Modelos y referencias (MITRE

ATT&CK y Cyber Kill Chain)

Introducción
En el ámbito de la ciberseguridad, las vulnerabilidades generan amenazas y los
atacantes siempre están desarrollando nuevas técnicas para aprovecharlas. En las
lecturas anteriores vimos que, para prevenir los ciberdelitos, disponemos de algunas
estrategias a tener en cuenta al momento de desarrollar un software, pero sabemos que
el riesgo cero no existe. Eso quiere decir que la seguridad absoluta tampoco existe.

Tarde o temprano vamos a ser víctimas de un ciberataque. Cuando llegue ese momento,
debemos realizar un análisis forense que ayude a la protección de la organización y a
evitar la ciberdelincuencia. Se deberá recolectar evidencia, establecer una cadena de
custodia para preservar la integridad de la evidencia y finalmente atribuir el ataque, a fin
de identificar a los agentes de amenaza, informar a las autoridades competentes y
brindar pruebas para respaldar una acusación.
La identificación de los actores responsables de una amenaza debe hacerse por
medio de la investigación sistemática y fundamentada de la evidencia digital.
Puede resultar útil especular sobre la identidad de un agente de amenazas,
identificando posibles motivaciones para un incidente. Pero es importante no dejar
que esto desvíe la investigación.

[…] En las investigaciones con base en evidencias, un equipo interdisciplinario de

respuesta ante incidentes de ciberseguridad, correlaciona las tácticas, las técnicas
y los procedimientos (TTP) empleados en el incidente con los de otros ataques ya
conocidos. Los ciberdelincuentes, al igual que muchos otros delincuentes, tienen
características específicas que se repiten en la mayoría de sus delitos. Las
fuentes de inteligencia de amenazas pueden ayudar a relacionar las TTP
identificadas por una investigación con fuentes conocidas de ataques similares.
Sin embargo, esto pone de relieve un problema con la atribución de la amenaza,
para lo cual la evidencia de ciberdelincuencia debe ser directa. Identificar
 similitudes entre las TTP de agentes de amenazas conocidos y desconocidos es
evidencia circunstancial.

Algunos aspectos de una amenaza que pueden ayudar a la atribución son la

ubicación de los hosts o dominios, las características del código utilizado en
malware, las herramientas utilizadas y otras técnicas. A veces, en el ámbito de la
seguridad nacional, no es posible atribuir abiertamente las amenazas, porque esto
dejaría al descubierto métodos y capacidades que necesitan ser protegidas.

Para las amenazas internas, la administración de los activos de información

desempeña un papel fundamental. Descubrir los dispositivos desde donde se
inició un ataque puede llevar directamente al agente de amenaza. Las direcciones
IP y las direcciones MAC pueden ayudar a rastrear las direcciones usadas en el
ataque hasta llegar a un dispositivo específico. (CyberOps, 2022,
https://bit.ly/3JmfmMM)
Resumiendo, la atribución de una amenaza hace referencia a la acción de determinar a
la persona, organización o nación responsable de una intrusión o ataque exitoso. Una
forma de atribuir un ataque es modelar el comportamiento del actor de amenazas. Por
ello, veremos dos elementos que nos ayudarán con esta tarea: uno será el marco de
referencias de tácticas, técnicas y conocimiento común de MITRE (MITRE ATT&CK), y
otro, el modelo de amenazas conocido como Cyber Kill Chain, desarrollado por
Lockheed Martin.

