Bienvenidos

Curso de Ethical Hacking

Clase N°1
CHE-000 Configuración de Ambientes Seguros para Pruebas.
CHE-001 Modelado de Amenazas con MITRE ATT&CK.

Profesor: Mg. Ing. Sebastián Vargas

Profesor: Mg. Ing. Julio Briones
Curso de Ethical Hacking
Fecha y hora
Fecha Inicio: 25 de Marzo de 2024.
Fecha de Término: 24 de Abril de 2024.
Días y horario de clases: lunes y miércoles de 18:30 a 21:30 hrs. (25 y 27 de
Marzo, 1, 3, 8, 10, 15, 17, 22, 24 de Abril)

Lugar de clases:
Modalidad a distancia (vía streaming)

Duración total: 30 horas cronológicas.

Organiza
Escuela de Postgrado y Educación continua / Desarrollo Profesional EPEC
¿De qué trata el Curso de Ethical Hacking?
DESCRIPCIÓN

El curso cubre varios módulos, incluyendo una introducción a la metodología Cyber Kill Chain, técnicas de
reconocimiento y footprinting, escaneo y enumeración, post-explotación y escalada de privilegios,
explotación de entornos web y OS, y elaboración de informes y documentación de los resultados de las
pruebas de penetración.

Este programa es adecuado para personas interesadas en seguir una carrera en ciberseguridad o
tecnología, así como para profesionales que buscan mejorar sus conocimientos y habilidades en estos
campos. El curso asume una comprensión básica de los conceptos de tecnología de la información,
ciberseguridad y principios de seguridad de la información, marcos y metodologías de gestión de riesgos,
así como los requisitos legales y reglamentarios pertinentes.
¿Cuándo tenemos clases?

N° de Clase Fecha ID Descripción de la Clase Horas Profesor Evaluación Ponderación

1 25/3/2024 CHE-000 Configuración de Ambientes Seguros para Pruebas. 1 Sebastián Vargas - -
1 25/3/2024 CHE-001 Modelado de Amenazas con MITRE ATT&CK. 2 Sebastián Vargas - -

2 27/3/2024 CHE-002 Taller de Reconocimiento y Recopilación de Inteligencia: Ingeniería Social y 3 Sebastián Vargas
Técnicas de Enumeración. - -
3 1/4/2024 CHE-003 Evaluación de Vulnerabilidades con Referencia CVE. 3 Sebastián Vargas Prueba Alternativas 20
4 3/4/2024 CHE-004 Taller de Estrategias y Planificación para Equipos de Redteam. 3 Sebastián Vargas - -
5 8/4/2024 CHE-005 Taller de Documentación y Reporte de Hallazgos en PenTesting. 3 Sebastián Vargas - -
6 10/4/2024 CHE-006 Tácticas de Ataque a Servicios Web. 3 Julio Briones
7 15/4/2024 CHE-007 Taller de Técnicas Avanzadas de Explotación en Sistemas Linux. 3 Julio Briones Prueba Grupal 1 30
8 17/4/2024 CHE-008 Taller de Técnicas de Escalada de Privilegios. 3 Julio Briones - -
9 22/4/2024 CHE-009 Taller de Explotación en Sistemas Windows. 3 Julio Briones - -

10 24/4/2024 CHE-010 Taller de Técnicas de Infiltración en Microsoft Active Directory 3 Julio Briones
Cierre del curso Prueba Grupal 2 50
- Total, de Horas - - 30 - Ponderación Total 100
¿Cómo los evaluaremos?

Taller grupal N° Taller grupal N°

Prueba N°1
1 2
• INICIO MIERCOLES 3 DE ABRIL • INICIO MIERCOLES 17 DE ABRIL • INICIO LUNES 29 DE ABRIL 2024
2024 23:59 HRS. 2024 23.59 HRS. 23.59 HRS
• CIERRE MIERCOLES 17 DE • CIERRE MIERCOLES 01 DE • CIERRE AL 12 DE MAYO DEL
ABRIL 2024 23:59 HRS. MAYO 2024 23:59 HRS. 2024 23.59 HRS.
• Prueba de alternativas • Taller de Explotación en • Taller Pentesting
sobre clase 1-3. Sistemas Windows. • Taller de Documentación
y Reporte de Hallazgos
en PenTesting.
Curso de Ethical Hacking
DESCRIPCIÓN

El curso cubre varios módulos, incluyendo una introducción a la metodología Cyber Kill Chain, técnicas de
reconocimiento y footprinting, escaneo y enumeración, post-explotación y escalada de privilegios,
explotación de entornos web y OS, y elaboración de informes y documentación de los resultados de las
pruebas de penetración.

