Clase N2

Casos de estudio ransomware con
consecuencias reales
BOOTCAMP CIBERSEGURIDAD DEFENSIVA

LEVANTATE CIBERDEFENSOR
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
¿Que veremos hoy?

¿Qué es ATT&CK?
¿Qué son las “tácticas”?
¿Qué son las “técnicas”?
¿Qué son las “subtécnicas”?
¿Qué son los “procedimientos”?
¿Qué son los “Adversarios”?
¿Qué son los “Software”?
¿Cuáles son las diferencias entre subtécnicas y procedimientos?
¿A qué tecnologías se aplica ATT&CK?
¿Cómo puedo usar ATT&CK?
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

¿Que veremos hoy?
Uso de Matrices Enterprise en redes TI
Uso de Matrices ICS en redes TO
Uso de Matrices Cloud
Uso de MITRE D3FEND
Uso de Attack Navigator
Uso de Engage
Uso de Mitre CAR

4

¿QUÉ CONOCES DE
LAS MATRICES DE
MITRE ATT&CK®
5

The Seven Phases of the Cyber Kill Chain

Cyber Kill Chain vs. MITRE ATT&CK
Fuente: https://medium.com/cycraft/cycraft-classroom-mitre-att-ck-vs-cyber-kill-chain-vs-diamond-model-1cc8fa49a20f
7

Entendiendo el MITRE ATT&CK Framework
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
8

Entendiendo el The Diamond Model
9

Modelo de diamante frente a MITRE ATT&CK
Marco ATT&CK agrega valor a la inteligencia de

amenazas cibernéticas a través del estudio de las
tácticas, técnicas y herramientas utilizadas, el Modelo
Diamond agrega valor a la inteligencia cibernética a
través de una comprensión profunda de la
infraestructura y las capacidades tanto de la víctima
como del adversario.
10

Modelo de diamante frente a MITRE ATT&CK
ATT&CK y Cyber Kill Chain son complementarios. ATT&CK se

encuentra en un nivel de definición más bajo para describir el
comportamiento del adversario que Cyber Kill Chain. Las tácticas
ATT&CK no están ordenadas y es posible que no todas ocurran
en una sola intrusión porque los objetivos tácticos del
adversario cambian a lo largo de una operación, mientras que
Cyber Kill Chain usa fases ordenadas para describir los objetivos
adversarios de alto nivel”.
11

Cómo comenzar a implementar el marco ATT&CK en su seguridad
12

Ecosistema del cibercrimen
Fuente: https://itblogr.com/tier-of-threat-actors-cheatsheet/
13
Fuente: https://www.nicybersecuritycentre.gov.uk/cyber-threats
14

Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021
15

Detección de amenazas y la pirámide del dolor
Fuente: https://www.criticalstart.com/threat-detection-and-the-pyramid-of-pain/
16

Defensa informada sobre amenazas
La "defensa informada sobre amenazas" aplica un profundo

conocimiento del arte y la tecnología del adversario para proteger,
detectar y mitigar los ciberataques. Es un enfoque basado en la
comunidad para un desafío mundial.
Fuente: https://attack.mitre.org/
17
¿Qué es el Adversarial Tactics, Techniques,
and Common Knowledge MITRE ATT&CK®?
MITRE ATT&CK® es una base de conocimientos accesible a nivel
mundial sobre las tácticas y técnicas de los adversarios, basada en
observaciones del mundo real. La base de conocimientos ATT&CK se
utiliza como base para el desarrollo de modelos y metodologías de
amenazas específicas en el sector privado, en el gobierno y en la
comunidad de productos y servicios de ciberseguridad.
18

¿Por qué MITRE ha desarrollado ATT&CK?
El objetivo de FMX era investigar el

uso de datos de telemetría de puntos
finales y análisis para mejorar la
MITRE inició ATT&CK en 2013 para detección de adversarios que operan
Se creó a partir de la necesidad de
documentar las tácticas, técnicas y dentro de las redes empresariales
documentar los comportamientos de
procedimientos (TTP) comunes que las después de un ataque. ATT&CK se
los adversarios para utilizarlos en un
amenazas persistentes avanzadas utilizó como base para probar la
proyecto de investigación de MITRE
utilizan contra las redes empresariales eficacia de los sensores y los análisis
llamado FMX.
de Windows. en el marco de FMX y sirvió como
lenguaje común que tanto el ataque
como la defensa podían utilizar para
mejorar con el tiempo.
19

MITRE ATT&CK® Framework
MITRE ATT&CK se creó en 2013 como resultado del Experimento Fort
Meade (FMX) de MITRE, donde los investigadores emularon el
comportamiento del adversario y del defensor en un esfuerzo por mejorar la
detección de amenazas posterior al compromiso a través de la detección de
telemetría y el análisis del comportamiento.
La pregunta clave para lo s inve stigadores fue " ¿Qué tan bien e stamo s
detectando el comportamiento adversario documentado ? " Para
responder a e sa pregunta, los inve stigadore s desarrollaron ATT&CK,
que se utilizó como herramienta para categorizar el comportamiento
del advers ario.
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
20

El modelo de comportamiento presentado por ATT&CK contiene los siguientes componentes básicos:
Tácticas que denotan objetivos tácticos a corto plazo del adversario

durante un ataque (las columnas);
Técnicas que describen los medios por los cuales los adversarios logran
objetivos tácticos (las células individuales); y
Uso documentado del adversario de técnicas y otros metadatos

(vinculados a técnicas).
21
MITRE ATT&CK ahora tiene tres iteraciones:
ATT&CK para ATT&CK para

ATT&CK para ICS
empresas móviles
• Se enfoca en el • Se centra en el • Se enfoca en
comportamiento comportamiento describir las
adversario en adversario en los acciones que un
entornos sistemas adversario puede
Windows, Mac, operativos iOS y tomar mientras
Linux y Cloud. Android. opera dentro de
una red ICS.
22

¿Qué hay en la matriz MITRE ATT&CK?
La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los
adversarios para lograr un objetivo específico. Esos objetivos se clasifican
como tácticas en la Matriz ATT&CK.
Los objetivos se presentan linealmente desde el punto de reconocimiento

hasta el objetivo final de exfiltración o "impacto".
Al obs ervar la vers ión más amplia de ATT&C K para empres as , que
inc luye Windows , macOS, L inux, PRE, Azure AD, Office 365, Goog le
Works pac e, SaaS, IaaS, Network y Containers .
23

¿Qué hay en la matriz MITRE ATT&CK?
La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los
adversarios para lograr un objetivo específico. Esos objetivos se clasifican
como tácticas en la Matriz ATT&CK.
Los objetivos se presentan linealmente desde el punto de reconocimiento

hasta el objetivo final de exfiltración o "impacto".
Al obs ervar la vers ión más amplia de ATT&C K para empres as , que
inc luye Windows , macOS, L inux, PRE, Azure AD, Office 365, Goog le
Works pac e, SaaS, IaaS, Network y Containers .
24

Fuente-Imagen: https://medium.com/cycraft/cycraft-classroom-mitre-att-ck-vs-cyber-kill-chain-vs-diamond-model-1cc8fa49a20f
25