1. MITRE ATT&CK
Dado que tenemos un expresidente denominado Bartolomé Mitre, que gobernó
Argentina desde 1858 hasta 1862, para no generar confusión, primero, aclaremos qué
es MITRE.
Se trata de una organización sin fines de lucro con sede en los EE. UU. que
apoya al gobierno federal en el avance de la seguridad nacional al proporcionar
una variedad de servicios técnicos, cibernéticos y de ingeniería. En el año 2013,
MITRE lanzó un proyecto de investigación para rastrear el comportamiento de los
actores de ciberamenazas, desarrollando un marco denominado Adversarial
Tactics, Techniques, and Common Knowledge, o en forma abreviada, ATT&CK.
(MacLellan, 2022, https://bit.ly/3Dkwcrh)
A diez años de su lanzamiento, The MITRE ATT&CK, como popularmente se lo conoce,
evolucionó en la dirección de una base de conocimiento accesible a nivel global sobre
tácticas y técnicas del adversario basadas en observaciones de casos reales.
Contiene una taxonomía del comportamiento de los actores de amenazas durante
el ciclo de vida de un ataque, dividida en 14 tácticas, cada una de las cuales
contiene un subconjunto de técnicas y subtécnicas más específicas (que cubren el
TT de TTP). Se divide en tres matrices separadas: enterprise: ataques contra las
redes de TI y la nube de la empresa; mobile: ataques dirigidos a dispositivos
móviles, y sistemas de control industrial: ataques dirigidos a industrial control
systems (ICS). (MacLellan, 2022, https://bit.ly/3Dkwcrh)
MITRE ATT&CK contiene una gran cantidad de conocimientos basados en
observaciones de casos reales.
La versión de octubre de 2022 de ATT&CK «for Enterprise» contiene 193 técnicas,
401 subtécnicas, 135 grupos de actores de amenazas, 14 campañas y 718 piezas
de software/malware.

Cada técnica se puede explorar para revelar subtécnicas y existe una base de
conocimiento completa de MITRE que alimenta las matrices. Esta base de datos
contiene una cantidad colosal de información sobre grupos de actores de
amenazas, malware, campañas, descripciones de técnicas y subtécnicas,
mitigaciones, estrategias de detección, referencias para recursos externos, un
sistema de identificación para seguimiento y mucho más. (MacLellan, 2022,
https://bit.ly/3Dkwcrh)

¿Cómo utilizar MITRE ATT&CK?

La forma en que se utiliza MITRE ATT&CK Framework depende, en gran medida,
del equipo y de sus flujos de trabajo. Los equipos de seguridad que a menudo
confían en ATT&CK incluyen grupos de trabajo tales como blue teams,
investigadores, respondedores de incidentes, analistas de inteligencia de
amenazas cibernéticas; red teams, probadores de penetración; purple teams, e
ingenieros/evaluadores de herramientas, cada uno con sus propios casos de uso.

[…] MITRE define una campaña «como una agrupación de actividades de

intrusión realizadas durante un periodo de tiempo específico con objetivos
comunes». Las campañas son útiles para detectar una evolución en las TTP,
identificar tendencias cuando hay cambio de tácticas y monitorear la introducción
de nuevas técnicas y el uso sostenido de otras. (MacLellan, 2022,
https://bit.ly/3Dkwcrh)
Caso de uso: investigar amenazas y ciclos de vida de ataques
MITRE ATT&CK Framework es una herramienta de investigación que, de un
vistazo, aclara las etapas del ciclo de vida de un ataque al dividir el
comportamiento del adversario en 14 tácticas. La capacidad de ampliar las
subtécnicas y descubrir un tesoro oculto de descripciones y ejemplos hace que la
comprensión de los ciberataques sea accesible para todos.

Esto beneficia a todos, desde los novatos que buscan aprender sobre las TTP
hasta los veteranos «curtidos en la batalla» que desean actualizar su
conocimiento del escenario de ataque (memorizar 401 subtécnicas requeriría una
memoria sobrehumana). (MacLellan, 2022, https://bit.ly/3Dkwcrh)
Supongamos que un gateway de correo electrónico ha puesto en cuarentena varios
correos electrónicos maliciosos que contienen malware desconocido. Con esa
información, podemos realizar una consulta al MITRE ATT&CK Framework y, si el
malware está allí, descubriremos qué técnicas están asociadas con él, con referencia a
ejemplos del mundo real.
Esto puede ayudar a determinar lo que el actor de amenazas esté tratando de
lograr. Quizás, si contamos con las herramientas adecuadas, con solo hacer clic
en un botón, podamos visualizar esos datos exportándolos a MITRE ATT&CK
Navigator, una versión interactiva de MITRE ATT&CK Framework que se
recomienda explorar (es gratis). (MacLellan, 2022, https://bit.ly/3Dkwcrh)