Este programa es adecuado para personas interesadas en seguir una carrera en ciberseguridad o
tecnología, así como para profesionales que buscan mejorar sus conocimientos y habilidades en estos
campos. El curso asume una comprensión básica de los conceptos de tecnología de la información,
ciberseguridad y principios de seguridad de la información, marcos y metodologías de gestión de riesgos,
así como los requisitos legales y reglamentarios pertinentes.
Docente: Sebastián Vargas
Correo: profesorsvargas@[Link]
Linkedin: [Link]
Especializaciones
Trayectoria profesional
EC-COUNCIL - Certified Ethical Hacker (CEH) Practical
ELEARN SECURITY - Elearn Junior Penetration Testing
ATT&CK® Cyber Threat Intelligence Certification.
Fundador de la Sociedad Chilena de Seguridad de la información ATT&CK® Adversary Emulation Fundamentals.
ATT&CK® Security Operations Center Assessment Analysis Badge.
ATT&CK® Security Operations Center Assessment Fundamentals.
ATT&CK® Cyber Threat Intelligence from Narrative Reporting.
Jefe del Departamento del Sector eléctrico ATT&CK® Cyber Threat Intelligence from Raw Data.
ATT&CK® Cyber Threat Intelligence Storage and Analysis
ATT&CK® Cyber Threat Intelligence Defense Recommendations
ATT&CK® Fundamentals
Docente posgrado Universidad Católica de Chile Hack by Security - Digital Forensic & Incident Response
ICSI | CNSS Certified Network Security Specialist
Kaspersky Cybersecurity Fundamentals Certified
Ex Jefe de CSIRT Redbanc, Ex CISO del INE, ex asesor del Palacio de la Moneda entre Kaspersky Incidente Response

otros. AttackIQ Foundational Blueprints

AttackIQ Extending ATT&CK with ATT&CK Workbench
AttackIQ Foundations of Breach & Attack Simulation
Trayectoria curricular AttackIQ Foundations of Operationalizing MITRE ATT&CK
AttackIQ Foundations of Operationalizing MITRE ATT&CK
AttackIQ Foundations of Purple Teaming
Master en Ciberseguridad Industrial – CCI
AttackIQ Intro to FIN6 Emulation Plans
Master en Ciberseguridad, Ciberterrorismo y Ciberguerra - UTP AttackIQ Introduction to EASY Framework for Intelligence
AttackIQ Leveraging Breach and Attack Simulation to Operationalize MITRE ATT&CK
Magíster en Gestión de Tecnologías de la información - UOI AttackIQ Mapping MITRE ATT&CK to CVE for Impact
AttackIQ menuPass Emulation Plan Execution
Diplomado en Gerencia de Seguridad de la información - UAI AttackIQ MITRE ATT&CK Security Stack Mappings: AWS
AttackIQ Strategic Cybersecurity Management
Diplomatura Estrategia de ciberseguridad e inteligencia en cibercrimen - UNSTA AttackIQ Threat-Informed Architecture
AttackIQ Uniting Threat and Risk Management with NIST 800-53 & MITRE ATT&CK
Diplomatura en Ciberdelincuencia - UNSTA Purple Team Academy Foundations of Threat Hunting
Purple Team Academy Fundamentals of Modern Log Management Practices
Ingeniero Civil en informática - INACAP Purple Team Academy MITRE ATT&CK #1 - Process Injection
Purple Team Academy MITRE ATT&CK #2 - PowerShell
Licenciado en ciencias de la ingeniería - INACAP Purple Team Academy MITRE ATT&CK #3 - OS Credential Dumping
Purple Team Academy MITRE ATT&CK #4 - Masquerading
Ingeniero en Ciberseguridad - CIISA
Purple Team Academy MITRE ATT&CK #5 - Windows Command Shell
Purple Team Academy MITRE ATT&CK #8 - Registry Run Keys / Startup Folde
Ingeniero en informática - INACAP
Purple Team Academy MITRE ATT&CK #9 - System Information Discovery

