¿Qué es MITRE ATT&CK4 y cómo usarlo para el auto-mejoramiento?

[post-views]
abril 11, 2022 · 11 min de lectura
¿Qué es MITRE ATT&CK4 y cómo usarlo para el auto-mejoramiento?

INTRODUCCIÓN

Muchos equipos azules están utilizando MITRE ATT&CK® para avanzar en la madurez de su detección y respuesta. El arsenal de herramientas EDR, registros de eventos y herramientas de triaje del equipo azul están revelando la historia de lo que ocurre en los puntos finales. Sin embargo, las anomalías son normales y estas alertas y fuentes de datos necesitan ser triadas para avanzar con acciones de respuesta o filtrado. Este proyecto MITRE proporciona a los defensores en desarrollo una base de conocimiento y recursos que se pueden utilizar como herramientas para comprender los ataques y, por lo tanto, las reglas y métodos para la detección. Usar ATT&CK para esta reflexión personal te ayudará a avanzar en el mundo de la ciberseguridad.

REQUISITOS

Un laboratorio que ejecute al menos un host con Windows 10 o Windows 11 es crítico para el avance personal de cualquier defensor. Avanzar sin práctica en un entorno de laboratorio aislado llevará solo a una comprensión superficial de las técnicas de ATT&CK. No se recomienda usar una computadora no aislada para probar técnicas de adversarios. Recomiendo encarecidamente, como mínimo, aumentar los ajustes de registro (PowerShell, línea de comandos de procesos, etc.), instalar y configurar Sysmon, y tener ProcMon and Wireshark ejecutándose en todo momento.

¿CÓMO PUEDE AYUDAR EL MARCO DE TRABAJO MITRE ATT&CK? AYUDAR?

Para empezar, analicemos qué significa ATT&CK . A menudo referido por la comunidad como un «marco de trabajo», los creadores de ATT&CK lo definen como una «base de conocimiento«. ATT&CK fue creado por MITRE para documentar técnicas de atacantes que se utilizan en las emulaciones de adversarios. El «CK» en ATT&CK significa «Conocimiento Común». Las tácticas y técnicas documentadas en ATT&CK reflejan comportamientos reales de adversarios. Por lo tanto, cada defensor debe estar consciente de cada táctica y técnica.

Tutorial de MITRE ATT&CK: Antes de Comenzar

Debes identificar un lugar para tomar notas sobre cada técnica. Una forma sencilla de llevar notas es a través de la herramienta MITRE ATT&CK Navigator, que tiene la capacidad de descargar la matriz a un archivo Excel. Además, la plataforma Detección como Código de SOC Prime proporciona una selección de contenido de detección centrada en amenazas alineada con el último marco ATT&CK con la capacidad de profundizar en tácticas, técnicas y sub-técnicas relacionadas.

Navegador de Ataques de MITRE:

https://mitre-attack.github.io/attack-navigator/enterprise/

Recursos de ATT&CK alimentados por la plataforma de SOC Prime:

https://tdm.socprime.com/mitre/

Aquí hay algunas notas sugeridas para tomar:

  • Escribe tu propia descripción de la técnica.
  • Encuentra y guarda una copia del código PoC (Prueba de Concepto).
  • Guarda una copia de las firmas escritas o ideas de detección.
  • Guarda una copia (o enlace) a herramientas gratuitas y de código abierto útiles para investigar la técnica post-compromiso.
  • Documenta los recursos más útiles que has identificado para cada técnica.
  • Sigue a los expertos que encontraste más influyentes para tu comprensión.

CÓMO UTILIZAR ATT&CK: GUÍA GENERAL

1. Identifica las Técnicas de ATT&CK

El método más rápido y sencillo de usar fuentes de datos de ATT&CK para el progreso personal es comenzar a profundizar en cada técnica listada en la matriz de ATT&CK de izquierda a derecha. Este enfoque de fuerza bruta te llevará a través de cada técnica; sin embargo, puede que no sea el más eficiente para asegurarte de madurar rápidamente en las áreas más importantes.

Aquí tienes algunas realidades sobre las técnicas de ATT&CK que deberían influir en cómo abordar su uso para guiar el aprendizaje:

  • Algunas técnicas son más difíciles de comprender y ejecutar que otras; no querrás abrumarte con técnicas complicadas.
  • Algunas técnicas son muy específicas y otras son “amplias”; me explayo más sobre esto más adelante.
  • Algunas técnicas son más comúnmente utilizadas por adversarios que otras. Por ejemplo, las técnicas que abusan de .NET se han vuelto más comunes a medida que los equipos azules tienen una mejor postura contra los ataques de PowerShell.

Afortunadamente, Travis Smith de Tripwire lanzó una marco ATT&CK personalizada basada en su experiencia docente para identificar métodos más sencillos de otros más difíciles. No tengas miedo de saltar y volver a una técnica si encuentras que ciertas técnicas son más difíciles de comprender.

Para obtener más detalles, consulta los siguientes recursos:

Nota: Ten en cuenta que a medida que ATT&CK evoluciona, estas matrices personalizadas pueden quedar obsoletas.

