Guía de Instalación Paso a Paso de Caldera MITRE ATT&CK

Bootcamp de SOC Analyst para Comunidad Dojo

Este documento proporciona una guía paso a paso para la instalación de la herramienta Caldera
MITRE ATT&CK. El propósito de esta guía es respaldar un módulo del bootcamp SOC Analyst para la
Comunidad Dojo. Durante este módulo, utilizaremos dos máquinas virtuales interconectadas
mediante una red NAT en VirtualBox para realizar un ejercicio de emulación de adversarios. Esta
guía explicará qué es Caldera y como instalarlo

Acerca de Caldera

Caldera es una plataforma de código abierto desarrollada por MITRE que se utiliza para emular
tácticas y técnicas de adversarios en un entorno controlado. Es una herramienta valiosa para
entrenar a analistas de seguridad en la detección y respuesta a amenazas cibernéticas. Caldera se
basa en el marco MITRE ATT&CK, que describe tácticas y técnicas utilizadas por adversarios en
ataques.

Máquinas Virtuales y Red NAT

Para llevar a cabo el ejercicio de emulación de adversarios, necesitaremos dos máquinas virtuales:

1. Caldera (Máquina Virtual 1): Esta máquina alojará la plataforma Caldera MITRE ATT&CK.
Usaremos esta máquina para simular tácticas y técnicas de adversarios en un entorno controlado.

2. Máquina Víctima (Máquina Virtual 2): La máquina víctima representa un objetivo potencial para
los ataques simulados. Es esencial que esta máquina esté aislada del entorno de producción para
garantizar la seguridad durante los ejercicios.
Instalación de Caldera MITRE ATT&CK

Siga estos pasos para instalar Caldera en la máquina virtual Caldera:

Paso 1: Clone el repositorio de Caldera de manera recursiva para obtener todos los plugins
disponibles:

git clone https://github.com/mitre/caldera.git --recursive

Paso 2: Ingrese al directorio de Caldera:

cd caldera

Paso 4: Instale los requisitos de pip:

sudo pip3 install -r requirements.txt

Paso 5: Inicie el servidor de Caldera (opcionalmente con banderas de inicio para un registro
adicional):

python3 server.py --insecure

Una vez iniciado el servidor, inicie sesión en http://localhost:8888 con la contraseña que se
encuentra en el archivo "local.yml" en la carpeta "conf" (este archivo se generará al iniciar el
servidor).

Ingresamos el usuario red y la contraseña admin, en caso de que ya se haya instalado la contraseña
esta en local.yml
Agents: Son con quienes mantenemos conexiones

Abilities: Son las TTP que podemos usar

Adversaries: Es un perfil de un adversario propuesto por caldera

Operations: Permite correr la emulación y probar TTP y comandos manuales

Escogemos la plataforma de Linux y el agente default de Caldera que es Sandcat

Debemos colocar la ip de caldera para poder conectar con la maquina victima, este comando se
pegara en la maquina victima

Pegamos el comando
Una vez establecida la conexión entre caldera y la victima, la terminal de la victima debe verse.

Vemos que en caldera ya se refleja el agente de victima

Procedemos a establecer una operacion

Ingresamos un comando manual

Para labs-done debe usar echo y su username de discord

Conclusiones

Este laboratorio de emulación de adversarios es una valiosa oportunidad para los participantes del
bootcamp de SOC Analyst. A través de la práctica con Caldera MITRE ATT&CK, los analistas de
seguridad adquieren experiencia en la detección y respuesta a amenazas cibernéticas, lo que es
fundamental para proteger a las organizaciones contra posibles ataques.