30 oct. 2020

Evaluación de APT por herramientas EDR

APT3 es un grupo de amenazas con sede en China que los investigadores han atribuido al Ministerio de Seguridad del Estado de China. [1]  [2]. Este grupo es responsable de las campañas conocidas como Operation Clandestine Fox, Operation Clandestine Wolf y Operation Double Tap [1]  [3]. En junio de 2015, el grupo parece haber pasado de apuntar principalmente a víctimas estadounidenses a organizaciones principalmente políticas en Hong Kong [4].

APT3 se basa en la recolección de credenciales, la emisión de comandos en el teclado (frente a las llamadas a la API de Windows) y el uso de programas en los que ya confía el sistema operativo (Living off the Land"). Del mismo modo, no se sabe que utilicen técnicas de scripting elaboradas, aprovechen las vulnerabilidades después del acceso inicial o utilicen capacidades anti-EDR como rootkits o bootkits.

En esta emulación de APT3 realizada por MITRE ATT&CK, se crearon dos escenarios con los flujos operacionales y comerciales de APT3 y Gothic Panda informados públicamente. En ambos escenarios, el acceso se establece en la víctima objetivo. Luego, el escenario pasa al descubrimiento local/remoto, la elevación de privilegios, la obtención de las credenciales disponibles y, finalmente, el movimiento lateral dentro de la red violada antes de recopilar y filtrar datos confidenciales. Ambos escenarios incluyen la ejecución de mecanismos de persistencia previamente establecidos ejecutados después de un lapso de tiempo simulado.

Las herramientas del Equipo Rojo es lo que distingue principalmente a los dos escenarios. Cobalt Strike se utilizó para ejecutar el primer escenario, mientras que PowerShell Empire se utilizó para ejecutar el segundo. El uso de dos conjuntos de herramientas diferentes dio como resultado diversidad y una variación observable en la emulación de los comportamientos de APT3 /Gothic Panda.

Para obtener detalles sobre la emulación APT3, consulte el Flujo operativo

Participantes

Por su parte se evaluaron las siguientes herramientas comerciales.
Fuente: MITRE ATT&CK

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!