1)Reconocimiento:
Recopilación de
información para planificar
futuras operaciones del
adversario, es decir,
información sobre la
organización objetivo.
https://null-byte.wonderhowto.com/how-to/hack-like-pro-
advanced-nmap-for-reconnaissance-0151619/
26

2)Desarrollo de recursos:
Establecer recursos para

apoyar las operaciones, es
decir, establecer una
infraestructura de comando y
control.
27

3) Acceso inicial:
Intentar ingresar a su red, es

decir, spear phishing
Fuente imagen: https://latam.kaspersky.com/blog/que-es-el-spear-phishing/12177/
28

4) Ejecución:
Intentar ejecutar código

malicioso, es decir, ejecutar una
herramienta de acceso remoto.
Fuente imagen: https://www.pcrisk.es/guias-de-desinfeccion/9184-svchost-exe-virus
29

5) Persistencia : Tratar de mantener su punto de apoyo, es decir,
cambiar configuraciones.
Fuente imagen: https://www.incibe-cert.es/blog/veni-vidi-vici-malware-fichero
30

6) Escalada de privilegios: Tratar de obtener permisos de nivel superior, es
decir, aprovechar una vulnerabilidad para elevar el acceso.
31

7) Evasión de defensa :Tratar de evitar ser detectado, es decir, usar procesos confiables
para ocultar malware.
Fuente imagen: https://www.huntress.com/blog/the-mechanics-of-defense-evasion

32

8) Acceso con credenciales: Robo de nombres de cuentas y contraseñas, es decir,
registro de teclas.
Fuente: https://www.avast.com/es-es/c-keylogger
33

9) Descubrimiento: Tratando de descubrir su entorno, es decir, explorando lo que
pueden controlar.
Fuente imagen: https://www.r-studio.com/unformat-disk/
34

10) Movimiento lateral: Moverse a través de su entorno, es decir, usar credenciales
legítimas para pivotar a través de múltiples sistemas.
Fuente: https://malware.news/t/lateral-movement-what-it-is-and-how-to-block-it/30648
35

11) Recopilación: Recopilación de datos de interés para el objetivo del
adversario, es decir, acceso a datos en el almacenamiento en la nube.
Fuente: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
36

12) Comando y control: Comunicarse con sistemas comprometidos para controlarlos, es
decir, imitar el tráfico web normal para comunicarse con una red víctima.
Fuente de imagen: https://miro.medium.com/max/901/1*YUOZow7DDxS0RHeG6c_Okw.png

Fuente de imagen: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
37

13) Exfiltración : Robar datos, es decir, transferir datos a una cuenta en la nube
Fuente de imagen: https://www.mindpointgroup.com/blog/conducting-and-detecting-data-exfiltration

38

14) Impacto: Manipular, interrumpir o destruir sistemas y datos, es decir, cifrar datos
con ransomware.
Fuente de imagen: https://www.researchgate.net/figure/An-example-scenario-of-a-Locky-ransomware-attack-anatomy_fig4_335024682

39

Vista completa
1-Reconocimiento : 2-Desarrollo de recursos :
recopilación de información establecer recursos para 4-Ejecución : intentar ejecutar 5-Persistencia : tratar de
3-Acceso inicial : intentar
para planificar futuras apoyar las operaciones, es código malicioso, es decir, mantener su punto de apoyo,
ingresar a su red, es decir,
operaciones del adversario, es decir, establecer una ejecutar una herramienta de es decir, cambiar
spear phishing
decir, información sobre la infraestructura de comando y acceso remoto configuraciones
organización objetivo. control
10-Movimiento lateral :
6-Escalada de privilegios :
7-Evasión de defensa : tratar 8-Acceso con credenciales : 9-Descubrimiento : tratando moverse a través de su
tratar de obtener permisos de
de evitar ser detectado, es robo de nombres de cuentas y de descubrir su entorno, es entorno, es decir, usar
nivel superior, es decir,
decir, usar procesos confiables contraseñas, es decir, registro decir, explorando lo que credenciales legítimas para
aprovechar una vulnerabilidad
para ocultar malware de teclas pueden controlar pivotar a través de múltiples
para elevar el acceso
sistemas
12-Comando y control :
11-Recopilación : recopilación comunicarse con sistemas
14-Impacto : manipular,
de datos de interés para el comprometidos para 13-Exfiltración : robar datos,
interrumpir o destruir sistemas
objetivo del adversario, es controlarlos, es decir, imitar el es decir, transferir datos a una
y datos, es decir, cifrar datos
decir, acceso a datos en el tráfico web normal para cuenta en la nube
con ransomware
almacenamiento en la nube comunicarse con una red
víctima
40

Vista completa
Las diferencias entre PRE-ATT&CK y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se
combinan para formar la lista completa de
tácticas que en términos generales se alinean
con la cadena de ataque informático. PRE-
ATT&CK se alinea principalmente con las
primeras tres fases de la cadena de ataque:
reconocimiento, armamentización y entrega.
ATT&CK Enterprise se alinea de buena manera
con las cuatro fases finales de la cadena de
ataque: explotación, instalación, comando &
control, y acciones en objetivos.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
41

¿Qué es una técnica?
Las técnicas representan "cómo" un adversario logra un objetivo
táctico al realizar una acción.
EJEMPLO:
ID: T1053 Scheduled Task/Job

6 Subtécnicas
Tactics: Execution, Persistence, Privilege Escalation
Los adversarios pueden abusar de la funcionalidad de programación de tareas

para facilitar la ejecución inicial o recurrente de código malicioso. Existen
utilidades en los principales sistemas operativos para programar programas o
scripts que se ejecuten en una fecha y hora determinadas.
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/ 42

¿Qué es una técnica?
Las subtécnicas son una descripción más específica del comportamiento
adversario utilizado para lograr un objetivo. Describen el comportamiento a un
nivel inferior al de una técnica.
EJEMPLO:
ID: T1053.005 Scheduled Task/Job: Scheduled Task
Platforms: Windows
Permissions Required: Administrator
Los adversarios pueden abusar del Programador de Tareas de Windows para realizar la
programación de tareas para la ejecución inicial o recurrente de código malicioso. Hay
varias formas de acceder al Programador de Tareas en Windows. La utilidad schtasks
puede ejecutarse directamente en la línea de comandos, o el Programador de Tareas
puede abrirse a través de la interfaz gráfica de usuario dentro de la sección Herramientas
del Administrador del Panel de Control.
43

¿Qué es un procedimiento?
Los procedimientos son la implementación específica que el adversario utiliza
para las técnicas o subtécnicas.
EJEMPLO: schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru
"System"
APT38 has used Task Scheduler to run programs at system startup or on a

scheduled basis for persistence
Dragonfly has used scheduled tasks to automatically log out of created

accounts every 8 hours as well as to execute malicious files
Emotet has maintained persistence through a scheduled task
44

¿Qué es un grupo?
Los grupos son conjuntos de actividades de intrusión relacionadas que se rastrean con un
nombre común en la comunidad de seguridad. Los analistas rastrean grupos de actividades
utilizando varias metodologías analíticas y términos como grupos de amenazas, grupos de
actividades, actores de amenazas, conjuntos de intrusiones y campañas.
EJEMPLO:
ID: G0082 APT38 es un grupo de amenazas patrocinado por el estado de Corea del
Norte que se especializa en operaciones cibernéticas financieras; se ha atribuido a la
Oficina General de Reconocimiento[1]. Activo desde al menos 2014, APT38 ha
atacado bancos, instituciones financieras, casinos, intercambios de criptomonedas,
puntos finales del sistema SWIFT y cajeros automáticos en al menos 38 países de todo
el mundo.
Associated Groups: NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust

