¿Qué es MITRE ATT&CK y cuál es su utilidad?

Qué es MITRE ATT&CK™?

MITRE introdujo ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) en 2013 como una forma de describir y categorizar los comportamientos de los adversarios basándose en observaciones del mundo real. ATT&CK es una lista estructurada de comportamientos conocidos de los atacantes que han sido recopilados en tácticas y técnicas y expresados en un puñado de matrices, así como a través de STIX/TAXII. Dado que esta lista es una representación bastante completa de los comportamientos que los atacantes emplean cuando comprometen las redes, es útil para una variedad de medidas ofensivas y defensivas, representaciones y otros mecanismos.

Comprender las matrices ATT&CK

MITRE ha dividido ATT&CK en varias matrices diferentes: Enterprise, Mobile y PRE-ATT&CK. Cada una de estas matrices contiene diversas tácticas y técnicas asociadas con el tema de esa matriz.

La matriz Enterprise se compone de técnicas y tácticas que se aplican a los sistemas Windows, Linux y/o MacOS. Mobile contiene tácticas y técnicas que se aplican a los dispositivos móviles. PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que hacen los atacantes antes de intentar explotar una red o sistema objetivo en particular.

Los entresijos del ATT&CK: tácticas y técnicas

Cuando se observa ATT&CK en forma de matriz, los títulos de las columnas de la parte superior son tácticas y, esencialmente, categorías de técnicas. Las tácticas son lo que los atacantes están tratando de lograr, mientras que las técnicas individuales son la forma en que logran esos pasos u objetivos.

Por ejemplo, una de las tácticas es el Movimiento Lateral. Para que un atacante logre con éxito el movimiento lateral en una red, querrá emplear una o más de las técnicas enumeradas en la columna de Movimiento Lateral en la matriz ATT&CK.

Una técnica es un comportamiento específico para lograr un objetivo y es a menudo un solo paso en una cadena de actividades empleadas para completar la misión general del atacante. ATT&CK proporciona muchos detalles sobre cada técnica, incluyendo una descripción, ejemplos, referencias y sugerencias para su mitigación y detección.

Ejemplo de descripción de una técnica en MITRE ATT&CK

Como ejemplo de cómo funcionan las tácticas y técnicas en ATT&CK, un atacante puede desear obtener acceso a una red e instalar software de minería de criptomoneda en tantos sistemas como sea posible dentro de esa red. Para lograr este objetivo general, el atacante necesita realizar con éxito varios pasos intermedios. En primer lugar, obtener acceso a la red - posiblemente a través de un enlace Spearphishing. Después, puede que necesiten escalar privilegios a través de la Inyección de Procesos. Ahora pueden obtener otras credenciales del sistema a través de Credential Dumping y luego establecer la persistencia configurando el script de minería para que se ejecute como una tarea programada. Una vez hecho esto, el atacante puede ser capaz de moverse lateralmente a través de la red con Pass the Hash y difundir su software minero de monedas en tantos sistemas como sea posible.

En este ejemplo, el atacante tuvo que ejecutar con éxito cinco pasos - cada uno representando una táctica específica o etapa de su ataque global: Acceso inicial, Escalada de privilegios, Acceso a credenciales, Persistencia y Movimiento lateral. Utilizaron técnicas específicas dentro de estas tácticas para llevar a cabo cada etapa de su ataque (enlace spearphishing, inyección de procesos, volcado de credenciales, etc.).

Diferencias entre PRE-ATT&CK y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se combinan para formar la lista completa de tácticas que coinciden aproximadamente con la Cyber Kill Chain. PRE-ATT&CK se ajusta principalmente a las tres primeras fases de la cadena de muerte: reconocimiento, armamento y lanzamiento. ATT&CK Enterprise se alinea bien con las cuatro últimas fases de la cadena de muerte: explotación, instalación, mando y control, y acciones sobre los objetivos.