2. Lee la Página de Técnicas de MITRE ATT&CK Cada técnica listada en ATT&CK generalmente es más detallada que el resumen de ~1,000 palabras que MITRE proporciona. Por ejemplo, “compromiso por la descarga” listado como la primera técnica en la esquina superior izquierda de la matriz es una técnica muy amplia. Existen muchos métodos que encajan en esta técnica, como dirigir extensiones del navegador, errores del navegador o errores del sistema operativo. La detección y comprensión de estos métodos pueden diferir enormemente. Por ejemplo, detectar un archivo flash malicioso es diferente de detectar JavaScript malicioso. Un exploit de archivo flash probablemente esté contenido en el formato SWF e implique analizar ActionScript, mientras que un exploit basado en JavaScript es un archivo de texto sin formato y probablemente apunte al motor JavaScript del navegador.

Each technique listed in ATT&CK is generally more involved than the ~1,000-word summary MITRE provides. For instance, “drive by compromise” listed as the first technique in the top-left of the matrix is a very broad technique. Many methods that fit this technique exist, such as targeting browser extensions, browser bugs, or operating system bugs. The detection and understanding of these methods can differ extremely. For instance, detecting a malicious flash file is different from detecting malicious JavaScript. A flash file exploit is likely contained in the SWF format and probably involves analyzing ActionScript, while a JavaScript-based exploit is a plain text file and likely targets the browser’s JavaScript engine.

El material que MITRE proporciona sobre cada página de ATT&CK es una buena introducción a la técnica. Generalmente te proporcionará el lenguaje y suficiente información para guiarte en la investigación adicional. Para muchas técnicas, leer la descripción de ATT&CK probablemente te dejará con más preguntas que respuestas. Esto es algo bueno.

Cosas a considerar

A medida que lees el ATT&CK Cada técnica listada en ATT&CK generalmente es más detallada que el resumen de ~1,000 palabras que MITRE proporciona. Por ejemplo, “compromiso por la descarga” listado como la primera técnica en la esquina superior izquierda de la matriz es una técnica muy amplia. Existen muchos métodos que encajan en esta técnica, como dirigir extensiones del navegador, errores del navegador o errores del sistema operativo. La detección y comprensión de estos métodos pueden diferir enormemente. Por ejemplo, detectar un archivo flash malicioso es diferente de detectar JavaScript malicioso. Un exploit de archivo flash probablemente esté contenido en el formato SWF e implique analizar ActionScript, mientras que un exploit basado en JavaScript es un archivo de texto sin formato y probablemente apunte al motor JavaScript del navegador., deberías tener en cuenta lo siguiente:

  • ¿Qué términos son vagos para mí?
    Por ejemplo, ¿qué es “ActionScript”?
  • ¿Cuántos adversarios están listados usando esta técnica?
    Generalmente, cuantos más adversarios se listan, más común y fácil de abusar puede ser la técnica.
  • ¿Qué tan específica es esta técnica?
    Algunas técnicas son muy específicas y pueden no requerir tanta investigación adicional como una técnica amplia.
  • ¿Qué herramientas ofensivas están listadas como asociadas con esta técnica y son de código abierto o están disponibles para pruebas?

3. Haz algo de Investigación

Para cada técnica, hay una abundancia de recursos ubicados en la parte inferior de la página. Generalmente, los recursos cubrirán informes sobre implementaciones de los adversarios de las técnicas. Los mejores recursos para aumentar tu comprensión son aquellos que profundizan en la implementación técnica de las técnicas y proporcionan enlaces a investigaciones ofensivas o herramientas utilizadas por adversarios. Además, asegúrate de verificar cualquier informe de investigación ofensiva original o publicaciones en blogs sobre la técnica.

Cosas a considerar:

Al leer los recursos, deberías tener en cuenta lo siguiente:

  • ¿Qué sustantivos son vagos para mí?
    Por ejemplo, ¿qué es “ActionScript”?
  • ¿Qué herramientas ofensivas están listadas como asociadas con esta técnica y son de código abierto o están disponibles para pruebas?
  • ¿Hay Código PoC disponible o capturas de pantalla del código utilizado para implementar la técnica?
  • ¿Qué mecanismos de prevención y detección son presentados por el investigador? ¿Llaman específicamente a la técnica?
  • ¿Qué herramientas o técnicas están disponibles para detectar esta técnica post-compromiso?
  • ¿He cubierto todos los aspectos de esta técnica? ¿Hay métodos adicionales de esta técnica que no haya cubierto?
  • ¿Los autores de esta publicación tienen páginas de GitHub, blogs, una cuenta de Twitter, etc.?

4. Explora Recursos Adicionales (Investigación)

Dado que ATT&CK es una base de conocimiento común, existen muchos recursos de investigadores que no necesariamente están vinculados a ATT&CK. Los recursos pueden agregar ejemplos específicos de técnicas, identificar ciertas detecciones y publicar investigaciones de técnicas ofensivas.