2. Cyber Kill Chain

El modelo Cyber Kill Chain es un nombre registrado, creado por analistas de Lockheed
Martin Corporation.
En el año 2011 se publicó un artículo donde se explicaba qué era Intrusion Kill
Chain, con la intención de ayudar a la toma de decisiones para detectar y
responder de forma adecuada a posibles ataques o intrusiones a los que se
encuentra expuesto cualquier sistema. La cadena definida en el informe es lo que
luego se dio en llamar Cyber Kill Chain dentro del mundo de la ciberseguridad.
(INCIBE, 2016, https://bit.ly/2Ysf242)
Como se muestra en la figura 1, Cyber Kill Chain está compuesto de siete etapas que
describen los pasos que puede llevar adelante un atacante que tiene como objetivo una
acción ofensiva sobre un sistema de información.

Figura 1: Cyber Kill Chain

Fuente: elaboración propia

Entendamos que el atacante solo tiene éxito si alcanza el paso siete. Esto no implica
que el ataque deba contener acciones identificadas con las seis etapas restantes; sino
que alguna de ellas puede no ser necesaria. Por ejemplo, en el caso de una acción
ofensiva llevada adelante por una ciberarma autónoma, no sería necesario diseñar el
paso seis.

El objetivo de modelar una acción ofensiva sobre un sistema de información es

comprender los pasos que puede estar llevando a cabo el grupo atacante para,
preventivamente, intentar detenerlo en cualquier etapa y romper la cadena de acción.
Romper la cadena de acción significa que el equipo defensor frustró con éxito la
intrusión del equipo atacante en alguna de sus etapas.

A continuación, se describe cada una de las etapas. Empecemos por la de

reconocimiento. En esta etapa, el equipo atacante realiza una búsqueda, reúne
inteligencia y selecciona objetivos. Esto le permite determinar si vale la pena realizar el
ataque.
Cualquier información pública puede ayudar a determinar qué ataque realizar,
dónde y cómo. Hay mucha información disponible públicamente, especialmente
en el caso de organizaciones importantes; esto incluye artículos de prensa, sitios
web, actas de conferencias y dispositivos de red orientados al público. Por
ejemplo, cada vez hay más información disponible sobre miembros de una
organización en las redes sociales.

Luego, el equipo atacante escogerá objetivos descuidados o sin protección donde

es mayor la posibilidad de penetrarlos y atacarlos exitosamente. Analizará toda la
 información que obtiene para determinar su importancia y ver si revelan otras vías
posibles de ataque. (CyberOps, 2022, https://bit.ly/3JmfmMM)
La segunda etapa consiste en armarse. Aquí se trata de:
Utilizar la información de reconocimiento anterior para desarrollar un arma contra
sistemas que sean blancos específicos en la organización. Para desarrollarla, el
diseñador utilizará el conocimiento sobre las vulnerabilidades de los activos de
información que se detectaron y las incorporará en una herramienta que pueda
implementarse y luego validar su aplicabilidad en un escenario lo más real
posible. Después de que la herramienta se haya utilizado, se espera que el equipo
atacante haya logrado su objetivo de tener acceso al sistema o a la red de
destino. El equipo atacante examinará en más detalle la seguridad de la red y los
activos de información para poner de manifiesto debilidades adicionales, obtener
el control de otros activos e implementar ataques adicionales.