Chollima, Lazarus Group
45
¿Qué es un software?
Software es un término genérico para código personalizado o comercial, utilidades del sistema
operativo, software de código abierto u otras herramientas utilizadas para realizar
comportamientos modelados en ATT&CK. Algunas instancias de software tienen múltiples
nombres asociados con la misma instancia debido a que varias organizaciones rastrean el
mismo conjunto de software con diferentes nombres.
EJEMPLO: S0239 Bankshot es una herramienta de acceso remoto (RAT) que fue
reportada por primera vez por el Departamento de Seguridad Nacional en
diciembre de 2017. En 2018, Lazarus Group usó el implante Bankshot en
ataques contra el sector financiero turco.
Tipo : MALWARE
Plataformas : Windows
46

¿Qué es una mitigación?
Las mitigaciones representan conceptos de seguridad y clases de tecnologías que se pueden
usar para evitar que una técnica o subtécnica se ejecute con éxito.
EJEMPLO:
M1036 Políticas de uso de la cuenta
• Configure funciones relacionadas con el uso de la cuenta, como bloqueos de

intentos de inicio de sesión, tiempos de inicio de sesión específicos, etc.
M1040 Prevención de comportamiento en Endpoint
• Utilice capacidades para evitar que se produzcan patrones de comportamiento
sospechosos en los sistemas de punto final. Esto podría incluir un proceso
sospechoso, un archivo, una llamada a la API, etc. comportamiento.
M1052 Control de cuentas del usuario
• Configure el Control de cuentas de usuario de Windows para mitigar el riesgo de
Fuente: https://attack.mitre.org/ que los adversarios obtengan un acceso elevado al proceso.
47

Relaciones del modelo de objetos de ATT&CK
Relaciones del modelo de objeto ATT&CK Cada componente de alto nivel de ATT&CK está
relacionado de alguna manera con otros componentes. Las relaciones descritas en los campos
de descripción de la sección anterior se pueden visualizar en un diagrama:
EJEMPLO:
48

Usos comunes de matriz MITRE ATT&CK®?
¿Cómo se usa la matriz MITRE ATT&CK®?
El marco MITRE ATT&CK puede ayudar a una organización de varias maneras.
En general, los siguientes son beneficios aplicables a la adopción de MITRE
ATT&CK:
1)Emulación de adversario: Evalúa la seguridad aplicando

inteligencia sobre un adversario y cómo opera para emular una
amenaza. ATT&CK se puede usar para crear escenarios de
emulación de adversarios para probar y verificar las defensas.
50

¿Cómo se usa la matriz MITRE ATT&CK?
ATT&CK:
2)Red Teaming: Actúa como adversario para demostrar el impacto

de una brecha. ATT&CK se puede utilizar para crear planes de
equipo rojo y organizar operaciones.
51

ATT&CK:
3) Desarrollo de análisis de comportamiento: Vincula la actividad

sospechosa para monitorear la actividad del adversario. ATT&CK
se puede utilizar para simplificar y organizar patrones de actividad
sospechosa considerada maliciosa.
52

ATT&CK:
4)Evaluación de brechas defensivas: Determina qué partes de la

empresa carecen de defensas y/o visibilidad. ATT&CK se puede
utilizar para evaluar las herramientas existentes o probar nuevas
herramientas antes de la compra, para determinar la cobertura de
seguridad y priorizar la inversión.
53

ATT&CK:
5)Evaluación de madurez de SOC: Similar a la Evaluación de

brechas defensivas, ATT&CK se puede usar para determinar qué
tan efectivo es un centro de operaciones de seguridad (SOC) para
detectar, analizar y responder a las infracciones.
54

ATT&CK:
6)Enriquecimiento de inteligencia de amenazas cibernéticas:

Mejora la información sobre amenazas y actores de
amenazas. ATT&CK permite a los defensores evaluar si pueden
defenderse contra amenazas persistentes avanzadas (ATP)
específicas y comportamientos comunes entre múltiples actores
de amenazas.
55

¿Cómo podríamos usarlo?

ATT&CK puede ser útil para cualquier organización que desee avanzar hacia una defensa
informada sobre amenazas, por lo que queremos compartir ideas sobre cómo comenzar
independientemente de lo sofisticado que sea su equipo. Dividiremos cada una de estas
publicaciones en diferentes niveles:
Nivel 1 Para aquellos que recién comienzan y que pueden no tener

muchos recursos.
Nivel 2 para aquellos que son equipos de nivel medio que comienzan
a madurar.
Nivel 3 Para aquellos con equipos y recursos de ciberseguridad más

avanzados.
56

¿Cómo podríamos usarlo?

Nivel 1 Para aquellos que recién comienzan y que pueden no tener muchos recursos.
• La inteligencia sobre amenazas cibernéticas consiste en saber qué hacen sus adversarios y utilizar esa
información para mejorar la toma de decisiones.
• Para una organización con solo un par de analistas que quiere comenzar a usar ATT&CK para la inteligencia
de amenazas, una forma de comenzar es tomando un solo grupo que le importa y observando sus
comportamientos estructurados en ATT&CK.
https://www.linkedin.com
/in/mgsebastianvargasyan
Ejemplo:
ez/
Grupos cibercriminales
Para Sector financiero.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 57

Nivel 2 para aquellos que son equipos de nivel medio que comienzan a madurar.
Ejemplo: aquí hay un fragmento de un informe de FireEye que se ha asignado a ATT&CK.
Si tiene un equipo de analistas de
amenazas que revisan regularmente la
información sobre los adversarios, una
acción de siguiente nivel que puede tomar
es mapear la inteligencia de ATT&CK usted
mismo en lugar de usar lo que otros ya han
mapeado.
Si tiene un informe sobre un incidente en el

que ha funcionado su organización, esta
puede ser una excelente fuente interna
para asignar a ATT&CK, o puede usar un
informe externo como una publicación de
blog. Para facilitar esto, puede comenzar
con un solo informe.
Ilustración: Katie Nickels 2019 - Getting Started with ATT&CK: Threat Intelligence
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
58

Nivel 3 Para aquellos con equipos y recursos de ciberseguridad más avanzados.
Si su equipo CTI es avanzado, puede comenzar a asignar más información a ATT&CK, y luego usar esa
información para priorizar cómo defiende. Tomando el proceso anterior, puede asignar información interna y
externa a ATT&CK, incluidos datos de respuesta a incidentes, informes de OSINT o suscripciones de inteligencia
de amenazas, alertas en tiempo real e información histórica de su organización.
Ejemplo: Puede hacer algunas cosas interesantes para comparar grupos y

priorizar las técnicas de uso común. Por ejemplo, tome esta vista
de matriz del navegador ATT&CK que compartí anteriormente
con técnicas que hemos mapeado en el sitio web de
ATT&CK. Las técnicas utilizadas solo por APT3 están resaltadas
en azul; los usados solo por APT29 están resaltados en amarillo,
y los usados por APT3 y APT29 están resaltados en verde.
59

