Si no has leído el articulo anterior sobre Mitre, haz click aqui
- Reconnaissanc: Consiste en técnicas que involucran a los adversarios recopilando información de forma activa o pasiva que se puede utilizar para respaldar la selección de objetivos. Dicha información puede incluir detalles de la organización, la infraestructura o el personal de la víctima.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Vulnerability Scanning: Los adversarios pueden escanear a las víctimas en busca de vulnerabilidades que puedan usarse durante la selección.
- Cómo detectarlos: Supervise y analice los patrones de tráfico y la inspección de paquetes asociados a los protocolos que no siguen los estándares y flujos de tráfico esperados.
- Cómo mitigarlos: Esta técnica no se puede mitigar fácilmente con controles preventivos ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles empresariales.
- Spearphishing Attachment: Los adversarios pueden enviar mensajes de spearphishing a través de servicios de terceros para obtener información confidencial que se puede usar durante la orientación.
- Cómo detectarlos: Supervise el tráfico de las redes sociales en busca de actividades sospechosas, incluidos mensajes que soliciten información, así como transferencias anormales de archivos o datos.
- Cómo mitigarlos: Capacitación y sensibilización de los usuarios en las prácticas de ingeniería social.
- Resource Development: Consiste en técnicas que implican que los adversarios desarrollen, compren o comprometan recursos que pueden usarse para lograr sus objetivos. Dichos recursos incluyen infraestructura, cuentas o capacidades.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Botnet: Los adversarios pueden comprar, arrendar o alquilar una red de sistemas comprometidos que se pueden usar durante la orientación. Una botnet es una red de sistemas comprometidos que pueden recibir instrucciones para realizar tareas coordinadas.
- Cómo detectarlos: Gran parte de esta actividad tendrá lugar fuera de la visibilidad de la organización objetivo, lo que dificulta la detección de este comportamiento.
- Cómo mitigarlos: Esta técnica no se puede mitigar fácilmente con controles preventivos ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles empresariales.
- Exploits: Los adversarios pueden desarrollar exploits que pueden usarse durante la etapa de targeting. Un exploit se aprovecha de un error o vulnerabilidad para provocar un comportamiento no deseado o imprevisto en el hardware o software de la computadora.
- Cómo detectarlos: Gran parte de esta actividad tendrá lugar fuera de la visibilidad de la organización objetivo, lo que dificulta la detección de este comportamiento.
- Cómo mitigarlos: Esta técnica no se puede mitigar fácilmente con controles preventivos ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles empresariales.
- Inicial access: Consta de técnicas que utilizan varios vectores de entrada para obtener su acceso a la red.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Default Accounts: Los adversarios pueden obtener y abusar de las credenciales de una cuenta predeterminada como medio para obtener acceso inicial, persistencia, escalada de privilegios o evasión de defensa. Las cuentas predeterminadas son aquellas que están integradas en un sistema operativo, como las cuentas de invitado o administrador en los sistemas Windows.
- Cómo detectarlos: Supervisar un intento de un usuario de obtener acceso a una red o recurso informático, a menudo proporcionando credenciales.
- Cómo mitigarlos: Aplique una política de contraseñas. Las aplicaciones y los dispositivos que utilizan usuario y clave predeterminados deben cambiarse inmediatamente después de la instalación y antes de ponerlos en producción.
- External Remote Services: Los adversarios pueden aprovechar los servicios remotos para acceder inicialmente y/o persistir dentro de una red.
- Cómo detectarlos: Recopile registros de autenticación y analice patrones de acceso inusuales, ventanas de actividad y acceso fuera del horario comercial normal. Cuando no se requiera autenticación para acceder a un servicio remoto, supervise las actividades.
- Cómo mitigarlos: Aplicar Doble Factor de Autenticación, Segmentar la red, etc.
- Execution: consiste en técnicas que dan como resultado código controlado por el adversario que se ejecuta en un sistema local o remoto. Las técnicas que ejecutan código malicioso a menudo se combinan con técnicas de todas las demás tácticas para lograr objetivos más amplios, como explorar una red o robar datos.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- PowerShell: Los adversarios pueden abusar de powershell para ejecutar comandos, scripts o ejecutables.
- Cómo detectarlos: Supervise los procesos recién ejecutados que pueden abusar de los comandos y scripts de PowerShell para su ejecución.