1st Dan internacional Taekwondo ITF Purple Team Academy The Absolute Beginners Guide to MITRE ATT&CK
Certiprof Certified ISO 22.301 Foundation
Curso oficial CISSP – ICS2 2021 Certiprof Certiprof_Lifelong Learning
CertiProf Cyber Security Foundation Professional Certificate - CSFPC™
Curso Universidad de Colorado Homeland Security and_Security 2020 Certiprof DevOps Essentials Professional Certificate - DEPC©
Certiprof Kanban Foundation - KIKFT
Curso oficial CEHV10- EC-COUNCIL 2018 Certiprof Lead Cybersecurity Professional Certificate - LCSPCT
Certiprof Remote Work and Virtual Collaboration Professional Certificate - RWVCPC
Curso oficial PMP – PMI 2017 Certiprof Scrum Foundation Professional Certificate – SFPC
Capacitación Usach – Auditor Líder 27.001
Curso oficial CISM – ISACA 2017 Capacitación Usach - Certificado en Gobierno y Gestión TI usando COBIT 2019
Mi experiencia en mundo MITRE ATT&CK
Mis certificaciones internacionales en Ciberseguridad Técnica
Presentación Docente
Profesor(a) : <Julio Briones Navarro>

Ingeniero en Conectividad y redes, Magister en Ciberseguridad de la Universidad de Barcelona, España, y cuento con un Master en Ciberterrorismo y
Ciberguerra en Università Telematica Pegaso, Brescia, Italia. Cuento con más de 18 años de experiencia adquirida principalmente en el área de Seguridad de
la Información, Ciberseguridad y Continuidad Operativa en el sector bancario, financiero e infraestructura critica.
En mi carrera profesional he liderado equipos de Seguridad de la información, Ciberseguridad y Riesgo Tecnológico.

Soy Fundador de la comunidad de Ciberseguridad “Level0sec” y director en la Fundación Sochisi (Sociedad Chilena de Seguridad de la información)

Director de Diplomados De Red Team – Red Team Avanzado de Universidad de Santiago de Chile, docente en Universidad Católica, Universidad de Chile,
Uniacc, Aiep y NEXT-U.

Cuento con varias certificaciones en el largo de mi carrera profesional que son los siguientes:

• ISACA COBIT® 5 Foundation Certificate V5 • Certiprof certified ISO 22301 Fundamentals (I22301F)
• ISACA CISM Certified Information Security Manager • CertiProf Lead Cybersecurity Professional Certificate (LCSPC)
• ISACA CSX-F Cybersecurity Nexus • Certiprof Certified ISO 27001 Auditor (I27001A)
• EC-Council Certified Threat Intelligence Analyst – CTIA • CertiProf Scrum Foundation Professional Certificate (SFPC)
• EC-Council Certified Incident Handler v2 – ECIH • CertiProf Scrum Master Professional Certificate (SMPC)
• EC-Council Certified SOC Analyst - CSOC • PECB Certified ISO/IEC 27001 Lead Implementer
• EC-Council EC-Council Certified Security Analyst v10 - ECSA • PECB Certified ISO/IEC 27032 Lead Cybersecurity Manager
• EC-Council Certified Chief Information Security Officer - CCISO • AXELOS ITIL® V3
• EC-Council Certified Ethical Hacker (Practical) - CEHP • eLearnSecurity Junior Penetration Tester EJPT
• EC-Council Certified Ethical Hacking v11 - CEHv11 • Norma 9001, Implementador Norma ISO9000
• EC-Council Certified Ethical Hacking Master
• EC-Council Computer Hacking Forensic Investigator v9 -CHFI
• EC-Council Certified Ethical Hacking v10 - CEHv10

[Link]
Mi experiencia en Ec-council
Agenda

• LUNES 28 AGOSTO 2023

• CHE-000 Configuración de Ambientes Seguros para Pruebas.

• CHE-001 Modelado de Amenazas con MITRE ATT&CK.

 ¿Qué necesito para este curso?
La elección del sistema operativo es esencial para garantizar la compatibilidad, rendimiento y seguridad mientras se trabaja en tareas
relacionadas con la ciberseguridad. A continuación, se presentan los sistemas operativos recomendados para realizar de manera óptima el curso.

1. 🖥 Windows:
• Windows 10 Pro: Debido a sus características avanzadas de seguridad y virtualización.
• Windows Server 2019/2022: Para tareas que requieran características específicas de servidor.
2. 🐧 Linux:
• Kali Linux: Una de las distribuciones más populares para pentesting y ciberseguridad.
• Parrot OS: Similar a Kali, pero con algunas herramientas y características adicionales.
• Ubuntu 22.04 LTS o posterior: Conocido por su estabilidad y amplio soporte. También es ideal para servidores.
3. 🍏 macOS:
Versiones Catalina o posteriores son recomendadas, pero hay que tener en cuenta que muchas herramientas específicas de ciberseguridad pueden requerir configuraciones adicionales o
no estar disponibles nativamente para macOS. En estos casos, la virtualización es una opción.

