Matrices y herramientas de MITRE ATT&CK

¿Qué es MITRE ATT&CK™?

MITRE presentó ATT&CK (Tácticas, Técnicas y Conocimiento Común de Adversarios) en 2013 como una manera de describir y categorizar los comportamiento adversos basados en las observaciones de todo el mundo. ATT&CK es una lista estructurada de comportamientos conocidos de los atacantes que se recopilaron en tácticas y técnicas y se expresaron en un par de matrices y también mediante STIX y TAXII. Ya que esta lista es una representación integral de los comportamientos que los atacantes usan cuando ponen en peligro las redes, es útil para una variedad de medidas, representaciones y otros mecanismos ofensivos y defensivos.

Explicamos qué es MITRE ATT&CK en este artículo y este otro

Cómo entender las matrices de ATT&CK

MITRE separó a ATT&CK en diferentes matrices: para empresas, para móviles y PRE-ATT&CK. Cada una de estas matrices contiene diferentes tácticas y técnicas asociadas con el tema de la matriz.

La matriz para empresas comprende técnicas y tácticas que aplican a sistemas Windows, Linux o MacOS. La matriz para móviles contiene tácticas y técnicas que se aplican a dispositivos móviles. La matriz PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que los atacantes hacen antes de tratar de explotar una red o sistema objetivo en particular.

Los aspectos prácticos de ATT&CK: tácticas y técnicas

Cuando se ve a ATT&CK en la forma de una matriz, los títulos de las columnas en la parte superior son las tácticas, que son esencialmente las categorías de las técnicas. Las tácticas son el qué que los atacantes tratan de lograr mientras que las técnicas individuales son el cómo logran esos pasos u objetivos.

Matriz ATT&CK para empresas de https://attack.mitre.org/matrices/enterprise/

Por ejemplo, una de las tácticas es el movimiento lateral. Para que un atacante logre con éxito un movimiento lateral en una red, querrá usar una o más de las técnicas enumeradas en la columna de movimiento lateral en la matriz ATT&CK.

Una técnica es un comportamiento específico para alcanzar un objetivo, y por lo general es un solo paso en una cadena de actividades usadas para completar la misión general del atacante. ATT&CK proporciona muchos detalles acerca de cada técnica que incluyen: una descripción, ejemplos, referencias y sugerencias para la mitigación y la detección.

Un Ejemplo

Como ejemplo de cómo funcionan las tácticas y técnicas en ATT&CK, un atacante puede desear obtener acceso a una red e instalar un software de minería de criptomoneda en tantos sistemas como sea posible dentro de la red. Para lograr este objetivo general, el atacante necesita realizar con éxito varios pasos intermedios. Primero, debe obtener acceso a la red, posiblemente a través de un vínculo de spearphishing (fraude electrónico). Luego, puede necesitar escalar privilegios mediante una inyección de procesos. Ahora el atacante puede obtener otras credenciales del sistema a través de una descarga de datos de credenciales y luego establecer persistencia al configurar el script de minería para que se ejecute como una tarea programada. Al lograr esto, el atacante quizás pueda moverse lateralmente a través de la red con la técnica denominada "Pass the Hash" y esparcir su software de minería de moneda en tantos sistemas como sea posible.

En este ejemplo, el atacante tuvo que ejecutar con éxito los cinco pasos, y cada uno representa una táctica o etapa específica de su ataque general: acceso inicial, escalada de privilegios, acceso a credenciales, persistencia y movimiento lateral. El atacante usó las técnicas específicas dentro de estas tácticas para lograr cada etapa de su ataque (vínculo de spearphishing, inyección de procesos, descarga de datos de credenciales, etc.).