- Cómo mitigarlos: Establezca la política de ejecución de PowerShell para ejecutar solo scripts firmados. Puede restringir la política de ejecución de PowerShell a los administradores, etc.
- Persistence: consiste en técnicas que utilizan los adversarios para mantener el acceso a los sistemas a través de reinicios, cambios de credenciales y otras interrupciones que podrían cortar su acceso.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- SSH Authorized Keys: Los adversarios pueden modificar el archivo SSH Authorized_keys para mantener la persistencia en el host de la víctima.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados para modificar los archivos authorized_keys o /etc/ssh/sshd_config.
- Cómo mitigarlos: Deshabilite SSH si no es necesario en un host o restrinja el acceso SSH para usuarios/grupos específicos usando /etc/ssh/sshd_config.
- Local Account: Los adversarios pueden crear una cuenta local para mantener el acceso a los sistemas de las víctimas.
- Cómo detectarlos: Supervise los procesos recién ejecutados asociados con la creación de cuentas, como net.exe
- Cómo mitigarlos: Utilice Doble Factor de Autenticación.
- Privilege Escalation: se refiere a las tácticas que los adversarios utilizan para obtener permisos elevados en un sistema o red.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Access Token Manipulation: Los adversarios pueden modificar los tokens de acceso para operar bajo un contexto de seguridad de usuario o sistema diferente para realizar acciones y eludir los controles de acceso.
- Cómo detectarlos: Supervise los cambios realizados en la configuración de AD que pueden modificar los tokens de acceso para operar bajo un contexto de seguridad de usuario o sistema diferente para realizar acciones y eludir los controles de acceso.
- Cómo mitigarlos: Asegúrese de restringir los usuarios y las cuentas a los privilegios mínimos que se requieran.
- Create or Modify System Process: Los adversarios pueden crear o modificar procesos a nivel del sistema para ejecutar repetidamente cargas útiles maliciosas como parte de la persistencia. Cuando los sistemas operativos se inician, pueden iniciar procesos que realizan funciones del sistema en segundo plano. En Windows y Linux, estos procesos del sistema se denominan servicios
- Cómo detectarlos: Supervise los archivos creados recientemente que pueden crear o modificar procesos a nivel del sistema y que puedan ejecutar rápidamente payload maliciosos como parte de la persistencia.
- Cómo mitigarlos: Asegúrese de que Driver Signature Enforcement esté habilitado para restringir la instalación de controladores no firmados.
- Defense Evasión: se refiere a las tácticas que los adversarios utilizan para evadir la detección y el análisis de seguridad.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Abuse Elevation Control Mechanins: Los adversarios pueden eludir los mecanismos diseñados para controlar los privilegios elevados para obtener permisos de nivel superior. La mayoría de los sistemas modernos contienen mecanismos de control de elevación nativos destinados a limitar los privilegios que un usuario puede realizar en una máquina.
- Cómo detectarlos: Supervise los procesos recién ejecutados que pueden eludir los mecanismos diseñados para controlar los privilegios elevados para obtener permisos de nivel superior.
- Cómo mitigarlos: La configuración del sistema puede evitar que se ejecuten aplicaciones que no se han descargado de repositorios legítimos, lo que puede ayudar a mitigar algunos de estos problemas. No permitir que se ejecuten aplicaciones sin firmar también puede mitigar algunos riesgos.
- Rootkit: Los adversarios pueden usar rootkits para ocultar la presencia de programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema. Los rootkits son programas que ocultan la existencia de malware interceptando/enganchando y modificando las llamadas API del sistema operativo que proporcionan información del sistema.
- Cómo detectarlos: Supervise los cambios y la existencia de archivos DLL, controladores, dispositivos, servicios y MBR no reconocidos.
- Cómo mitigarlos: Este tipo de técnica de ataque no se puede mitigar fácilmente con controles preventivos ya que se basa en el abuso de las funciones del sistema.
- Lateral Movement: se refiere a las tácticas que los adversarios utilizan para moverse lateralmente dentro de una red una vez que han obtenido acceso inicial.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Pass-the-hash: utilizar credenciales robadas para acceder a otros sistemas en la red.
- Cómo detectarlos: Supervise las solicitudes de nuevos tickets o tickets de servicios a un controlador de dominio.
- Cómo mitigarlos: Limite la superposición de credenciales entre sistemas para evitar el daño y reducir la capacidad del adversario para realizar movimientos laterales entre sistemas.