⚠ Nota importante: Las máquinas M1 MacBook Pro o inferiores no están recomendadas para estos cursos.
Si bien los chips M1 de Apple ofrecen un rendimiento impresionante en muchas tareas, existen desafíos en términos de compatibilidad con algunas aplicaciones y herramientas específicas
de ciberseguridad. Si decides usar una MacBook con chip M1, es posible que necesites soluciones alternas como máquinas virtuales o configuraciones adicionales para ejecutar ciertas
herramientas.

Requisitos Adicionales:

🛠 Permisos de administrador: Es fundamental contar con permisos de administrador sobre la máquina. Muchas de las tareas y herramientas en ciberseguridad requieren permisos
elevados para instalación, configuración y operación. Sin estos permisos, te enfrentarás a limitaciones que pueden obstaculizar el proceso de aprendizaje.

• Requisitos de Hardware
• Procesador mínimo: Quad-core.
• Recomendado RAM: 16 GB.
• Espacio en disco: 256GB
• Virtualizador: VMWARE Workstation
• Conexión a internet de alta velocidad.
Materiales

Virtualizador (Licencias OEM):

• Descarga: [Link]
Kali Linux (Versión Estable 2023.2)
• Descarga: [Link]
• Descarga: [Link]
Windows 11
• Descarga: [Link]
Windows Server 2022
• Descarga: [Link]
Agenda

¿Qué es un Ethical hacker?

Tipos de hacker
El ethical hacker.
•Un hacker ético es un profesional de la seguridad
informática que utiliza sus habilidades y
conocimientos para identificar y corregir
vulnerabilidades en sistemas informáticos con el
propósito de mejorar la seguridad. A diferencia de
los hackers malintencionados que buscan explotar
fallos en los sistemas para beneficio propio o para
causar daño, los hackers éticos trabajan de forma
legítima y con permiso para ayudar a fortalecer y
proteger la infraestructura tecnológica.
El ethical hacker.
•Autorización: Un hacker ético siempre trabaja con autorización expresa para evaluar sistemas. No accede ni altera
sistemas sin el consentimiento de sus propietarios. No divulga sin permiso.

•Objetivo: El propósito principal es identificar vulnerabilidades desde la perspectiva de un atacante para mejor proteger los
sistemas.

•Herramientas y técnicas: Utilizan muchas de las mismas herramientas, técnicas y procesos que los hackers con
intenciones maliciosas, pero con el propósito de mejorar la seguridad.

•Código de ética: Siguen un código de ética que establece directrices sobre lo que es y no es aceptable al realizar pruebas
de seguridad.

•Reporte: Una vez que han completado sus evaluaciones, proporcionan un informe detallado de sus hallazgos y
recomendaciones sobre cómo remediar las vulnerabilidades identificadas.
•Educación y certificación: A menudo poseen certificaciones reconocidas en la industria, como Certified Ethical Hacker
(CEH) o Offensive Security Certified Professional (OSCP).

•Roles relacionados: Además de hackers éticos, hay otros roles en el campo de la seguridad informática, como los
pentesters (testers de penetración) y los red teamers, que también llevan a cabo evaluaciones de seguridad, aunque pueden
variar en su enfoque y metodología.
Roles de Seguridad Ofensiva
Diferencias entre los roles

Criterio Pentesting Ethical Hacking Red Teaming

• Evaluar la seguridad de un sistema o • Identificar y remediar vulnerabilidades • Simular ataques realistas para evaluar
Objetivo principal
aplicación específica. en sistemas. la respuesta organizativa.

• Limitado a un sistema, aplicación o • Puede ser amplio o específico • Amplio, involucra múltiples sistemas y
Alcance
red específica. dependiendo de la tarea. técnicas.
• Generalmente más largo (semanas a
Duración • Generalmente corto (días a semanas). • Puede variar.
meses).

• Técnicas específicas para el objetivo • Variedad de técnicas según el • Amplia variedad, incluyendo ingeniería
Técnicas usadas
del test. objetivo. social, ataques físicos, etc.

• Técnico y táctico, se enfoca en el

Enfoque • Técnico. • Técnico.
panorama global.
• Evaluación de la capacidad de
• Detallado sobre vulnerabilidades y • Detallado sobre vulnerabilidades y
Reporte respuesta y recomendaciones para
remedios. remedios.
mejorarla.

• Se requiere autorización amplia, pero

Autorización • Limitada a los sistemas acordados. • Se requiere autorización para actuar.
puede haber áreas no informadas.

• Con frecuencia es de caja blanca (con • Generalmente es de caja negra (sin

Visibilidad • Puede ser de caja blanca o caja negra.
información). información previa).
Pensamiento creativo

Criterio Pensamiento Lateral Pensamiento Lógico

Enfoque • Creativo y divergente. • Secuencial y ordenado.