Las diferencias entre PRE-ATT&CK y ATT&CK para empresas

PRE-ATT&CK y ATT&CK para empresas se combinan para formar la lista completa de tácticas que coinciden, a grandes rasgos, con la cadena de muerte informática. PRE-ATT&CK se alinea mayormente con las primeras tres fases de la cadena de muerte: el reconocimiento, el armado y la entrega. ATT&CK para empresas se alinea bien con las últimas cuatro fases de la cadena de muerte: explotación, instalación, comando y control, y acciones en objetivos.

Tácticas PRE-ATT&CK	Tácticas de ATT&CK para empresas
Definición de prioridades. Selección de objetivos. Recopilación de información. Identificación de debilidades. Operaciones de seguridad adversas. Establecer y mantener la infraestructura. Desarrollo del personaje. Creación de funciones. Prueba de funciones. Implementación de funciones.	Acceso inicial. Ejecución. Persistencia. Escalada de privilegios. Evasión de defensas. Acceso a credenciales. Detección. Movimiento lateral. Recopilación. Exfiltración. Comando y control.

¿Qué se puede hacer con ATT&CK?

ATT&CK es valioso en varios ámbitos cotidianos. Cualquier actividad defensiva que hace referencia a atacantes y a sus comportamientos puede beneficiarse de aplicar una taxonomía de ATT&CK. Más allá de ofrecer un léxico para los defensores informáticos, ATT&CK también proporciona una base para las pruebas de penetración y la formación de equipos rojos (red teaming). Esto le da a los defensores y a los equipos rojos (red teamers) un lenguaje común cuando se hace referencia a comportamientos adversos.

Estos son algunos ejemplos en donde aplicar la taxonomía de ATT&CK puede ser útil:

• Mapeo de controles defensivos
  • Los controles defensivos pueden entenderse fácilmente si se hace referencia a las tácticas y técnicas de ATT&CK a las que se aplican.
• Búsqueda de amenazas
  • El mapeo de las defensas en relación con ATT&CK brinda una guía de las lagunas defensivas que le proporcionan a los buscadores de amenazas los lugares perfectos para encontrar la actividad del atacante que pudo haber pasado desapercibida.
• Detecciones e investigaciones
  • El centro de operaciones de seguridad (SOC) y el equipo de respuesta a incidentes pueden hacer referencia a las técnicas y tácticas de ATT&CK que se han detectado o revelado. Esto ayuda a entender en dónde están las fortalezas y debilidades, valida las mitigaciones y los controles de detección y puede revelar las malas configuraciones y otros problemas operacionales.
• Actores de referencia
  • Los actores y los grupos pueden asociarse a comportamientos definidos y específicos.

• Integraciones de herramientas
  • Las diferentes herramientas y servicios pueden estandarizar las tácticas y técnicas de ATT&CK, lo que brinda una coherencia a la defensa que por lo general no suele existir.
• ​Intercambio
  • Cuando se intercambia información acerca de un ataque, un actor o un grupo, o sobre controles defensivos, los defensores pueden garantizar un entendimiento común al usar las técnicas y tácticas de ATT&CK.
• Actividades de pruebas de penetración y de equipos rojos
  • La planificación, la ejecución y la información de los equipos rojos, los equipos rojo-azules y las actividades de prueba de penetración pueden usar ATT&CK para hablar un lenguaje común con los defensores y comunicarse con los destinatarios, como también entre ellos mismos.

Use ATT&CK para mapear las defensas y entender las lagunas

Muchas organizaciones mantienen listas de controles de seguridad de prevención y detección en su ambiente, como un catálogo de controles. Examinar estos controles desde el punto de vista de ATT&CK puede ayudar a perfeccionar los controles, exponer las ineficiencias y mostrar las lagunas en la protección. Es importante tener en cuenta que mientras ATT&CK se puede usar de esta manera, sirve principalmente para describir los comportamientos de los atacantes y no los mecanismos defensivos.