ATT&CK Use Cases Adversary Emulation
El proceso de evaluar la seguridad de un dominio de tecnología mediante la aplicación de
inteligencia sobre amenazas cibernéticas sobre adversarios específicos y cómo operan para emular
esa amenaza.
Ejemplo:
La emulación de adversario se centra en la
capacidad de una organización para verificar la
detección y / o La mitigación de ATT&CK se
puede usar como una herramienta para crear
escenarios de emulación de adversarios para
probar y verificar defensas contra técnicas
adversas comunes.
60

Defensive Gap Assessment
El proceso de evaluar la seguridad de un dominio de tecnología mediante la aplicación de
inteligencia sobre amenazas cibernéticas sobre adversarios específicos y cómo operan para emular
esa amenaza.
Estas brechas representan puntos ciegos
para vectores potenciales que permiten que
un adversario obtenga acceso a sus redes
sin ser detectado o sin mitigar. ATT&CK
puede ser Las brechas identificadas son útiles
como una forma de priorizar las inversiones
para la mejora de un programa de
seguridad.
También se pueden compilar productos de
seguridad similares.
61

SOC Maturity Assessment
El centro de operaciones de seguridad de una organización es un componente crítico de muchas
redes de empresas medianas y grandes que monitorean continuamente las amenazas activas contra
la red.
Comprender la madurez de un SOC es
importante para determinar su efectividad.
ATT&CK puede ser utilizado como una medida
De manera similar a la evaluación de brechas
defensivas, una evaluación de madurez de
SOC se centra en los procesos que utiliza un
SOC para detectar, comprender y responder a
las amenazas cambiantes a su red a lo largo
del tiempo.
62

Simulación adversaria y ATT&CK
Probar las técnicas de ATT&CK en comparación con el entorno es la mejor manera de llevar a cabo
las siguientes acciones:
Probar los controles y su eficacia
Garantizar la cobertura contra diferentes técnicas
Comprender las brechas en visibilidad o protección
Validar la configuración de herramientas y sistemas
Demostrar dónde diferentes actores tendrían éxito o serían capturados en el entorno
Evitar suposiciones con los controles gracias al conocimiento exacto de qué se detecta o mitiga, y qué
no
63

Desafíos cuando se utiliza ATT&CK
El uso de ATT&CK no está libre de desafíos. Es bueno tener esto en cuenta cuando se utiliza ATT&CK.
•No todas las técnicas son siempre maliciosas

• Ejemplo: Datos de la unidad compartida de la red (T1039)
• Clave para la detección: ¿Cómo se aplica esta técnica?
•No todas las técnicas son fáciles de detectar
• Ejemplo: Enlace de fraude electrónico (T1192)
• Clave para la detección: Otros eventos relacionados con la
recepción de correos electrónicos
64

Desafíos cuando se utiliza ATT&CK

El uso de ATT&CK no está libre de desafíos. Es bueno tener esto en cuenta cuando se utiliza ATT&CK.
•Algunas técnicas tienen muchos métodos de ejecución posibles

• Ejemplo: Vertido de credenciales (T1003)
• Clave para la detección: Desarrolle métodos conocidos de aplicación de la técnica y
etiquételos como Vertido de credenciales
• MITRE lanzará subtécnicas para ayudar a abordar esto
•Algunas técnicas se incluyen en diversas tácticas
• Ejemplo: Secuestro de orden de búsqueda de DLL (T1038)
• Se muestra en las tácticas de persistencia, escalamiento de privilegios y evasión de
defensa
• Algunas técnicas, como esta, se pueden utilizar para varios casos de uso y son útiles en
varias etapas de ataque
65

LEVANTATE CIBERDEFENSOR
Recursos y herramientas de ATT&CK
FUNDAMENTOS DE MITRE ATT&CK®

A continuación, se muestra una lista de herramientas y otros recursos que utilizan ATT&CK.
•El mejor lugar para comenzar con ATT&CK es siempre la página web de
ATT&CK de MITRE.
•https://attack.mitre.org/
•MITRE mantiene un blog sobre ATT&CK en Medium.

•https://medium.com/mitre-attack
•Existe una convención de seguridad dedicada a ATT&CK.

•https://www.mitre.org/attackcon
68

ATT&CK Navigator ATT&CK Navigator de
MITRE
ATT&CK Navigator es una gran
herramienta para usar en el mapeo de
controles respecto a las técnicas de
ATT&CK. Se pueden agregar capas que
muestren controles de detección
específicos, controles preventivos o,
incluso, comportamientos observados.
Navigator se puede utilizar en línea para
crear simulaciones o situaciones rápidas, o
bien se puede descargar e instalar
internamente como una solución más
permanente.
https://github.com/mitre/attack-navigator
69

Hoja de ayuda de registro de
ATT&CK en Windows de Malware
Archeology
La bondadosa Malware Archeology
proporciona varias hojas de ayuda de
registro de Windows para asistir a los
defensores en su búsqueda de
actividades maliciosas en los
registros. Tienen una dedicada a la
búsqueda de técnicas de ATT&CK de Ejemplo de detalles incluidos en la hoja de
ayuda de registro de ATT&CK de Malware
MITRE.
Archeology
https://github.com/uber-common/metta
70

Metta de Uber es un proyecto de
recurso abierto de Uber que realiza una
simulación adversaria y está alineado
con ATT&CK de MITRE.
Metta es un proyecto de
recurso abierto de Uber
que realiza una simulación
adversaria y está alineado
con ATT&CK de MITRE. https://github.com/uber-common/metta
71

Caldera de MITRE
Caldera es una
herramienta de simulación
adversaria automatizada
de recurso abierto que se
basa en ATT&CK de
MITRE.
https://github.com/mitre/caldera
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 72
Atomic Red Team de Red Canary

Atomic Red Team es una
herramienta de recurso
abierto de Red Canary para
simular comportamientos
adversarios mapeados en
ATT&CK de MITRE. Más
información disponible en:
https://atomicredteam.io/
https://github.com/redcanaryco/atomic-red-team
Red Team Automation es una

herramienta de recurso
abierto de Endgame que
prueba el comportamiento
malicioso modelado en
ATT&CK de MITRE.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful https://github.com/endgameinc/RTA 74

Cyber Analytics Repository

(CAR) de MITRE
MITRE tiene un recurso
llamado Cyber Analytics
Repository (CAR) que es un
sitio de referencia con varios
análisis útiles para detectar
comportamientos en ATT&CK https://car.mitre.org/
de MITRE.
Tableau de ATT&CK mediante Cyb3rPanda
Cyb3rPanda
cargó ATT&CK en
una instancia
pública de
Tableau en un
formato dinámico Fuente: https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK?publish=yes
fácil de filtrar.
76
Visualizador de guías de Unit 42 de Palo Alto

El grupo Unit 42 de Palo
Alto lanzó un visor de
guía gratuito que muestra
comportamientos
adversarios conocidos de
varios grupos de
amenazas alineados con
ATT&CK de MITRE.
https://pan-unit42.github.io/playbook_viewer/