Objetivo • Generar múltiples soluciones, generalmente fuera de lo común. • Llegar a una solución única y correcta.

Proceso • Saltar entre diferentes ideas sin un orden fijo. • Seguir un proceso o estructura predefinida y ordenada.

Herramientas • Analogías, metáforas, rompecabezas, juegos de palabras. • Reglas, leyes, principios, fórmulas.

Base • Se basa en la percepción y perspectivas cambiantes. • Se basa en hechos y datos establecidos.

Aplicaciones comunes • Resolución de problemas complejos, brainstorming, innovación. • Matemáticas, programación, ciencias exactas.

• Puede no considerar soluciones fuera del marco

Riesgo • Puede no llegar a una solución práctica o viable.
establecido.

Evaluación de resultados • Más subjetiva; éxito en generar nuevas ideas. • Más objetiva; éxito en encontrar la "respuesta correcta".

Visión • Holística, viendo el panorama completo. • Analítica, desglosando problemas en partes manejables.
Pensamiento creativo
Pensamiento creativo
Certificaciones importantes

Fuente: [Link]
Agenda

Modelado de Amenazas con MITRE

ATT&CK
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es MITRE ATT&CK?

¿Qué son las “tácticas”?

¿Qué son las “técnicas”?
¿Qué son las “subtécnicas”?
¿Qué son los “procedimientos”?
¿Qué son los “Adversarios”?
¿Qué son los “Software”?
¿Cuáles son las diferencias entre subtécnicas y procedimientos?
¿A qué tecnologías se aplica ATT&CK?
¿Cómo puedo usar ATT&CK?
27

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿QUÉ CONOCES DE
MITRE ATT&CK®

28

Profesor: Mg. Sebastián Vargas - [Link]

 Ecosistema del cibercrimen

Fuente: [Link] 29

Profesor: Mg. Sebastián Vargas - [Link]

 Ecosistema del cibercrimen

Fuente: [Link] 30

Profesor: Mg. Sebastián Vargas - [Link]

UNIDAD 1: Conociendo el framework MITRE ATT&CK®

Ecosistema del cibercrimen

Fuente: [Link]
31

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®
Detección de amenazas
y la pirámide del dolor

32
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®
¿Qué es el Adversarial Tactics, Techniques,
and Common Knowledge MITRE ATT&CK®?
La "defensa informada sobre amenazas" aplica un profundo
MITREconocimiento
ATT&CK® es deluna
arte base
y la tecnología del adversario
de conocimientos para proteger,
accesible a nivel mundial
sobredetectar y mitigar
las tácticas los ciberataques.
y técnicas Es un enfoque
de los adversarios, basadabasado en la
en observaciones del
comunidad para un desafío mundial.
mundo real. La base de conocimientos ATT&CK se utiliza como base para el
desarrollo de modelos y metodologías de amenazas específicas en el sector
privado, en el gobierno y en la comunidad de productos y servicios de
ciberseguridad.

33
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK® Framework

El modelo de comportamiento presentado por ATT&CK contiene los siguientes componentes básicos:

Tácticas que denotan objetivos tácticos a corto plazo del

adversario durante un ataque (las columnas);

Técnicas que describen los medios por los cuales los adversarios
logran objetivos tácticos (las células individuales); y

Uso documentado del adversario de técnicas y otros metadatos

(vinculados a técnicas).

Fuente: [Link]
34

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK® Framework

MITRE ATT&CK ahora tiene tres iteraciones:

ATT&CK para empresas

• Se enfoca en el comportamiento adversario en entornos Windows, Mac, Linux y Cloud.

ATT&CK para móviles

• Se centra en el comportamiento adversario en los sistemas operativos iOS y Android.

ATT&CK para ICS

• Se enfoca en describir las acciones que un adversario puede tomar mientras opera dentro
de una red ICS.

Fuente: [Link]
35

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué hay en la matriz MITRE ATT&CK?

La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas

por los adversarios para lograr un objetivo específico. Esos objetivos se
clasifican como tácticas en la Matriz ATT&CK.
Los objetivos se presentan linealmente desde el punto de
reconocimiento hasta el objetivo final de exfiltración o "impacto".

Al observar la versión más amplia de ATT&CK para empresas, que

incluye Windows, macOS, Linux, PRE, Azure AD, Office 365, Google
Workspace, SaaS, IaaS, Network y Containers.