El proceso de alineación de los controles con las técnicas de ATT&CK es bastante sencillo. Para cada control, considere qué técnicas (y específicamente qué maneras de emplear esas técnicas) puede detectar o prevenir ese control. Las referencias a las técnicas de ATT&CK (o las tácticas para los casos en donde no se puede concretar una técnica específica) ahora permiten buscar, dinamizar y reportar los controles al tener en cuenta cómo luce el ambiente para los atacantes. Por ejemplo, una vez que se asocian todos los controles a las técnicas de ATT&CK, debería ser sencillo ver cuáles técnicas no tienen ningún control de detección y prevención establecido. Usar el navegador de MITRE ATT&CK es una gran manera de visualizar este esfuerzo.

Al considerar todas las tácticas (las columnas) en la matriz ATT&CK para empresas y seleccionar las técnicas que no tienen controles establecidos, se pueden deducir los escenarios de ataque posibles en donde la organización no tendría visibilidad ni prevención para evitarlos. Considere qué tan probables podrían ser los escenarios resultantes y clasifíquelos según su viabilidad. Los escenarios más viables deberían ser fuentes de búsqueda de amenazas para ver si los atacantes ya los han explotado. Estos escenarios también deberían ser las áreas en donde se realizan las inversiones para establecer algunos controles.

En vez de suponer que los controles realmente serían efectivos ante ciertas técnicas específicas de los atacantes, se deberían simular estas técnicas en contra de los controles siempre que sea posible. Los controles pueden no ser tan efectivos como pensamos y las pruebas son realmente la única manera de corroborarlo. También, pueden existir errores de configuración o problemas del sistema que evitan que los controles funcionen eficazmente. Estos problemas pueden no conocerse cuando no se prueban los controles con regularidad.

Las pruebas también son una buena manera de validar las inversiones en herramientas al mostrar cuáles herramientas son las que realmente proporcionan la mayor cantidad de detecciones o prevenciones, cuáles en verdad no sirven de mucho o cuáles en definitiva son redundantes en comparación con otras herramientas en el ambiente.

Aplicación de ATT&CK con la inteligencia sobre amenazas informáticas

ATT&CK puede ser útil para la inteligencia sobre amenazas informáticas, ya que permite describir los comportamientos adversos de forma estándar. Se puede realizar un seguimiento de los actores al asociarlos con las técnicas y tácticas de ATT&CK por las que son conocidos. Esto brinda una guía a los defensores para aplicar en contra de sus controles operacionales, a fin de ver dónde tienen debilidades ante algunos actores y dónde tienen fortalezas. Crear entradas del navegador de MITRE ATT&CK para actores específicos es una buena manera de visualizar las fortalezas y las debilidades del ambiente en contra de esos actores o grupos. ATT&CK también está disponible como una fuente STIX y TAXII 2.0, lo que facilita su ingreso en herramientas compatibles con esas tecnologías.

ATT&CK proporciona detalles sobre casi diecisiete actores y grupos, incluidas sus técnicas y herramientas conocidas según los informes disponibles de código abierto.

En sí, el proceso de creación de inteligencia puede beneficiarse de usar la terminología en común de ATT&CK. Como ya se mencionó, esto puede aplicarse a los actores y grupos, pero también a comportamientos observados, como se vio en las actividades del centro de operaciones de seguridad o en la respuesta a incidentes. Mediante ATT&CK, también se puede hacer referencia al malware en términos de su comportamiento. Cualquier herramienta de inteligencia contra amenazas que sea compatible con ATT&CK puede ayudar simplificar este proceso. La inteligencia comercial y de código abierto que aplican ATT&CK a cualquiera de los comportamientos mencionados también son útiles para mantener una coherencia. Distribuir la inteligencia a las funciones de operación o gestión es, en definitiva, mucho más sencillo cuando todas las partes usan el mismo lenguaje con respecto a los comportamientos adversos. Si la función de operaciones conoce exactamente qué es la autenticación forzada y la ve mencionada en un informe de inteligencia, puede conocer exactamente qué acciones deberían tomarse o qué controles ya están establecidos con respecto a esa inteligencia. De esta manera, la estandarización de las referencias de ATT&CK en los productos de inteligencia puede mejorar drásticamente la eficiencia y asegurar un entendimiento común.