No es difícil elegir un arma para el ataque. Solo se necesita ver qué ataques están
disponibles para las vulnerabilidades que se detectaron. Hay muchos ataques
prediseñados y ampliamente probados. Uno de los problemas de estos ataques
es que, debido a que son tan conocidos, es muy probable que también los
conozcan los defensores. A menudo, es más eficaz utilizar un ataque que
aprovecha una vulnerabilidad de día cero para evitar los métodos de detección. El
equipo atacante también puede elegir desarrollar su propia arma específicamente
diseñada para evitar la detección, con la información que obtuvo sobre la red y los
sistemas. Obviamente, esto demanda mayores recursos. (CyberOps, 2022,
https://bit.ly/3JmfmMM)
Durante la etapa de entrega:
El arma se transmite al objetivo mediante un vector de entrega. Esto puede ocurrir
usando un sitio web, un medio USB extraíble o un objeto adjunto de correo
electrónico. Si no se entrega el arma, el equipo atacante no tiene éxito. Utilizarán
muchos métodos diferentes para aumentar las posibilidades de entrega de la
carga útil, como encriptar las comunicaciones, modificar el código para que
parezca legítimo u ocultarlo. Los sensores de seguridad utilizados por los IPS son
tan avanzados que detectarán el código malicioso, salvo que se altere para
evitarlo. El código puede modificarse para parecer inocente y tener la capacidad
de realizar las acciones necesarias, aunque podría demorar más tiempo en
ejecutarse. (CyberOps, 2022, https://bit.ly/3JmfmMM)
Una vez entregada el arma, el equipo atacante la utiliza (siguiente etapa: explotar) para
quebrar la o las vulnerabilidades y obtener el control del objetivo.
 Los objetivos de ataque más comunes son las aplicaciones, las vulnerabilidades
de sistemas operativos y los usuarios. Se debe utilizar un ataque que tenga el
efecto deseado. Esto es muy importante porque, si se ejecuta el ataque
incorrecto, está claro que no funcionará, pero los efectos secundarios imprevistos,
como una denegación de servicio o reinicios reiterados del sistema, llamarán
indebidamente la atención de los analistas de ciberseguridad, quienes tomarán
conocimiento del ataque y de las intenciones del agente de amenaza. (CyberOps,
2022, https://bit.ly/3JmfmMM)
En la etapa de instalación, el equipo atacante establece una puerta trasera al sistema
para seguir teniendo acceso al objetivo.
Para preservarla, es importante que el acceso remoto no alerte a los analistas de
ciberseguridad ni a los usuarios. Para ser eficaz, el método de acceso debe
sobrevivir a los análisis antimalware y al reinicio de la computadora. Este acceso
persistente también puede permitir las comunicaciones automatizadas, que
resultan especialmente eficaces cuando se necesitan varios canales de
comunicación al comandar una botnet. (CyberOps, 2022, https://bit.ly/3JmfmMM)
En la etapa siguiente de comando y control:
El fin que se persigue es establecer el comando y control (CnC o C2) con el
sistema objetivo. Los hosts atacados suelen enviar información fuera de la red a
un controlador en internet. Esto ocurre porque la mayoría de los malwares
requiere la interacción manual, por ejemplo, para exfiltrar datos de la red. El
equipo atacante utiliza los canales de CnC para emitir comandos al software que
instalan en el objetivo. El analista de ciberseguridad debe ser capaz de detectar
comunicaciones de CnC para descubrir el host atacado. Esto puede hacerse con
tráfico no autorizado de internet relay chat (IRC) o tráfico excesivo hacia los
dominios sospechosos. (CyberOps, 2022, https://bit.ly/3JmfmMM)
El paso final de la Cyber Kill Chain se refiere al momento en el que el equipo atacante
logra su objetivo original.
Este puede ser el robo de datos, la ejecución de un ataque de DDoS o el uso de
la red atacada para crear y enviar correo electrónico no deseado. Llegado este
momento, el equipo atacante está profundamente arraigado en los sistemas de la
organización, ocultando sus movimientos y cubriendo sus rastros. En esta etapa,
es extremadamente difícil eliminar el agente de amenaza de la red. (CyberOps,
2022, https://bit.ly/3JmfmMM)
Ahora ya sabemos qué es el Cyber Kill Chain. En la siguiente lectura, veremos las
estrategias que puede llevar adelante una organización para tomar acciones defensivas
frente a un equipo atacante.
Referencias
CyberOps, (2022). Análisis y respuesta de incidentes e informática forense digital.
https://examenredes.com/modulo-28-analisis-y-respuesta-de-incidentes-e-informatica-
forense-digital/

INCIBE, (2016). Cyber Kill Chain en Sistemas de Control Industrial [entrada de blog].
https://www.incibe-cert.es/blog/cyber-kill-chain-sistemas-control-industrial

MacLellan, J. D. (2022). Introducción a MITRE ATT&CK versión 12 (2022). Segu.Info.

Noticias sobre seguridad de la información. https://blog.segu-
info.com.ar/2022/11/introduccion-mitre-att-version-12-2022.html?m=0