Fuente: [Link]
36

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

CYBERKILLCHAIN VS MITRE ATT&CK

37
Fuente-Imagen: [Link]
 UNIDAD 2: Matrices MITRE ATT&CK®

The Seven Phases of the Cyber Kill Chain

Fuente: [Link] 38

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 2: Matrices MITRE ATT&CK®

The MITRE ATT&CK Framework

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 39

Profesor: Mg. Sebastián Vargas - [Link]

 Diamond Model vs. Cyber Kill Chain

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 40

Profesor: Mg. Sebastián Vargas - [Link]

 Modelo de diamante frente a MITRE ATT&CK

Marco ATT&CK agrega valor a la inteligencia de

amenazas cibernéticas a través del estudio de las
tácticas, técnicas y herramientas utilizadas, el
Modelo Diamond agrega valor a la inteligencia
cibernética a través de una comprensión profunda
de la infraestructura y las capacidades tanto de la
víctima como del adversario.

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 41

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 2: Matrices MITRE ATT&CK®

Modelo de diamante frente a MITRE ATT&CK

ATT&CK y Cyber Kill Chain son complementarios.

ATT&CK se encuentra en un nivel de definición más bajo
para describir el comportamiento del adversario que Cyber Kill
Chain. Las tácticas ATT&CK no están ordenadas y es
posible que no todas ocurran en una sola intrusión porque
los objetivos tácticos del adversario cambian a lo largo de
una operación, mientras que Cyber Kill Chain usa fases
ordenadas para describir los objetivos adversarios de alto
nivel”.

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 42

Profesor: Mg. Sebastián Vargas - [Link]

 Cómo comenzar a implementar el marco
ATT&CK en su seguridad

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 43

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

1)Reconocimiento:
Recopilación de
información para planificar
futuras operaciones del
adversario, es decir,
información sobre la
organización objetivo.
[Link]
ced-nmap-for-reconnaissance-0151619/
Fuente: [Link]
44

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

2)Desarrollo de recursos:

Establecer recursos para

apoyar las operaciones, es
decir, establecer una
infraestructura de comando y
control.

45
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

3)Acceso inicial:

Intentar ingresar a su red, es

decir, spear phishing

46
Fuente imagen: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

4)Ejecución:

Intentar ejecutar código

malicioso, es decir, ejecutar una
herramienta de acceso remoto.

Fuente imagen: [Link]

Fuente: [Link]
47

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

5)Persistencia : Tratar de mantener su punto de apoyo, es decir,
cambiar configuraciones.

Fuente imagen: [Link]

Fuente: [Link]
48

Profesor: Mg. Sebastián Vargas - [Link]

 MITRE ATT&CK V13

6)Escalada de privilegios: Tratar de

obtener permisos de nivel superior,
es decir, aprovechar una
vulnerabilidad para elevar el acceso.

49
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

7)Evasión de defensa :Tratar de evitar ser detectado, es decir, usar procesos
confiables para ocultar malware.

Fuente imagen: [Link]

50
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 MITRE ATT&CK V13
8) Acceso con credenciales: Robo de nombres de cuentas y contraseñas, es decir,
registro de teclas.

51
Fuente: [Link]
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 MITRE ATT&CK V13

9) Descubrimiento: Tratando de
descubrir su entorno, es decir,
explorando lo que pueden controlar.

52
Fuente imagen: [Link]
Profesor:
Fuente: Mg. Sebastián Vargas - [Link]
[Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

10)Movimiento lateral: Moverse a

través de su entorno, es decir, usar
credenciales legítimas para pivotar a
través de múltiples sistemas.

Fuente: [Link] 53
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

11)Recopilación: Recopilación de datos de interés para el objetivo del
adversario, es decir, acceso a datos en el almacenamiento en la nube.

54
Fuente: [Link]
Profesor:
Fuente: Mg. Sebastián Vargas - [Link]
[Link]
 MITRE ATT&CK V13
12)Comando y control: Comunicarse con sistemas comprometidos para controlarlos,
es decir, imitar el tráfico web normal para comunicarse con una red víctima.

Fuente de imagen: [Link]

Fuente de imagen: [Link]

Profesor: Mg. Sebastián Vargas - [Link]

Fuente: [Link]
55
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

13) Exfiltración : Robar datos, es decir, transferir datos a una cuenta en la nube

56
Fuente de imagen: [Link]

Profesor:
Fuente: Mg. Sebastián Vargas - [Link]
[Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

MITRE ATT&CK V13

14)Impacto: Manipular, interrumpir o destruir sistemas y datos, es decir, cifrar
datos con ransomware.

