Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIDAD 1 - Conociendo El Framework MITRE ATTCK - Profesor Sebastián Vargas
UNIDAD 1 - Conociendo El Framework MITRE ATTCK - Profesor Sebastián Vargas
FUNDAMENTOS DE
MITRE ATT&CK®
https://www.linkedin.com/in/mgsebastianvargasyanez/
https://t.me/+u3kGMuUn1_4wZGUx
3
Ex Jefe de CSIRT Redbanc, Ex CISO del INE, ex asesor del Palacio de la Moneda entre otros. ATT&CK® Cyber Threat Intelligence Defense Recommendations
ATT&CK® Fundamentals
Hack by Security - Digital Forensic & Incident Response
Master en Ciberseguridad, Ciberterrorismo y Ciberguerra – UTP (En curso) AttackIQ Foundations of Operationalizing MITRE ATT&CK
AttackIQ Foundations of Purple Teaming
Magíster en Gestión de Tecnologías de la información - UOI AttackIQ Intro to FIN6 Emulation Plans
AttackIQ Introduction to EASY Framework for Intelligence
Diplomado en Gerencia de Seguridad de la información - UAI AttackIQ Leveraging Breach and Attack Simulation to Operationalize MITRE ATT&CK
AttackIQ Mapping MITRE ATT&CK to CVE for Impact
Diplomatura Estrategia de ciberseguridad e inteligencia en cibercrimen - UNSTA AttackIQ menuPass Emulation Plan Execution
Diplomatura en Ciberdelincuencia - UNSTA AttackIQ MITRE ATT&CK Security Stack Mappings: AWS
AttackIQ Strategic Cybersecurity Management
1st Dan internacional Taekwondo ITF Purple Team Academy MITRE ATT&CK #4 - Masquerading
Purple Team Academy MITRE ATT&CK #5 - Windows Command Shell
Curso oficial CISSP – ICS2 2021 Purple Team Academy MITRE ATT&CK #8 - Registry Run Keys / Startup Folde
Purple Team Academy MITRE ATT&CK #9 - System Information Discovery
Curso Universidad de Colorado Homeland Security and_Security 2020 Purple Team Academy The Absolute Beginners Guide to MITRE ATT&CK
Certiprof Certified ISO 22.301 Foundation
Curso oficial CEHV10- EC-COUNCIL 2018 Certiprof Certiprof_Lifelong Learning
Curso oficial PMP – PMI 2017 CertiProf Cyber Security Foundation Professional Certificate - CSFPC™
Certiprof DevOps Essentials Professional Certificate - DEPC©
• 40 Preguntas alternativas
• 4 días para realizar la prueba
• 1 intento
• Con nota 55 se logra la certificación
10
¿Qué es ATT&CK?
11
Uso de Engage
KALI LINUX
WINDOWS 11
Configuración de conectividad
13
Despliegue de pruebas con Atomic Red Team permite a todos los equipos de seguridad
poner a prueba sus controles mediante la ejecución de sencillas “pruebas atómicas”
que ejercitan las mismas técnicas utilizadas por los adversarios Lecciones aprendidas – -
ATT&CK Mitigaciones
14
¿QUÉ CONOCES DE
MITRE ATT&CK®
16
Fuente: https://itblogr.com/tier-of-threat-actors-cheatsheet/ 17
Fuente: https://www.nicybersecuritycentre.gov.uk/cyber-threats 18
Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021 19
Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021 20
Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021 21
Fuente: https://auditoriadecodigo.com/realizando-una-auditoria-de-codigo-tercera-parte/
22
Fuente: https://www.criticalstart.com/threat-detection-and-the-pyramid-of-pain/
23
Fuente: https://attack.mitre.org/
24
Fuente: https://attack.mitre.org/
25
Fuente: https://attack.mitre.org/
26
La pregunta clave para los investigadores fue "¿Qué tan bien estamos
detectando el comportamiento adversario documentado?" Para responder a esa
pregunta, los investigadores desarrollaron ATT&CK, que se utilizó como
herramienta para categorizar el comportamiento del adversario.
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
27
Tácticas que denotan objetivos tácticos a corto plazo del adversario durante un
ataque (las columnas);
Técnicas que describen los medios por los cuales los adversarios logran
objetivos tácticos (las células individuales); y
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
28
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
29
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
30
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
31
Fuente-Imagen: https://medium.com/cycraft/cycraft-classroom-mitre-att-ck-vs-cyber-kill-chain-vs-diamond-model-1cc8fa49a20f
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
32
1)Reconocimiento:
Recopilación de
información para planificar
futuras operaciones del
adversario, es decir,
información sobre la
organización objetivo.
https://null-byte.wonderhowto.com/how-to/hack-like-pro-
advanced-nmap-for-reconnaissance-0151619/
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
33
2)Desarrollo de recursos:
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
34
3)Acceso inicial:
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
35
4)Ejecución:
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
36
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
37
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
38
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
39
Fuente: https://www.avast.com/es-es/c-keylogger
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
40
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
41
Fuente: https://malware.news/t/lateral-movement-what-it-is-and-how-to-block-it/30648
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
42
Fuente: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html 43
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
44
13) Exfiltración : Robar datos, es decir, transferir datos a una cuenta en la nube
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
45
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
46
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
47
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
48
Fuente: https://attack.mitre.org/
49
Los adversarios pueden abusar del Programador de Tareas de Windows para realizar la
programación de tareas para la ejecución inicial o recurrente de código malicioso. Hay
varias formas de acceder al Programador de Tareas en Windows. La utilidad schtasks
puede ejecutarse directamente en la línea de comandos, o el Programador de Tareas
puede abrirse a través de la interfaz gráfica de usuario dentro de la sección Herramientas
del Administrador del Panel de Control.