Aquí tienes algunos de mis enlaces favoritos que cubren técnicas de adversarios en ATT&CK, y muchos incluyen referencias a recursos adicionales:

Afortunadamente para nosotros, muchas de estas técnicas también han sido explicadas por investigadores en conferencias a lo largo de los años. Aquí tienes algunos clásicos:

  • Defendiendo contra Ataques de PowerShell – Lee Holmes
  • Abuso de la Instrumentación de Gestión de Windows – Matt Graeber
  • Diseño de Puertas Traseras de DACL de Active Directory – Andy Robbins y Will Schroeder

Cosas a considerar:

See Paso 3.

5. Realiza una Emulación (Emular)

Nota: No descargues herramientas de emulación a menos que seas dueño de la red o tengas permiso explícito. Las herramientas de emulación a menudo son marcadas por los Antivirus y pueden contener exploits.

Emular una técnica en un laboratorio aislado es genial. El código PoC proporciona a los defensores una ventana para dominar la comprensión de un ataque. Existen muchos scripts de emulación gratis y código PoC, y estos conjuntos de herramientas ofrecen una ventana a la técnica en forma de código descompuesto. Simplemente ejecutar el código y observar el resultado no es suficiente. Se debe intentar recorrer el código línea por línea para entender la técnica. Además, se deben revisar los registros capturados nativamente por el sistema operativo, Sysmon, ProcMon. En algunos casos, capturar telemetría adicional con herramientas como Wireshark, depuradores, monitores de API, volcados de memoria, etc., puede ser beneficioso. Además, ejecutar herramientas forenses post-emulación (como las proporcionadas por Eric Zimmerman) puede ser beneficioso dependiendo de la técnica.

Escribir y probar la detección de esa técnica es otra excelente manera de entender el ataque y las limitaciones y contexto de alertar sobre ese evento. Hoy en día, muchas reglas se comparten a través de SIGMA, un formato de lenguaje genérico para múltiples sistemas SIEM. 

La plataforma Detección como Código de SOC Prime entrega de manera nativa más de 130,000 detecciones basadas en Sigma curadas a través de suscripción para más de 20 formatos de SIEM y XDR que incluyen emulaciones y reglas para la mayoría de las técnicas disponibles en el último marco ATT&CK. Crea una cuenta gratuita en https://tdm.socprime.com/ y accede al contenido más reciente de detección adaptado al perfil de amenazas de tu organización y la herramienta de seguridad en uso.  Con el Dashboard de Cobertura de MITRE ATT&CK , puedes rastrear las métricas en tiempo real sobre la cobertura de amenazas y evaluar el progreso a lo largo del tiempo en las técnicas, tácticas y sub-técnicas de ATT&CK abordadas con el contenido de la plataforma de SOC Prime.

Algunas técnicas pueden ser increíblemente difíciles de entender o replicar sin entrenamiento avanzado y experiencia. Es normal, incluso después de realizar una emulación, obtener información sobre la técnica o incluso escribir tu propio código, no comprender completamente lo que está sucediendo. Si has llegado hasta aquí y tienes preguntas persistentes, contactar directamente con mentores o investigadores puede ser útil.

Cosas a considerar

Al leer los recursos, deberías tener en cuenta lo siguiente:

  1. ¿Puedo cambiar/alterar el PoC para evadir la detección?
  2. ¿Hay PoCs adicionales disponibles que encajen en esta técnica pero usen un método diferente?

LIMITACIONES de ATT&CK

Oportunidad

El tiempo desde el descubrimiento o solicitud de una nueva técnica para ser publicada hasta que la técnica se publica puede tardar varios meses. Alternativas como seguir investigadores en Twitter es una excelente manera de adelantarse. Sin embargo, separar la señal del ruido con el aluvión de información que se comparte puede ser una tarea desalentadora.

Profundidad

No todos los temas aplicables a la ciberseguridad están cubiertos por las técnicas de ATT&CK. Por ejemplo, probablemente no se va a aprender sobre las intrincaciones de los exploits basados en «use-after-free». Examinar otros marcos de trabajo y bases de conocimiento, como el Common Weaknesses Enumeration de MITRE, puede ayudar aquí.

Únete a la plataforma Detección como Código de SOC Prime para defensa cibernética colaborativa, búsqueda de amenazas y descubrimiento para combatir eficientemente las amenazas digitales con el poder de una comunidad global de más de 20,000 expertos en seguridad. 

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Buscar en el Mercado de Detección de Amenazas de Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
Buscar en el Mercado de Detección de Amenazas de Uncoder AI
Steven Edwards
Capacidades de Personalización de Contenido Impulsadas por la Plataforma SOC Prime: Guía Paso a Paso para Despliegues Sin Problemas
Blog, Plataforma SOC Prime — 9 min de lectura
Capacidades de Personalización de Contenido Impulsadas por la Plataforma SOC Prime: Guía Paso a Paso para Despliegues Sin Problemas
Sergey Bayrachny
Integración de Sumo Logic con el Mercado de Detección de Amenazas
Blog, Plataforma SOC Prime — 4 min de lectura
Integración de Sumo Logic con el Mercado de Detección de Amenazas
Veronika Telychko