Matrices de Mitre ATT&CK®
Materiales:
https://attack.mitre.org/matrices/
https://mitre-attack.github.io/attack-navigator/
https://chrome.google.com/webstore/detail/attck-powered-
suit/gfhomppaadldngjnmbefmmiokgefjddd
78
Matrices de Mitre ATT&CK®
A continuación se encuentran las tácticas y técnicas que representan

MITRE ATT&CK ® Matrix for Enterprise. Esta Matrix contiene información
para las siguientes.
Plataformas:
Windows , macOS , Linux , PRE , Azure AD , Office 365 , Google
Workspace , SaaS , IaaS , Network , Containers .
https://attack.mitre.org/matrices/enterprise/
AWS esta incluido en un proyecto realizado:

https://center-for-threat-informed-defense.github.io/security-stack-mappings/AWS/README.html
79

Última modificación: 01 abril 2022
80

UNIDAD 2: Matrices MITRE ATT&CK®
Ejercicio #1:
Genere un caso de agregación entre APT38 y APT3
• Que técnicas tienen en común

• Cuales tienen como técnicas propias
81
Matriz Mobile
A continuación, se muestran las tácticas y técnicas que representan las

dos matrices MITRE ATT&CK ® para dispositivos móviles. Las Matrices
cubren técnicas que involucran acceso a dispositivos y efectos
basados en la red que pueden ser utilizados por adversarios sin acceso a
dispositivos. Matrix contiene información para las siguientes plataformas:
Android , iOS .
Plataformas:
Android , iOS https://attack.mitre.org/matrices/mobile/
82

83

Matriz ICS
A continuación se presentan las tácticas y técnicas que
representan MITRE ATT&CK ® Matrix para ICS.
Plataformas:
https://attack.mitre.org/matrices/ics/
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 84

85

#Ejercicio2
Genere un modelamiento de MITRE ATTACK
1. Analice el caso dado en: Cisco Talos Intelligence Group -

Comprehensive Threat Intelligence: Cisco Talos shares
insights related to recent cyber attack on Cisco
2. Seleccione los TTP identificados
3. Desde MITRE ATTACK Navigator seleccione los TTP
Identificados
86
Ciclo de vida del Ransomware
Fuente: https://www.picussecurity.com/resource/the-ransomware-attack-lifecycle-from-the-defenders-perspective
87
Las mejores técnicas de ATT&CK
Fuente: https://ctid.mitre-engenuity.org/our-work/top-attack-techniques/
88

Resumen del proyecto
• Las mejores técnicas de ATT&CK brindan a los

defensores un enfoque sistemático para priorizar las
técnicas de ATT&CK. Nuestra metodología abierta
considera la prevalencia de la técnica, los cuellos de
botella de ataque comunes y la capacidad de acción para
permitir que los defensores se centren en las técnicas
ATT&CK que son más relevantes para su organización.
• La calculadora de técnicas principales de ATT&CK facilita

la creación de listas personalizadas de técnicas
principales. Los usuarios pueden crear una lista de las 10
técnicas principales adaptada a su organización.
• La Lista de técnicas principales de ransomware

proporciona un punto de partida para la defensa contra
los ataques de ransomware y demuestra cómo la
metodología de las técnicas principales de ATT&CK se
puede adaptar a diferentes casos de uso.
Fuente: https://ctid.mitre-engenuity.org/our-work/top-attack-techniques/ 89

Resumen del proyecto
• La Metodología , junto con un análisis
adicional de 22 grupos de ransomware
durante los últimos tres años, el Centro
para la defensa informada sobre amenazas
creó una lista de las 10 técnicas principales
de ATT&CK para ransomware.
• Esta lista puede servir como punto de

partida para priorizar las técnicas de
ATT&CK al planificar la defensa contra los
ataques de ransomware. Esta lista se basa
en criterios que identificamos como
importantes y no es definitiva para todos
los defensores.
Fuente: https://top-attack-techniques.mitre-engenuity.org/
90

TOP 10 RANSOMWARE - T1486: Data Encrypted for Impact
• Los adversarios pueden cifrar los datos en los sistemas de destino o en una gran cantidad de sistemas en una red para
interrumpir la disponibilidad de los recursos del sistema y de la red. Pueden intentar hacer que los datos almacenados sean
inaccesibles cifrando archivos o datos en unidades locales y remotas y reteniendo el acceso a una clave de descifrado. Esto
se puede hacer para extraer una compensación monetaria de una víctima a cambio del descifrado o una clave de descifrado
(ransomware) o para hacer que los datos sean permanentemente inaccesibles en los casos en que la clave no se guarda o
transmite. (Cita: US-CERT Ransomware 2016) (Cita: FireEye WannaCry 2017)(Cita: US-CERT NotPetya 2017)(Cita: US-
CERT SamSam 2018) En el caso del ransomware, es típico que los archivos de usuario comunes como documentos de
Office, PDF, imágenes, videos, audio, el texto y los archivos de código fuente se cifrarán. En algunos casos,
• Para maximizar el impacto en la organización de destino, el malware diseñado para cifrar datos puede tener características
similares a las de un gusano para propagarse a través de una red aprovechando otras técnicas de ataque como cuentas
válidas , volcado de credenciales del sistema operativo y recursos compartidos de administración de SMB/Windows . (Cita:
FireEye WannaCry 2017 )(Cita: US-CERT NotPetya 2017)
• En entornos de nube, los objetos de almacenamiento dentro de cuentas comprometidas también pueden cifrarse. (Cita:
Rhino S3 Ransomware Parte 1)
91

Figure 1: Encryption algorithms used by Ransomware

https://www.picussecurity.com/resource/the-most-common-ransomware-ttp-mitre-attck-t1486-data-encrypted-for-impact
92

Symmetric (secret key) encryption
En los algoritmos de cifrado simétrico, se utiliza la misma clave secreta
para cifrar y descifrar los datos. Es por esto que también se conoce
como cifrado de clave secreta . Por lo general, el cifrado simétrico es
significativamente más rápido que el cifrado asimétrico y es más
adecuado para el cifrado masivo de grandes cantidades de datos. Por lo
tanto, el cifrado simétrico es ideal para cifrar miles de archivos en un
período corto, como lo requiere el ransomware. Además, los algoritmos
simétricos generalmente proporcionan un tamaño de archivo más
pequeño que permite transmisiones más rápidas y requiere menos
espacio de almacenamiento.
93

Asymmetric (public key) encryption
En los algoritmos de cifrado asimétrico, los procesos de cifrado y descifrado involucran
dos claves denominadas pares de claves públicas y privadas. La clave pública se utiliza
para cifrar los datos y la clave privada correspondiente se utiliza para descifrar los datos
cifrados. El cifrado asimétrico también se denomina cifrado de clave pública .
La clave pública puede quedar en la máquina de la víctima porque es inútil para el

proceso de descifrado. No es necesario almacenar la clave privada y se puede generar
más tarde. Por lo tanto, el cifrado asimétrico no comparte los problemas de gestión y
distribución de claves del cifrado simétrico.
A pesar de estas ventajas, el cifrado asimétrico suele ser significativamente más lento
que el cifrado simétrico y requiere más fuentes informáticas.
94

