Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
En el ámbito de la ciberseguridad, las vulnerabilidades generan amenazas y los
atacantes siempre están desarrollando nuevas técnicas para aprovecharlas. En las
lecturas anteriores vimos que, para prevenir los ciberdelitos, disponemos de algunas
estrategias a tener en cuenta al momento de desarrollar un software, pero sabemos que
el riesgo cero no existe. Eso quiere decir que la seguridad absoluta tampoco existe.
Tarde o temprano vamos a ser víctimas de un ciberataque. Cuando llegue ese momento,
debemos realizar un análisis forense que ayude a la protección de la organización y a
evitar la ciberdelincuencia. Se deberá recolectar evidencia, establecer una cadena de
custodia para preservar la integridad de la evidencia y finalmente atribuir el ataque, a fin
de identificar a los agentes de amenaza, informar a las autoridades competentes y
brindar pruebas para respaldar una acusación.
La identificación de los actores responsables de una amenaza debe hacerse por
medio de la investigación sistemática y fundamentada de la evidencia digital.
Puede resultar útil especular sobre la identidad de un agente de amenazas,
identificando posibles motivaciones para un incidente. Pero es importante no dejar
que esto desvíe la investigación.
1. MITRE ATT&CK
Dado que tenemos un expresidente denominado Bartolomé Mitre, que gobernó
Argentina desde 1858 hasta 1862, para no generar confusión, primero, aclaremos qué
es MITRE.
Se trata de una organización sin fines de lucro con sede en los EE. UU. que
apoya al gobierno federal en el avance de la seguridad nacional al proporcionar
una variedad de servicios técnicos, cibernéticos y de ingeniería. En el año 2013,
MITRE lanzó un proyecto de investigación para rastrear el comportamiento de los
actores de ciberamenazas, desarrollando un marco denominado Adversarial
Tactics, Techniques, and Common Knowledge, o en forma abreviada, ATT&CK.
(MacLellan, 2022, https://bit.ly/3Dkwcrh)
A diez años de su lanzamiento, The MITRE ATT&CK, como popularmente se lo conoce,
evolucionó en la dirección de una base de conocimiento accesible a nivel global sobre
tácticas y técnicas del adversario basadas en observaciones de casos reales.
Contiene una taxonomía del comportamiento de los actores de amenazas durante
el ciclo de vida de un ataque, dividida en 14 tácticas, cada una de las cuales
contiene un subconjunto de técnicas y subtécnicas más específicas (que cubren el
TT de TTP). Se divide en tres matrices separadas: enterprise: ataques contra las
redes de TI y la nube de la empresa; mobile: ataques dirigidos a dispositivos
móviles, y sistemas de control industrial: ataques dirigidos a industrial control
systems (ICS). (MacLellan, 2022, https://bit.ly/3Dkwcrh)
MITRE ATT&CK contiene una gran cantidad de conocimientos basados en
observaciones de casos reales.
La versión de octubre de 2022 de ATT&CK «for Enterprise» contiene 193 técnicas,
401 subtécnicas, 135 grupos de actores de amenazas, 14 campañas y 718 piezas
de software/malware.
Cada técnica se puede explorar para revelar subtécnicas y existe una base de
conocimiento completa de MITRE que alimenta las matrices. Esta base de datos
contiene una cantidad colosal de información sobre grupos de actores de
amenazas, malware, campañas, descripciones de técnicas y subtécnicas,
mitigaciones, estrategias de detección, referencias para recursos externos, un
sistema de identificación para seguimiento y mucho más. (MacLellan, 2022,
https://bit.ly/3Dkwcrh)
Esto beneficia a todos, desde los novatos que buscan aprender sobre las TTP
hasta los veteranos «curtidos en la batalla» que desean actualizar su
conocimiento del escenario de ataque (memorizar 401 subtécnicas requeriría una
memoria sobrehumana). (MacLellan, 2022, https://bit.ly/3Dkwcrh)
Supongamos que un gateway de correo electrónico ha puesto en cuarentena varios
correos electrónicos maliciosos que contienen malware desconocido. Con esa
información, podemos realizar una consulta al MITRE ATT&CK Framework y, si el
malware está allí, descubriremos qué técnicas están asociadas con él, con referencia a
ejemplos del mundo real.
Esto puede ayudar a determinar lo que el actor de amenazas esté tratando de
lograr. Quizás, si contamos con las herramientas adecuadas, con solo hacer clic
en un botón, podamos visualizar esos datos exportándolos a MITRE ATT&CK
Navigator, una versión interactiva de MITRE ATT&CK Framework que se
recomienda explorar (es gratis). (MacLellan, 2022, https://bit.ly/3Dkwcrh)
Entendamos que el atacante solo tiene éxito si alcanza el paso siete. Esto no implica
que el ataque deba contener acciones identificadas con las seis etapas restantes; sino
que alguna de ellas puede no ser necesaria. Por ejemplo, en el caso de una acción
ofensiva llevada adelante por una ciberarma autónoma, no sería necesario diseñar el
paso seis.
