la entidad Registrar (GoDaddy, Google Domains), dominios u organizaciones de terceros que tienen acceso a la red de la víctima.
  • Identidad:
    • Persona: Nombre, email, credenciales, teléfono, etc.
    • Organización: Nombres de directivos, roles, naturaleza del negocio, horarios de apertura y cierre, fechas de renovación o adquisición de productos, servicios o software, relaciones de negocios (Proveedores,contratistas, clientes), ubicación de las instalaciones físicas.

TÉCNICAS DE RECONOCIMIENTO

Para esta táctica se han identificado 10 técnicas utilizadas por los cibercriminales:

  1. Escaneo Activo: Explorar la infraestructura a través del tráfico de red.
  2. Recoger información del Host.
  3. Recoger información de la identidad de la víctima: Esta información sirve para hacer ataques de suplantación de identidad, spoofing, BEC.
  4. Recoger información de la RED de la víctima.
  5. Recoger información de la ORGANIZACIÓN de la víctima.
  6. Phishing for Information: Los atacantes buscan engañar a la víctima para que comparta información por medio de la ingeniería social o usando links o URL’s maliciosas. Aclaración: Phishing for Information es diferente a Phishing.
  7. Buscar en Fuentes Privadas: Adquirir información comprando bases de datos de fuentes privadas (suscripciones, redes sociales), proveedores de soluciones o servicios relacionados con la inteligencia de amenazas, o en la dark web.
  8. Buscar en Bases de Datos Técnicas Públicas: Usar bases de datos abiertas como el Sistema de Nombres de Dominio (DNS), protocolo WHOIS, Certificados Digitales, Redes de Distribución de Contenido (CDN’s) y bases de datos públicas.
  9. Buscar en Sitios Web o Dominios Públicos: Buscar información a través de sitios web gratuitos como redes sociales y motores de búsqueda.
  10. Buscar en Sitios Web de Propiedad de la Víctima.

Cómo se consigue la información:

  • Comprometer algún sitio y por medio de software malicioso recoger información a través de los visitantes al sitio.
  • Aprovechar la tendencia de los usuarios de usar la misma contraseña para varios sitios o aplicaciones.
  • Ingeniería social.

CÓMO MITIGAR:

En la mayoría de los casos no se puede mitigar de forma preventiva debido a que se basa en el comportamiento fuera del alcance y control de la organización. Todos los esfuerzos se deben enfocar en reducir al mínimo la cantidad de información expuesta. Sin embargo se pueden realizar ciertas acciones que ayudan a reducir la probabilidad de que los atacantes logren sus objetivos, o al menos, a dificultar la labor de reconocimiento:

  • Revisar y mejorar la configuración de los archivos robots.txt y el uso de listas blancas para mantener a raya los web crawlers maliciosos (1).
  • Entrenamiento Continuo de los Empleados: El ser humano es el objetivo principal en esta táctica (ingeniería social). Es fundamental que cada colaborador de la organización esté alerta para evitar caer en este tipo de ataque y reporte al área encargada. El estado de alerta se logra desarrollando una conciencia de seguridad por medio del entrenamiento continuo.
  • Simulación Continua de Ataques: Las herramientas de nueva generación simulan ataques de PHISHING FOR INFORMATION en el día a día de la empresa sin comprometer su operación y productividad. Esto ayuda a medir la respuesta de cada empleado y fortalecer su conciencia de seguridad.

(1) Web Crawlers: Programas que catalogan (ubicación y tipo de contenido) los sitios web para poder acceder a ellos cuando son buscados en un motor de búsqueda (Search Engine).

DETECCIÓN.

No es posible detectar de forma eficiente dado que la mayoría de los ataques ocurren fueran del dominio de la empresa y las detecciones llevan a altas tasas de falsos positivos.

Se recomienda:

  • Escanear el tráfico en los sitios web en busca de patrones asociados a software malicioso diseñado para recolectar información del host a través de los visitantes.
  • Enfocar los esfuerzos de detección en etapas posteriores del ciclo de ataque, como el ACCESO INICIAL.

VENTURA SYSTEMS: SERVICIOS Y SOLUCIONES

Para ataques que ocurren dentro del dominio de la empresa:

  • Revisión y configuración de archivos robots.txt.
  • Optimización de Listas blancas.
  • Monitoreo del tráfico en los sitios web.
  • Web Application Firewall (WAF’s).
  • Soluciones de Email Security.
  • Soluciones de protección para dispositivos móviles: Evitar que instalen Malware para recoger información sensible.
  • Soluciones de autenticación sin contraseña: La mejor herramienta para prevenir el 100% de los robos de credenciales.

Para ataques que ocurren fuera del alcance y el control de la organización:

  • Entrenamiento continuo de los empleados.
  • Simulación de ataques.
  • Campañas de conciencia de seguridad.

0 comentarios

SERVICIOS QUE ASEGURAN TU INFORMACIÓN

Seguridad Ofensiva

SEGURIDAD OFENSIVA

Descubra el grado de exposición de su organización, vulnerabilidades y riesgos potenciales.

Seguridad Ofensiva

SEGURIDAD DEFENSIVA

Garantice la seguridad, confidencialidad, privacidad e integridad de los sistemas de información de su organización.

Continuidad del Negocio

CONTINUIDAD DEL NEGOCIO

Le ayudamos a restablecer la operación de su negocio después de un daño o desastre que comprometa los sistemas de información de su organización.

Networking e Infraestructura

CONSULTORÍA FORMAL

Identifique el estado actual de ciberseguridad de su organización usando como marco de referencia normas internacionales.

CONTÁCTENOS PARA ASEGURAR LA INTEGRIDAD Y CONFIDENCIALIDAD DE SU INFORMACIÓN Y LA CONTINUIDAD DE SU EMPRESA.

Si la información es sensible y le preocupa contactarnos a través del formulario, por favor use SendSafely.

¿ESTÁ BAJO ATAQUE?

¿Necesita soporte inmediato? Por favor póngase en contacto con nosotros para recibir nuestros servicios de respuesta a incidentes y servicios remediativos.

[email protected]