TOP 10 RANSOMWARE -
T1486: Data Encrypted for
Impact
¿Cómo cifra el
ransomware los activos
de la víctima EMOTET?
https://www.govcert.ch/blog/severe-ransomware-attacks-against-swiss-smes/
95

TOP 10 RANSOMWARE -
Impact
¿Cómo cifra el
ransomware los
activos de la víctima
LockerGoga?
https://www.govcert.ch/blog/severe-ransomware-attacks-against-swiss-smes/
96

¿Cómo cifra el ransomware los activos de la víctima Ryuk?
Fuente: https://success.trendmicro.com/tw/solution/1123892-ryuk-ransomware-information
97

TOP 10 RANSOMWARE -
Impact
¿Cómo cifra el
ransomware los
activos de la víctima
CONTI?
https://www.trendmicro.com/en_us/research/21/c/vision-one-tracking-conti-ransomware.html
98

Atomic Tests ejemplo:
•Atomic Test #1 - Encrypt files using gpg (Linux)

•Atomic Test #2 - Encrypt files using 7z (Linux)
•Atomic Test #3 - Encrypt files using ccrypt (Linux)
•Atomic Test #4 - Encrypt files using openssl (Linux)
•Atomic Test #5 - PureLocker Ransom Note
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1486/T1486.md
99

TOP 10 RANSOMWARE - T1490: Inhibit System Recovery
• Los adversarios pueden eliminar o eliminar los datos integrados del sistema operativo y apagar los servicios diseñados para
ayudar en la recuperación de un sistema corrupto para evitar la recuperación. (Cita: Talos Olympic Destroyer 2018) (Cita:
FireEye WannaCry 2017) Los sistemas operativos pueden contener características que puede ayudar a reparar sistemas
corruptos, como un catálogo de respaldo, instantáneas de volumen y funciones de reparación automática. Los adversarios
pueden deshabilitar o eliminar las funciones de recuperación del sistema para aumentar los efectos de la destrucción de datos
y el cifrado de datos para impacto . (Cita: Talos Olympic Destroyer 2018) (Cita: FireEye WannaCry 2017)
• Los adversarios han utilizado varias utilidades nativas de Windows para deshabilitar o eliminar las funciones de recuperación
del sistema:
vssadmin.exe se puede usar para eliminar todas las instantáneas de volumen en un sistema -vssadmin.exe delete shadows /all /quiet
El Instrumental de administración de Windows se puede usar para eliminar instantáneas de volumen:wmic shadowcopy delete
wbadmin.exe se puede utilizar para eliminar el catálogo de copia de seguridad de Windows -wbadmin.exe delete catalog -quiet
bcdedit.exese puede usar para deshabilitar las funciones de recuperación automática de Windows modificando los datos de
configuración de arranque -bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
100


•Atomic Test #1 - Windows - Delete Volume Shadow Copies
•Atomic Test #2 - Windows - Delete Volume Shadow Copies via WMI
•Atomic Test #3 - Windows - wbadmin Delete Windows Backup Catalog
•Atomic Test #4 - Windows - Disable Windows Recovery Console Repair
•Atomic Test #5 - Windows - Delete Volume Shadow Copies via WMI with
PowerShell
•Atomic Test #6 - Windows - Delete Backup Files
•Atomic Test #7 - Windows - wbadmin Delete systemstatebackup
•Atomic Test #8 - Windows - Disable the SR scheduled task
•Atomic Test #9 - Disable System Restore Through Registry
Fuente: https://www.picussecurity.com/resource/mitre-attck-t1490-inhibit-system-recovery-the-ransomwares-favorite
101


•Atomic Test #1 - Windows - Delete Volume Shadow Copies
•Atomic Test #2 - Windows - Delete Volume Shadow Copies via WMI
•Atomic Test #3 - Windows - wbadmin Delete Windows Backup Catalog
•Atomic Test #4 - Windows - Disable Windows Recovery Console Repair
•Atomic Test #5 - Windows - Delete Volume Shadow Copies via WMI with
PowerShell
•Atomic Test #6 - Windows - Delete Backup Files
•Atomic Test #7 - Windows - wbadmin Delete systemstatebackup
•Atomic Test #8 - Windows - Disable the SR scheduled task
•Atomic Test #9 - Disable System Restore Through Registry
Fuente: https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1490/T1490.md
102

TOP 10 RANSOMWARE
T1027: Obfuscated Files or Information
• Los adversarios pueden intentar dificultar la detección o el análisis de un archivo ejecutable mediante el cifrado, la codificación o la ofuscación de su
contenido en el sistema o en tránsito. Este es un comportamiento común que se puede usar en diferentes plataformas y en la red para evadir las
defensas.
• Las cargas útiles se pueden comprimir, archivar o cifrar para evitar la detección. Estas cargas útiles se pueden usar durante el acceso inicial o más
tarde para mitigar la detección. A veces, es posible que se requiera la acción de un usuario para abrir y desofuscar/decodificar archivos o
información para la ejecución del usuario . También se le puede solicitar al usuario que ingrese una contraseña para abrir un archivo
comprimido/encriptado protegido con contraseña que fue proporcionado por el adversario. (Cita: Volexity PowerDuke noviembre de 2016) Los
adversarios también pueden usar scripts comprimidos o archivados, como JavaScript.
• También se pueden codificar partes de los archivos para ocultar las cadenas de texto sin formato que, de otro modo, ayudarían a los defensores con
el descubrimiento. (Cita: Linux/Cdorked. Un análisis de seguridad de We Live) Las cargas útiles también pueden dividirse en archivos separados
aparentemente benignos que solo revelan una funcionalidad maliciosa cuando se vuelven a ensamblar. (Cita: Ofuscación de negro de humo,
septiembre de 2016)
• Los adversarios también pueden ofuscar los comandos ejecutados desde las cargas útiles o directamente a través de un Intérprete de comandos y
secuencias de comandos . Las variables de entorno, los alias, los caracteres y otras semánticas específicas de la plataforma/idioma se pueden utilizar
para evadir las detecciones basadas en firmas y los mecanismos de control de aplicaciones. (Cita: FireEye Ofuscation junio de 2017) (Cita: FireEye
Revoke-Obfuscation julio de 2017)(Cita: PaloAlto EncodedCommand marzo de 2017)
103

TOP 10 RANSOMWARE
T1047: Windows Management Instrumentation
• Los adversarios pueden abusar del Instrumental de administración de Windows (WMI) para
ejecutar cargas y comandos maliciosos. WMI es una función de administración que proporciona un
entorno uniforme para acceder a los componentes del sistema de Windows. El servicio WMI
permite el acceso tanto local como remoto, aunque este último lo facilitan los servicios remotos ,
como el modelo de objetos componentes distribuidos (DCOM) y la administración remota de
Windows (WinRM). (Cita: MSDN WMI) WMI remoto sobre DCOM funciona con el puerto 135,
mientras que WMI sobre WinRM funciona con el puerto 5985 cuando se usa HTTP y 5986 para
HTTPS. (Cita: MSDN WMI) (Cita: FireEye WMI 2015)
• Un adversario puede utilizar WMI para interactuar con sistemas locales y remotos y utilizarlo como
un medio para ejecutar varios comportamientos, como la recopilación de información para el
descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. (Cita: FireEye
WMI SANS 2015) (Cita: FireEye WMI 2015)
104