- Remote service session hijacking: tomar el control de una sesión de usuario legítima para acceder a otros sistemas en la red.
- Cómo detectarlos: Supervise los datos de la red en busca de flujos de datos poco comunes.
- Cómo mitigarlos: No permita el acceso remoto a los servicios como una cuenta privilegiada a menos que sea necesario.
- Credential Access: se refiere a las tácticas que los adversarios utilizan para moverse lateralmente dentro de una red una vez que han obtenido acceso inicial.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- OS Credential Dumping: Los adversarios pueden intentar volcar las credenciales para obtener el inicio de sesión de la cuenta, normalmente en forma de hash o contraseña de texto claro, del sistema operativo y el software. Luego, las credenciales se pueden usar para realizar movimientos laterales y acceder a información restringida.
- Cómo detectarlos: Supervise las llamadas a la API que pueden intentar volcar las credenciales para obtener el inicio de sesión de la cuenta y el material de la credencial, normalmente en forma de hash o contraseña de texto claro, del sistema operativo y el software.
- Cómo mitigarlos: Considere deshabilitar o restringir NTLM. Considere deshabilitar la autenticación Wdigest. Asegúrese de que las cuentas de administrador local tengan contraseñas únicas y complejas en todos los sistemas de la red.
- Brute Force: Los adversarios pueden usar técnicas de fuerza bruta para obtener acceso a las cuentas cuando se desconocen las contraseñas o cuando se obtienen hashes de contraseñas. Sin el conocimiento de la contraseña de una cuenta o conjunto de cuentas, un adversario puede adivinar sistemáticamente la contraseña utilizando un mecanismo repetitivo o iterativo.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados que puedan usar técnicas de fuerza bruta para obtener acceso a las cuentas. Supervise los registros de autenticación para detectar fallas de inicio de sesión en el sistema.
- Cómo mitigarlos: Se recomienda seguir las buenas prácticas de NIST en cuánto a las políticas de passwords. Usar Doble Factor de Autenticación.
- Discovery: consiste en técnicas que un adversario puede usar para obtener conocimiento sobre el sistema y la red interna.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- File and Directory Discovery: Los adversarios pueden enumerar archivos y directorios o pueden buscar en ubicaciones específicas de un host o recurso compartido de red para obtener cierta información dentro de un sistema de archivos.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados que puedan enumerar archivos y directorios o pueden buscar en ubicaciones específicas de un host o recurso compartido de red cierta información dentro de un sistema de archivos. Para los dispositivos de red, supervise los comandos ejecutados en los registros AAA, especialmente aquellos ejecutados por usuarios inesperados o no autorizados.
- Cómo mitigarlos: Este tipo de técnica de ataque no se puede mitigar fácilmente con controles preventivos ya que se basa en el abuso de las funciones del sistema.
- Network Share Discovery: Los adversarios pueden buscar carpetas y unidades compartidas en sistemas remotos como un medio para identificar fuentes de información para recopilar como precursor de la recopilación e identificar sistemas potenciales de interés para el movimiento lateral.
- Cómo detectarlos: Supervise las llamadas API que pueden buscar carpetas y unidades compartidas en sistemas remotos como un medio para identificar fuentes de información para recopilar como precursor de la recopilación e identificar sistemas potenciales de interés para el movimiento lateral.
- Cómo mitigarlos: Habilite la configuración de seguridad «No permitir la enumeración anónima de cuentas y recursos compartidos SAM» de la directiva de grupo de Windows para limitar los usuarios que pueden enumerar recursos compartidos de red.
- Collection: consiste en técnicas que los adversarios pueden usar para recopilar información que son relevantes para llevar a cabo los objetivos del adversario.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Adversary-in-the-Middle: ARP Cache Poisoning: Los adversarios pueden envenenar las cachés del Protocolo de resolución de direcciones (ARP) para posicionarse entre la comunicación de dos o más dispositivos en red.
- Cómo detectarlos: Supervise el tráfico de red en busca de tráfico ARP inusual, las respuestas ARP gratuitas pueden ser sospechosas. Considere recopilar cambios en los cachés de ARP en los puntos finales para detectar signos de envenenamiento de ARP
- Cómo mitigarlos: Considere deshabilitar la actualización de la memoria caché ARP en las respuestas ARP gratuitas.
- Data from Information Repositories: Sharepoint: Los adversarios pueden aprovechar el repositorio de SharePoint como fuente para extraer información valiosa. SharePoint a menudo contiene información útil para que un adversario aprenda sobre la estructura y la funcionalidad de la red y los sistemas internos.