Fuente: https://attack.mitre.org/
50
¿Qué es un procedimiento?
Los procedimientos son la implementación específica que el adversario utiliza
para las técnicas o subtécnicas.
EJEMPLO:
schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru "System"
APT38 has used Task Scheduler to run programs at system startup or on a scheduled
basis for persistence
Dragonfly has used scheduled tasks to automatically log out of created accounts
every 8 hours as well as to execute malicious files
Fuente: https://attack.mitre.org/
51
¿Qué es un grupo?
Los grupos son conjuntos de actividades de intrusión relacionadas que se rastrean con un
nombre común en la comunidad de seguridad. Los analistas rastrean grupos de actividades
utilizando varias metodologías analíticas y términos como grupos de amenazas, grupos de
actividades, actores de amenazas, conjuntos de intrusiones y campañas.
EJEMPLO:
ID: G0082 APT38 es un grupo de amenazas patrocinado por el estado de Corea del Norte que
se especializa en operaciones cibernéticas financieras; se ha atribuido a la Oficina General de
Reconocimiento[1]. Activo desde al menos 2014, APT38 ha atacado bancos, instituciones
financieras, casinos, intercambios de criptomonedas, puntos finales del sistema SWIFT y
cajeros automáticos en al menos 38 países de todo el mundo.
Fuente: https://attack.mitre.org/
52
¿Qué es un software?
Software es un término genérico para código personalizado o comercial, utilidades del sistema
operativo, software de código abierto u otras herramientas utilizadas para realizar
comportamientos modelados en ATT&CK. Algunas instancias de software tienen múltiples
nombres asociados con la misma instancia debido a que varias organizaciones rastrean el
mismo conjunto de software con diferentes nombres.
EJEMPLO: S0239 Bankshot es una herramienta de acceso remoto (RAT) que fue reportada por
primera vez por el Departamento de Seguridad Nacional en diciembre de 2017. En
2018, Lazarus Group usó el implante Bankshot en ataques contra el sector
financiero turco.
Tipo : MALWARE
Plataformas : Windows
Fuente: https://attack.mitre.org/
53
Fuente: https://attack.mitre.org/
55
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
57
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
58
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
59
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
60
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
61
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
62
Nivel 1 Para aquellos que recién comienzan y que pueden no tener muchos
recursos.
Nivel 2 para aquellos que son equipos de nivel medio que comienzan a
madurar.
• La inteligencia sobre amenazas cibernéticas consiste en saber qué hacen sus adversarios y utilizar esa
información para mejorar la toma de decisiones.
• Para una organización con solo un par de analistas que quiere comenzar a usar ATT&CK para la inteligencia
de amenazas, una forma de comenzar es tomando un solo grupo que le importa y observando sus
comportamientos estructurados en ATT&CK.
https://www.linkedin.com
/in/mgsebastianvargasyan
Ejemplo:
ez/
Grupos cibercriminales
Para Sector financiero.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 64
Nivel 2 para aquellos que son equipos de nivel medio que comienzan a madurar.
Ejemplo: aquí hay un fragmento de un informe de FireEye que se ha asignado a ATT&CK.
Si tiene un equipo de analistas de
amenazas que revisan regularmente la
información sobre los adversarios, una
acción de siguiente nivel que puede tomar
es mapear la inteligencia de ATT&CK usted
mismo en lugar de usar lo que otros ya han
mapeado.
Ilustración: Katie Nickels 2019 - Getting Started with ATT&CK: Threat Intelligence
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
65
Si su equipo CTI es avanzado, puede comenzar a asignar más información a ATT&CK, y luego usar esa
información para priorizar cómo defiende. Tomando el proceso anterior, puede asignar información interna y
externa a ATT&CK, incluidos datos de respuesta a incidentes, informes de OSINT o suscripciones de inteligencia
de amenazas, alertas en tiempo real e información histórica de su organización.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
66
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 67
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 68
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 69
Evitar suposiciones con los controles gracias al conocimiento exacto de qué se detecta o mitiga, y qué no
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 70
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 71
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 72
•El mejor lugar para comenzar con ATT&CK es siempre la página web de
ATT&CK de MITRE.
•https://attack.mitre.org/
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 74
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 76
Metta es un proyecto de
recurso abierto de Uber
que realiza una simulación
adversaria y está alineado
con ATT&CK de MITRE. https://github.com/uber-common/metta
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 77
Caldera de MITRE
Caldera es una
herramienta de simulación
adversaria automatizada
de recurso abierto que se
basa en ATT&CK de
MITRE.
https://github.com/mitre/caldera
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 78
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
de MITRE.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 81
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
fácil de filtrar.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 82
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 83
FUNDAMENTOS DE
MITRE ATT&CK®