TOP 10 RANSOMWARE
T1036: Masquerading
• Los adversarios pueden intentar manipular las características de sus artefactos para que
parezcan legítimos o benignos para los usuarios y/o las herramientas de seguridad. El
enmascaramiento ocurre cuando el nombre o la ubicación de un objeto, legítimo o
malicioso, se manipula o abusa con el fin de evadir las defensas y la observación. Esto
puede incluir la manipulación de metadatos de archivos, engañar a los usuarios para que
identifiquen erróneamente el tipo de archivo y dar nombres legítimos de tareas o
servicios.
• Cambiar el nombre de las utilidades del sistema abusables para evadir el monitoreo de
seguridad también es una forma de enmascaramiento . (Cita: sitio principal de LOLBAS)
105

TOP 10 RANSOMWARE
T1059: Command and Scripting Interpreter
• Los adversarios pueden abusar de los intérpretes de comandos y scripts para ejecutar comandos, scripts o
archivos binarios. Estas interfaces y lenguajes brindan formas de interactuar con los sistemas informáticos y son
una característica común en muchas plataformas diferentes. La mayoría de los sistemas vienen con una interfaz
de línea de comandos integrada y capacidades de secuencias de comandos, por ejemplo, las distribuciones de
macOS y Linux incluyen algún tipo de Unix Shell , mientras que las instalaciones de Windows incluyen
Windows Command Shell y PowerShell .
• También hay intérpretes multiplataforma como Python , así como aquellos comúnmente asociados con
aplicaciones cliente como JavaScript y Visual Basic .
• Los adversarios pueden abusar de estas tecnologías de varias maneras como un medio para ejecutar comandos
arbitrarios. Los comandos y scripts se pueden incrustar en cargas útiles de acceso inicial entregadas a las
víctimas como documentos atractivos o como cargas útiles secundarias descargadas de un C2 existente. Los
adversarios también pueden ejecutar comandos a través de terminales/shells interactivos, así como utilizar
varios servicios remotos para lograr la ejecución remota. (Cita: Comandos remotos de Powershell) (Cita:
Garantía de integridad del software Cisco IOS - Historial de comandos) (Cita: Ejecución remota de shell) en
Python)
Fuente: https://top-attack-techniques.mitre-engenuity.org/ 106

TOP 10 RANSOMWARE - T1562: Impair Defenses
• Los adversarios pueden modificar maliciosamente los componentes del entorno de una
víctima para obstaculizar o desactivar los mecanismos defensivos. Esto no solo implica el
deterioro de las defensas preventivas, como los firewalls y los antivirus, sino también las
capacidades de detección que los defensores pueden usar para auditar la actividad e
identificar el comportamiento malicioso. Esto también puede abarcar tanto defensas
nativas como capacidades complementarias instaladas por usuarios y administradores.
• Los adversarios también podrían apuntar a los mecanismos de agregación y análisis de

eventos, o interrumpir estos procedimientos al alterar otros componentes del sistema.
107

TOP 10 RANSOMWARE - T1112: Modify Registry
• Los adversarios pueden interactuar con el Registro de Windows para ocultar información de configuración dentro de las claves
del Registro, eliminar información como parte de la limpieza o como parte de otras técnicas para ayudar en la persistencia y la
ejecución.
• El acceso a áreas específicas del Registro depende de los permisos de la cuenta, algunos requieren acceso de nivel de
administrador. La utilidad de línea de comandos integrada de Windows, Reg , se puede utilizar para modificar el registro de
forma local o remota. (Cita: Microsoft Reg) También se pueden usar otras herramientas, como una herramienta de acceso
remoto, que puede contener funcionalidad para interactuar con el Registro a través de la API de Windows.
• Las modificaciones del registro también pueden incluir acciones para ocultar claves, como anteponer nombres de claves con un
carácter nulo, lo que provocará un error y/o se ignorará cuando se lea a través de Reg u otras utilidades que utilizan la API de
Win32. (Cita: Microsoft Reghide NOV 2006) Los adversarios pueden abusar de estas claves pseudo-ocultas para ocultar las
cargas/comandos utilizados para mantener la persistencia. (Cita: TrendMicro POWELIKS, AGOSTO DE 2014) (Cita: SpectorOps
Hiding Reg, julio de 2017)
• El Registro de un sistema remoto puede modificarse para ayudar en la ejecución de archivos como parte del movimiento lateral.
Requiere que el servicio de registro remoto se esté ejecutando en el sistema de destino. (Cita: Microsoft Remote) A menudo , se
requieren cuentas válidas , junto con acceso a los recursos compartidos de administración de SMB/Windows del sistema
remoto para la comunicación RPC.

TOP 10 RANSOMWARE - T1204: User Execution
• Un adversario puede basarse en acciones específicas de un usuario para lograr

la ejecución. Los usuarios pueden estar sujetos a ingeniería social para que
ejecuten código malicioso, por ejemplo, abriendo un archivo o enlace de
documento malicioso. Estas acciones del usuario generalmente se observarán
como un comportamiento de seguimiento de las formas de phishing .
• Si bien la ejecución del usuario ocurre con frecuencia poco después del acceso
inicial, puede ocurrir en otras fases de una intrusión, como cuando un
adversario coloca un archivo en un directorio compartido o en el escritorio de
un usuario con la esperanza de que haga clic en él. Esta actividad también se
puede ver poco después de Internal Spearphishing .
109

TOP 10 RANSOMWARE - T1055: Process Injection
• Los adversarios pueden inyectar código en los procesos para evadir las defensas basadas en procesos y
posiblemente elevar los privilegios. La inyección de procesos es un método para ejecutar código arbitrario
en el espacio de direcciones de un proceso en vivo separado. Ejecutar código en el contexto de otro
proceso puede permitir el acceso a la memoria del proceso, los recursos del sistema/red y posiblemente
privilegios elevados. La ejecución a través de la inyección de procesos también puede evadir la detección
de los productos de seguridad, ya que la ejecución está enmascarada bajo un proceso legítimo.
• Hay muchas formas diferentes de inyectar código en un proceso, muchas de las cuales abusan de
funcionalidades legítimas. Estas implementaciones existen para todos los sistemas operativos principales,
pero generalmente son específicas de la plataforma.
• Las muestras más sofisticadas pueden realizar múltiples inyecciones de proceso para segmentar módulos
y evadir aún más la detección, utilizando canalizaciones con nombre u otros mecanismos de
comunicación entre procesos (IPC) como canal de comunicación.