Simulación adversa y ATT&CK

Las pruebas de las técnicas en ATT&CK contra el ambiente son la mejor manera de:

• Probar los controles y su eficacia.
• Asegurar una cobertura contra las diferentes técnicas.
• Entender las lagunas en la visibilidad o protección.
• Validar la configuración de las herramientas y los sistemas.
• Demostrar en dónde los diferentes actores tendrían éxito o en dónde se los atraparía en el ambiente.
• Evitar las conjeturas y suposiciones con controles al saber exactamente qué se detectó o se mitigó y lo qué no.

El proceso de llevar a cabo una simulación adversa no es inusual para muchos ambientes. Cuando se prueban los ambientes mediante pruebas de penetración, las organizaciones participan en una prueba de simulación adversa. Lo mismo se aplica para aquellas organizaciones que tienen equipos rojos internos o que implementan equipos rojo-azules. Aplicar las tareas de estas actividades a las técnicas de ATT&CK mejora la comprensión de los resultados por parte de los defensores. En vez de reportar las fallas para detectar alguna actividad, la información de las pruebas de penetración y de los equipos rojos puede brindar un mejor contexto para aplicar sus actividades directamente a los controles operacionales, las herramientas defensivas y los procedimientos.

Esto permite que los defensores tomen medidas adecuadas más fácilmente a raíz de los informes.Las simulaciones también pueden diseñarse para reflejar las herramientas y técnicas que se sabe que ciertos actores usan. Esto puede ser especialmente útil cuando se trata de evaluar el éxito que pueden tener ciertos adversarios contra los controles presentes en el ambiente.

Además, existen herramientas disponibles que proporcionan mecanismos para probar algunas técnicas directamente dentro del ambiente y ya están alineadas con ATT&CK. Las herramientas comerciales como Verodin, SafeBreach y AttackIQ proporcionan la habilidad de llevar a cabo una simulación adversa alineada con ATT&CK. Existen algunas opciones de código abierto para realizar simulaciones adversas que también están alineadas con ATT&CK (listadas a continuación). Como siempre, tenga cuidado al llevar cabo simulaciones adversas en redes de producción en donde no se conoce por completo el alcance de las posibles ramificaciones.

• MITRE Caldera
• Uber Metta
• Red Team Automation (RTA) de Endgame
• Atomic Red Team de Red Canary

El proceso para usar estos controles es sencillo:

1. Simular: elija criterios de simulación basados en las pruebas deseadas, y luego ejecute la herramienta o lleve a cabo la técnica manualmente.
2. Buscar: examine los registros y el rendimiento de la herramienta en busca de evidencias de la actividad simulada, y registre las expectativas que no cumplieron los controles de detección y prevención.
3. Detectar: agregue nuevas detecciones o mitigaciones basadas en los descubrimientos, y también advierta si existen lagunas en la visibilidad y tome nota de todas las herramientas usadas para la detección o mitigación.

Las mejores prácticas para usar ATT&CK

A continuación, se encuentra una lista de las mejores prácticas para ATT&CK.

• Use tácticas en donde las técnicas son ambiguas o difíciles de concretar.
• Siga una investigación externa acerca de las detecciones y mitigaciones.
  
  • Fichas de ayuda del registro de Windows, de Malware Archeology.
  • Detección de movimientos laterales, de JP-CERT.
  • Comandos de Windows abusados por atacantes, de JP-CERT.
• Intercambie métodos descubiertos de detección y mitigación.
• Intercambie tácticas y técnicas de los comportamientos de observados de los atacantes.
• Aproveche la integración de ATT&CK en herramientas existentes.
• Aliente a proveedores y prestadores de servicios a que agreguen soporte para ATT&CK en donde sea útil.