57
Fuente de imagen: [Link]
Profesor:
Fuente: Mg. Sebastián Vargas - [Link]
[Link]
 MITRE ATT&CK® Framework
Vista completa
1-Reconocimiento :
recopilación de información 8-Acceso con credenciales : 9-Descubrimiento : tratando
para planificar futuras robo de nombres de cuentas de descubrir su entorno, es
operaciones del adversario, y contraseñas, es decir, decir, explorando lo que
es decir, información sobre registro de teclas pueden controlar
la organización objetivo.

2-Desarrollo de recursos : 10-Movimiento lateral :

7-Evasión de defensa : tratar
establecer recursos para moverse a través de su
de evitar ser detectado, es
apoyar las operaciones, es entorno, es decir, usar
decir, usar procesos
decir, establecer una credenciales legítimas para
confiables para ocultar
infraestructura de comando pivotar a través de múltiples
malware
y control sistemas

6-Escalada de privilegios : 11-Recopilación :

tratar de obtener permisos recopilación de datos de 14-Impacto : manipular,
3-Acceso inicial : intentar
de nivel superior, es decir, interés para el objetivo del interrumpir o destruir
ingresar a su red, es decir,
aprovechar una adversario, es decir, acceso a sistemas y datos, es decir,
spear phishing
vulnerabilidad para elevar el datos en el almacenamiento cifrar datos con ransomware
acceso en la nube

12-Comando y control :
4-Ejecución : intentar comunicarse con sistemas
5-Persistencia : tratar de
ejecutar código malicioso, es comprometidos para 13-Exfiltración : robar datos,
mantener su punto de
decir, ejecutar una controlarlos, es decir, imitar es decir, transferir datos a
apoyo, es decir, cambiar
herramienta de acceso el tráfico web normal para una cuenta en la nube
configuraciones
remoto comunicarse con una red 58
víctima
Profesor:
Fuente: Mg. Sebastián Vargas - [Link]
[Link]
 Vista completa
Las diferencias entre PRE-ATT&CK
y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se combinan para

formar la lista completa de tácticas que en términos
generales se alinean con la cadena de ataque
informático. PRE-ATT&CK se alinea principalmente
con las primeras tres fases de la cadena de ataque:
reconocimiento, armamentización y entrega.
ATT&CK Enterprise se alinea de buena manera con
las cuatro fases finales de la cadena de ataque:
explotación, instalación, comando & control, y
acciones en objetivos.

59
Fuente: [Link]
Profesor: Mg. Sebastián Vargas - [Link]
 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es una técnica?

Las técnicas representan "cómo" un adversario logra un objetivo táctico al
realizar una acción.
EJEMPLO:
ID: T1053 Scheduled Task/Job
6 Subtécnicas
Tactics: Execution, Persistence, Privilege Escalation

Los adversarios pueden abusar de la funcionalidad de programación de

tareas para facilitar la ejecución inicial o recurrente de código malicioso.
Existen utilidades en los principales sistemas operativos para programar
programas o scripts que se ejecuten en una fecha y hora determinadas.

Fuente: [Link]
60

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es una técnica?

Las subtécnicas son una descripción más específica del comportamiento
adversario utilizado para lograr un objetivo. Describen el comportamiento a un
nivel inferior al de una técnica.
EJEMPLO:
ID: T1053.005 Scheduled Task/Job: Scheduled Task
Platforms: Windows
Permissions Required: Administrator

Los adversarios pueden abusar del Programador de Tareas de Windows para realizar la
programación de tareas para la ejecución inicial o recurrente de código malicioso. Hay
varias formas de acceder al Programador de Tareas en Windows. La utilidad schtasks
puede ejecutarse directamente en la línea de comandos, o el Programador de Tareas
puede abrirse a través de la interfaz gráfica de usuario dentro de la sección Herramientas
del Administrador del Panel de Control.

Fuente: [Link]
61

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es un procedimiento?
Los procedimientos son la implementación específica que el adversario utiliza
para las técnicas o subtécnicas.
EJEMPLO: schtasks /create /tn "mysc" /tr C:\Users\Public\[Link] /sc ONLOGON /ru "System"

APT38 has used Task Scheduler to run programs at system startup or on a scheduled
basis for persistence

Dragonfly has used scheduled tasks to automatically log out of created accounts
every 8 hours as well as to execute malicious files

Emotet has maintained persistence through a scheduled task

Fuente: [Link]
62

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es un grupo?
Los grupos son conjuntos de actividades de intrusión relacionadas que se rastrean con un
nombre común en la comunidad de seguridad. Los analistas rastrean grupos de actividades
utilizando varias metodologías analíticas y términos como grupos de amenazas, grupos de
actividades, actores de amenazas, conjuntos de intrusiones y campañas.