Materiales:
https://top-attack-techniques.mitre-
engenuity.org/calculator
111
https://attackevals.mitre-engenuity.org/
MITRE Engenuity evalúa los productos de ciberseguridad utilizando una

metodología abierta basada en la base de conocimientos de ATT&CK®.
Los objetivos son mejorar las organizaciones frente a los comportamientos

adversarios conocidos mediante:
Plataformas:
https://attack.mitre.org/matrices/ics/
Fuente: https://attackevals.mitre-engenuity.org/using-attack-evaluations/ 112

Cosas clave que debe saber antes de comenzar
• Las evaluaciones de ATT&CK son un punto de partida. Se utiliza un entorno de libro abierto para comprender las capacidades
básicas de las soluciones. Es importante considerar la puesta en funcionamiento de estas soluciones en el contexto de su
organización, incluida la generación de falsos positivos.
• No hay ganadores. El objetivo de las evaluaciones de ATT&CK es mostrar las diferentes capacidades de cada proveedor.
• Contar tiene limitaciones. No creemos que ninguna forma única de contar sea adecuada para todos. Como hemos descrito,
debe considerar sus propias necesidades y luego considerar la puntuación en función de ellas.
• No todas las técnicas son iguales. Una técnica de detección para Credential Dumping puede no tener el mismo valor que una
técnica para Process Discovery, debido a la gravedad de la acción. La categoría le da una idea general, pero debe sumergirse
en los detalles para comprender la técnica y la detección.
• No todos los procedimientos son iguales. El descubrimiento de procesos (T1057) a través de la interfaz de línea de comandos
(T1059) se puede detectar con la mayoría de los procesos de monitoreo. Process Discovery a través de API (T1106)
necesitaría monitoreo de API. Un proveedor podría tener una detección para uno pero no para el otro.

Comprender el enfoque de las evaluaciones de ATT&CK
• Antes de que pueda entender los resultados, o incluso el análisis que la gente está
realizando sobre los resultados, es importante considerar el origen de las evaluaciones
de ATT&CK. Cuando ATT&CK Evaluations se conceptualizó originalmente, se hizo con
un alcance muy específico: brindar transparencia en torno a la capacidad de las
soluciones defensivas para abordar los comportamientos descritos en ATT&CK e
impulsar el mercado de la seguridad empresarial. La metodología de Evaluaciones
Empresariales se diseñó específicamente para basarse en datos y centrarse en este tema
tan específico. Hay muchas otras organizaciones que utilizan varias otras prácticas y
filosofías para abordar la pregunta más amplia de qué productos son los "mejores". Las
evaluaciones de ATT&CK pueden ayudar a abordar algunos aspectos de esta pregunta,
pero existen algunas opciones de diseño clave y las limitaciones resultantes.

Comprender el enfoque de las evaluaciones de ATT&CK
• La cobertura analítica puede ser síntoma del mismo efecto. Es posible que muchas
técnicas de ATT&CK no justifiquen las alertas debido al ruido o al costo (de oportunidad)
de recopilar esos datos. La cobertura de telemetría puede ser un buen indicador de las
capacidades potenciales de un producto, pero si tiene un SOC pequeño o sin
experiencia, confiar únicamente en la telemetría para las detecciones puede ser una
receta para el desastre. Visibilidad, un compuesto entre las dos estadísticas anteriores,
enfrenta los mismos desafíos, pero también brinda una visión simplificada de la mística
métrica de "cobertura de ATT&CK".
Fuente: https://medium.com/mitre-engenuity/making-sense-of-att-ck-evaluations-data-42ca844940b9 115


Fuente: https://medium.com/mitre-engenuity/making-sense-of-att-ck-evaluations-data-42ca844940b9
117


PARTICIPANTES
MITRE Engenuity no asigna puntuaciones, clasificaciones ni

calificaciones. Los resultados de la evaluación están a
disposición del público, por lo que otras organizaciones pueden
proporcionar su propio análisis e interpretación, que no son
avalados ni validados por MITRE Engenuity.

Evaluaciones IT Corporativo
Fuente: https://attackevals.mitre-engenuity.org/enterprise/participants/?adversaries=wizard-spider-sandworm%2Ccarbanak-fin7%2Capt29%2Capt3

Evaluaciones ICS
Fuente: https://attackevals.mitre-engenuity.org/enterprise/participants/?adversaries=wizard-spider-sandworm%2Ccarbanak-fin7%2Capt29%2Capt3

Evaluaciones ICS
Fuente: https://www.cynet.com/blog/learn-how-to-interpret-the-2022-mitre-attck-evaluation-results/

Evaluaciones ICS

Evaluaciones ICS

Fuente: https://www.cynet.com/wp-content/uploads/2022/04/word-image-29.png

Evaluaciones ICS
Fuente: https://hackarizona.org/results-overview-2022-mitre-attck-evaluation-wizard-spider-and-sandworm-edition/

Ejemplo siguiente, se ha
identificado tres
soluciones, cada una con
sus propios pros y contras.
Las flechas rojas indican
los puntos en los que las
evaluaciones ATT&CK han
contribuido a la decisión.

Metodología
• La metodología utilizada al crear esta evaluación es simple, y con las

capacidades de la plataforma de optimización de seguridad AttackIQ,
se puede personalizar fácilmente para adaptarse al contexto de su
entorno, o se puede usar de forma inmediata:
1. Investigue qué TTP utilizan los actores de ransomware;
2. Determinar cuáles de estos TTP están implementados en la plataforma AttackIQ;
3. Determine qué técnicas implementadas para estos TTP coinciden con el método que utiliza el
atacante para ejecutar el TTP;
4. Inserte los resultados en las capas de MITRE ATT&CK Navigator , una para cada familia de
ransomware
5. Combine capas individuales en una capa; y
6. Inserte los resultados más utilizados en una plantilla de evaluación en la plataforma AttackIQ.
Mg. Ing. Sebastián Vargas
sebastian.vargas.y@usach.cl

Clase N2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase N2

Cargado por

Copyright:

Formatos disponibles

Casos de estudio ransomware con

BOOTCAMP CIBERSEGURIDAD DEFENSIVA

¿Que veremos hoy?

¿Qué son las “tácticas”?

¿Qué son las “técnicas”?

¿Qué son las “subtécnicas”?

¿Qué son los “procedimientos”?

¿Qué son los “Adversarios”?

¿Qué son los “Software”?

¿Cuáles son las diferencias entre subtécnicas y procedimientos?

¿A qué tecnologías se aplica ATT&CK?

¿Cómo puedo usar ATT&CK?

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Uso de Matrices Enterprise en redes TI

Uso de Matrices ICS en redes TO

Uso de Matrices Cloud

Uso de MITRE D3FEND

Uso de Attack Navigator

Uso de Mitre CAR

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Marco ATT&CK agrega valor a la inteligencia de

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

ATT&CK y Cyber Kill Chain son complementarios. ATT&CK se

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

La "defensa informada sobre amenazas" aplica un profundo

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

El objetivo de FMX era investigar el

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Tácticas que denotan objetivos tácticos a corto plazo del adversario

Uso documentado del adversario de técnicas y otros metadatos

ATT&CK para ATT&CK para

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Los objetivos se presentan linealmente desde el punto de reconocimiento

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Los objetivos se presentan linealmente desde el punto de reconocimiento

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Establecer recursos para

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Intentar ingresar a su red, es

Fuente imagen: https://latam.kaspersky.com/blog/que-es-el-spear-phishing/12177/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Intentar ejecutar código

Fuente imagen: https://www.pcrisk.es/guias-de-desinfeccion/9184-svchost-exe-virus

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Fuente imagen: https://www.incibe-cert.es/blog/veni-vidi-vici-malware-fichero

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Fuente imagen: https://www.huntress.com/blog/the-mechanics-of-defense-evasion

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Fuente imagen: https://www.r-studio.com/unformat-disk/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/