No es difícil elegir un arma para el ataque. Solo se necesita ver qué ataques están
disponibles para las vulnerabilidades que se detectaron. Hay muchos ataques
prediseñados y ampliamente probados. Uno de los problemas de estos ataques
es que, debido a que son tan conocidos, es muy probable que también los
conozcan los defensores. A menudo, es más eficaz utilizar un ataque que
aprovecha una vulnerabilidad de día cero para evitar los métodos de detección. El
equipo atacante también puede elegir desarrollar su propia arma específicamente
diseñada para evitar la detección, con la información que obtuvo sobre la red y los
sistemas. Obviamente, esto demanda mayores recursos. (CyberOps, 2022,
https://bit.ly/3JmfmMM)
Durante la etapa de entrega:
El arma se transmite al objetivo mediante un vector de entrega. Esto puede ocurrir
usando un sitio web, un medio USB extraíble o un objeto adjunto de correo
electrónico. Si no se entrega el arma, el equipo atacante no tiene éxito. Utilizarán
muchos métodos diferentes para aumentar las posibilidades de entrega de la
carga útil, como encriptar las comunicaciones, modificar el código para que
parezca legítimo u ocultarlo. Los sensores de seguridad utilizados por los IPS son
tan avanzados que detectarán el código malicioso, salvo que se altere para
evitarlo. El código puede modificarse para parecer inocente y tener la capacidad
de realizar las acciones necesarias, aunque podría demorar más tiempo en
ejecutarse. (CyberOps, 2022, https://bit.ly/3JmfmMM)
Una vez entregada el arma, el equipo atacante la utiliza (siguiente etapa: explotar) para
quebrar la o las vulnerabilidades y obtener el control del objetivo.
Los objetivos de ataque más comunes son las aplicaciones, las vulnerabilidades
de sistemas operativos y los usuarios. Se debe utilizar un ataque que tenga el
efecto deseado. Esto es muy importante porque, si se ejecuta el ataque
incorrecto, está claro que no funcionará, pero los efectos secundarios imprevistos,
como una denegación de servicio o reinicios reiterados del sistema, llamarán
indebidamente la atención de los analistas de ciberseguridad, quienes tomarán
conocimiento del ataque y de las intenciones del agente de amenaza. (CyberOps,
2022, https://bit.ly/3JmfmMM)
En la etapa de instalación, el equipo atacante establece una puerta trasera al sistema
para seguir teniendo acceso al objetivo.
Para preservarla, es importante que el acceso remoto no alerte a los analistas de
ciberseguridad ni a los usuarios. Para ser eficaz, el método de acceso debe
sobrevivir a los análisis antimalware y al reinicio de la computadora. Este acceso
persistente también puede permitir las comunicaciones automatizadas, que
resultan especialmente eficaces cuando se necesitan varios canales de
comunicación al comandar una botnet. (CyberOps, 2022, https://bit.ly/3JmfmMM)
En la etapa siguiente de comando y control:
El fin que se persigue es establecer el comando y control (CnC o C2) con el
sistema objetivo. Los hosts atacados suelen enviar información fuera de la red a
un controlador en internet. Esto ocurre porque la mayoría de los malwares
requiere la interacción manual, por ejemplo, para exfiltrar datos de la red. El
equipo atacante utiliza los canales de CnC para emitir comandos al software que
instalan en el objetivo. El analista de ciberseguridad debe ser capaz de detectar
comunicaciones de CnC para descubrir el host atacado. Esto puede hacerse con
tráfico no autorizado de internet relay chat (IRC) o tráfico excesivo hacia los
dominios sospechosos. (CyberOps, 2022, https://bit.ly/3JmfmMM)
El paso final de la Cyber Kill Chain se refiere al momento en el que el equipo atacante
logra su objetivo original.
Este puede ser el robo de datos, la ejecución de un ataque de DDoS o el uso de
la red atacada para crear y enviar correo electrónico no deseado. Llegado este
momento, el equipo atacante está profundamente arraigado en los sistemas de la
organización, ocultando sus movimientos y cubriendo sus rastros. En esta etapa,
es extremadamente difícil eliminar el agente de amenaza de la red. (CyberOps,
2022, https://bit.ly/3JmfmMM)
Ahora ya sabemos qué es el Cyber Kill Chain. En la siguiente lectura, veremos las
estrategias que puede llevar adelante una organización para tomar acciones defensivas
frente a un equipo atacante.
Referencias
CyberOps, (2022). Análisis y respuesta de incidentes e informática forense digital.
https://examenredes.com/modulo-28-analisis-y-respuesta-de-incidentes-e-informatica-
forense-digital/
INCIBE, (2016). Cyber Kill Chain en Sistemas de Control Industrial [entrada de blog].
https://www.incibe-cert.es/blog/cyber-kill-chain-sistemas-control-industrial