ID: G0082 APT38 es un grupo de amenazas patrocinado por el estado de Corea del Norte que se
especializa en operaciones cibernéticas financieras; se ha atribuido a la Oficina General de
Reconocimiento[1]. Activo desde al menos 2014, APT38 ha atacado bancos, instituciones
financieras, casinos, intercambios de criptomonedas, puntos finales del sistema SWIFT y cajeros
EJEMPLO: automáticos en al menos 38 países de todo el mundo.

Associated Groups: NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust Chollima,

Lazarus Group

Fuente: [Link]
63

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es un software?
Software es un término genérico para código personalizado o comercial, utilidades del sistema
operativo, software de código abierto u otras herramientas utilizadas para realizar
comportamientos modelados en ATT&CK. Algunas instancias de software tienen múltiples
nombres asociados con la misma instancia debido a que varias organizaciones rastrean el mismo
conjunto de software con diferentes nombres.

S0239 Bankshot es una herramienta de acceso remoto (RAT) que fue reportada por
EJEMPLO: primera vez por el Departamento de Seguridad Nacional en diciembre de 2017. En
2018, Lazarus Group usó el implante Bankshot en ataques contra el sector financiero
turco.
Tipo : MALWARE

Plataformas : Windows

Fuente: [Link]
64

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®

¿Qué es una mitigación?

Las mitigaciones representan conceptos de seguridad y clases de tecnologías que se pueden usar
para evitar que una técnica o subtécnica se ejecute con éxito.
EJEMPLO: M1036 Configure funciones relacionadas con el uso de la cuenta, como bloqueos
Políticas de uso de intentos de inicio de sesión, tiempos de inicio de sesión específicos,
de la cuenta etc.

M1040 Utilice capacidades para evitar que se produzcan patrones de

Prevención de comportamiento sospechosos en los sistemas de punto final. Esto podría
comportamiento incluir un proceso sospechoso, un archivo, una llamada a la API, etc.
en Endpoint comportamiento.

M1052 Control Configure el Control de cuentas de usuario de Windows para mitigar el

de cuentas del riesgo de que los adversarios obtengan un acceso elevado al proceso.
usuario

Fuente: [Link]
65

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 1: Conociendo el framework MITRE ATT&CK®
Relaciones del modelo de
objetos de ATT&CK
Relaciones del modelo de objeto ATT&CK Cada componente de alto nivel de ATT&CK está
relacionado de alguna manera con otros componentes. Las relaciones descritas en los campos de
descripción de la sección anterior se pueden visualizar en un diagrama:
EJEMPLO:

Fuente: [Link]
66

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 2: Matrices MITRE ATT&CK®

Matriz empresarial
A continuación se encuentran las tácticas y técnicas que representan MITRE
ATT&CK ® Matrix for Enterprise. Esta Matrix contiene información para las
siguientes.

Plataformas:
Windows , macOS , Linux , PRE , Azure AD , Office 365 , Google
Workspace , SaaS , IaaS , Network , Containers .
[Link]

AWS esta incluido en un proyecto realizado:

[Link]

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 67

Profesor: Mg. Sebastián Vargas - [Link]

 UNIDAD 2: Matrices MITRE ATT&CK®

Matriz Mobile
A continuación, se muestran las tácticas y técnicas que representan las dos
matrices MITRE ATT&CK ® para dispositivos móviles. Las Matrices cubren
técnicas que involucran acceso a dispositivos y efectos basados en la red
que pueden ser utilizados por adversarios sin acceso a dispositivos. Matrix
contiene información para las siguientes plataformas: Android , iOS .

Plataformas:
Android , iOS [Link]

Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 68

Profesor: Mg. Sebastián Vargas - [Link]

EJERCICIOS MITRE ATT&CK V13
UNIDAD 2: Matrices MITRE ATT&CK®

#Ejercicio1

Genere un modelamiento de MITRE ATTACK

✔ Analice el caso dado en: Cisco Talos Intelligence

Group - Comprehensive Threat Intelligence:
Cisco Talos shares insights related to recent
cyber attack on Cisco
✔ Seleccione los TTP identificados
✔ Desde MITRE ATTACK Navigator seleccione los
TTP Identificados
70
Ejercicio #2:

Genere un caso de agregación entre APT38 y APT3

✔ Que técnicas tienen en común

✔ Cuales tienen como técnicas propias

71
#Ejercicio3

Genere un modelamiento de MITRE ATT&ACK

✔ Compare como atacan 3 grupos criminales del

tipo bandas internacional de cibercrimen
usando mitre ATT&CK agrupación de layer.

72
 A descansar, hemos
terminado la clase N°1