Los desafíos de implementar ATT&CK

El uso de ATT&CK conlleva ciertos desafíos, por lo que conviene tenerlos en cuenta a la hora de implementar ATT&CK.

• No todas las técnicas son siempre maliciosas
  
  • Por ejemplo: los datos de una unidad compartida de red (T1039).
  • Clave para la detección: ¿Cómo se recurre a la técnica?
• No todas las técnicas son fáciles de detectar
  • Por ejemplo: el vínculo de spearphishing (T1192).
  • Clave para la detección: otros eventos relacionados con la recepción de correos electrónicos.
• Algunas técnicas tienen muchos métodos de ejecución posibles
  • Por ejemplo: la escarga de datos de credenciales (T1003).
  • Clave para la detección: construya métodos para provocar la técnica y etiquételos a todos como una descarga de datos de credenciales.
  • MITRE lanzará subtécnicas para ayudar a abordar esta problemática.
• Algunas técnicas se enumeran bajo muchas tácticas
  • Por ejemplo: la apropiación del orden de búsqueda de DLL (T1038).
  • Se presentan como tácticas de persistencia, escaladas de privilegios y evasiones de defensa.
  • Algunas técnicas, como esta, se pueden aplicar a muchos casos de uso y son útiles en varias etapas de ataque.

Herramientas y recursos de ATT&CK

A continuación, se muestra una lista de herramientas y otros recursos que usan ATT&CK. Algunas de estos ya se han mencionado, pero se proporcionan de nuevo para una referencia más fácil.

• El mejor lugar para comenzar con ATT&CK es siempre la página web de ATT&CK de MITRE.
• MITRE mantiene un blog acerca de ATT&CK en Medium.
• Existe una convención de seguridad dedicada a ATT&CK.
• Ante cualquier pregunta acerca de ATT&CK, envíe correos electrónicos a: [email protected].

Navegador de ATT&CK

El navegador de ATT&CK es una excelente herramienta para mapear los controles contra las técnicas de ATT&CK. Se pueden agregar capas para mostrar específicamente los controles de detección o incluso los comportamientos observados. El navegador se puede usar en línea para simulaciones rápidas o escenarios, o se puede descargar y configurar internamente como una solución más permanente.

Ficha de ayuda del registro de ATT&CK de Windows de Malware Archeology

El generoso equipo de Malware Archeology proporciona varias hojas de ayuda de registro de Windows para ayudar a los defensores a encontrar actividades maliciosas en los registros. Tienen una dedicada a encontrar técnicas de MITRE ATT&CK.

Repositorio de análisis informático (CAR) de MITRE

MITRE tiene un recurso denominado Cyber Analytics Repository (CAR), que es un sitio de referencia para muchos análisis útiles para detectar comportamientos en MITRE ATT&CK.

Uber Metta

Metta es un proyecto de código abierto de Uber que realiza simulaciones adversas y se alinea con MITRE ATT&CK.

Tabla de Tableau de ATT&CK, por Cyb3rPanda

Cyb3rPanda cargó ATT&CK en una instancia de Tableau pública para dinamizar y filtrar.

MITRE Caldera

Caldera es una herramienta de simulación adversa de código abierto automatizada que se basa en MITRE ATT&CK.

Visualizador de la guía de estrategias de Unit 42, de Palo Alto

El grupo Unit 42 de Palo Alto lanzó un visualizador de guía de estrategias, alineado con MITRE ATT&CK, que muestra los comportamientos adversos conocidos de varios grupos de atacantes.

Atomic Red Team de Red Canary

Atomic Red Team es una herramienta de código abierto de Red Canary para simular comportamientos adversos mapeados a MITRE ATT&CK. Más información disponible en: https://atomicredteam.io/

Red Team Automation de Endgame

Red Team Automation es una herramienta de código abierto de Endgame para probar comportamientos maliciosos modelados en MITRE ATT&CK.

Fuente: Anomali

Suscríbete a nuestro Boletín