- Cómo detectarlos: Supervise el comportamiento de inicio de sesión recién creado en SharePoint, que se puede configurar para informar el acceso a ciertas páginas y documentos
- Cómo mitigarlos: Considere la revisión periódica de cuentas y privilegios para repositorios de SharePoint críticos y confidenciales.
- Command and Control: se refiere a las tácticas que los adversarios utilizan para establecer y mantener la comunicación con sistemas comprometidos.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Protocol Tunneling: Los adversarios pueden canalizar las comunicaciones de la red hacia y desde un sistema víctima dentro de un protocolo separado para evitar la detección/filtrado de la red y/o permitir el acceso a sistemas que de otro modo serían inalcanzables.
- Cómo detectarlos: Supervise las conexiones de red recién construidas que envían o reciben hosts que no son de confianza.
- Cómo mitigarlos: Considere filtrar el tráfico de red a dominios y recursos no confiables o conocidos como malos.
- Remote Access Software: Un adversario puede usar soporte de escritorio legítimo y software de acceso remoto, como Team Viewer, AnyDesk, Go2Assist, LogMein, etc., para establecer un canal de comando y control interactivo para atacar sistemas dentro de las redes.
- Cómo detectarlos: Supervise las conexiones de red recién construidas que envían o reciben hosts que no son de confianza.
- Cómo mitigarlos: Utilice el control de aplicaciones para mitigar la instalación y el uso de software no aprobado que se puede utilizar para el acceso remoto.
- Exfiltration: El adversario está tratando de robar información.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Exfiltration over Bluetooth: Los adversarios pueden intentar exfiltrar datos a través de Bluetooth en lugar del canal de comando y control. Si la red de mando y control es una conexión a Internet por cable, un adversario puede optar por filtrar datos utilizando un canal de comunicación Bluetooth.
- Cómo detectarlos: Supervise los datos de la red en busca de flujos de datos poco comunes, como el uso de protocolos anormales/inesperados.
- Cómo mitigarlos: Deshabilite Bluetooth en la configuración de seguridad de la computadora local o mediante una política de grupo si no es necesario dentro de un entorno.
- Exfiltration Over C2 Channel: Los adversarios pueden robar datos exfiltrándolos a través de un canal de comando y control existente. Los datos robados se codifican en el canal de comunicaciones normal usando el mismo protocolo que las comunicaciones de comando y control.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados que pueden robar datos extrayéndolos a través de un canal de comando y control existente.
- Cómo mitigarlos: Un DLP (Data Loss Prevention) puede detectar y bloquear datos confidenciales que se envían a través de protocolos no cifrados.
- Impact: El impacto consiste en técnicas que utilizan los adversarios para interrumpir la disponibilidad o comprometer la integridad mediante la manipulación de los procesos operativos y comerciales.
Algunas de sus técnicas/sub-técnicas y formas de mitigarlo/detectarlo son:
- Data Encrypt for Impact: Los adversarios pueden cifrar los datos en los sistemas de destino o en una gran cantidad de sistemas en una red para interrumpir la disponibilidad de los recursos del sistema y de la red.
- Cómo detectarlos: Supervise los recursos compartidos de red inesperados a los que se accede en los sistemas de destino o en una gran cantidad de sistemas. Supervise los archivos recién creados en los directorios de usuarios.
- Cómo mitigarlos: Considere implementar planes de recuperación ante desastres de TI que contengan procedimientos para realizar y probar regularmente copias de seguridad de datos que se puedan usar para restaurar datos de la organización.
- Data Destruction: Los adversarios pueden destruir datos y archivos en sistemas específicos o en grandes cantidades en una red para interrumpir la disponibilidad de los sistemas, servicios y recursos de la red.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados en busca de archivos binarios que podrían estar involucrados en la actividad de destrucción de datos, como Sdelete.
Supervise la eliminación inesperada de un archivo (por ejemplo, Sysmon EID 23) - Cómo mitigarlos: Considere implementar planes de recuperación ante desastres de TI que contengan procedimientos para realizar copias de seguridad de datos periódicas que se puedan usar para restaurar datos de la organización.
- Cómo detectarlos: Supervise los comandos y argumentos ejecutados en busca de archivos binarios que podrían estar involucrados en la actividad de destrucción de datos, como Sdelete.