Tácticas PRE-ATT&CK
Definición de prioridades
Selección de objetivos
Recopilación de información
Identificación de puntos débiles
Adversario OpSec
Crear y mantener infraestructuras
Desarrollo de personajes
Capacidades de construcción
Capacidades de prueba
Capacidades escénicas
Tácticas empresariales ATT&CK
Acceso inicial
Ejecución
Persistencia
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Exfiltración
Mando y control

¿Qué se puede hacer con ATT&CK?

ATT&CK es valioso en una variedad de entornos cotidianos. Cualquier actividad defensiva que haga referencia a los atacantes y sus comportamientos puede beneficiarse de la aplicación de la taxonomía de ATT&CK. Además de ofrecer un léxico común para los ciberdefensores, ATT&CK también proporciona una base para las pruebas de penetración y el red teaming. Esto proporciona a los defensores y a los "red teamers" un lenguaje común para referirse a los comportamientos de los adversarios.

Ejemplos en los que la aplicación de la taxonomía ATT&CK puede ser útil:

Mapa de controles defensivos

Los controles defensivos pueden tener un significado bien entendido cuando se comparan con las tácticas y técnicas de ATT&CK a las que se aplican.

Integración de herramientas

Herramientas y servicios distintos pueden estandarizar las tácticas y técnicas de ATT&CK, dando una cohesión a la defensa de la que a menudo se carece.

Caza de amenazas

El mapeo de las defensas con ATT&CK ofrece una hoja de ruta de las brechas defensivas que proporcionan a los cazadores de amenazas los lugares perfectos para encontrar la actividad perdida de los atacantes.

Compartir

Al compartir información sobre un ataque, un actor o grupo, o controles defensivos, los defensores pueden garantizar un entendimiento común utilizando técnicas y tácticas de ATT&CK.

Detecciones e investigaciones

El Centro de Operaciones de Seguridad (SOC) y el equipo de respuesta a incidentes pueden consultar las técnicas y tácticas de ATT&CK detectadas o descubiertas. Esto ayuda a comprender dónde están los puntos fuertes y débiles de las defensas y a validar los controles de mitigación y detección, y puede descubrir configuraciones erróneas y otros problemas operativos.

Integración de herramientas

La planificación, ejecución y elaboración de informes de las actividades del equipo rojo, el equipo morado y las pruebas de penetración pueden utilizar ATT&CK para hablar un lenguaje común con los defensores y los destinatarios de los informes, así como entre ellos mismos.

Actores de referencia

Los actores y los grupos pueden asociarse a comportamientos específicos y definibles.

Utilización de ATT&CK para trazar un mapa de las defensas y comprender las carencias

La inclinación natural de la mayoría de los equipos de seguridad cuando observan el ATT&CK de MITRE es intentar desarrollar algún tipo de control de detección o prevención para cada técnica de la matriz empresarial. Aunque no es una idea terrible, los matices de ATT&CK hacen que este enfoque sea un poco peligroso si no se tienen en cuenta ciertas advertencias. Las técnicas en las matrices ATT&CK a menudo se pueden realizar de varias maneras. Por lo tanto, bloquear o detectar una única forma de realizarlas no significa necesariamente que haya cobertura para todas las formas posibles de realizar esa técnica. Esto puede llevar a una falsa sensación de seguridad pensando que porque una herramienta bloquea una forma de emplear una técnica, la técnica está adecuadamente cubierta para la organización. Sin embargo, los atacantes todavía pueden emplear con éxito otras formas de emplear esa técnica sin ninguna detección o prevención en el lugar.

La forma de abordar esto es la siguiente:

Asuma siempre que hay más de una forma de realizar una técnica ATT&CK
Investigar y probar formas conocidas de realizar técnicas específicas y medir la eficacia de las herramientas y la visibilidad existentes.
Registrar cuidadosamente los resultados de las pruebas para mostrar dónde existen lagunas para esa técnica y qué formas de emplearla pueden prevenirse o detectarse.
Observe qué herramientas resultan eficaces en detecciones específicas y señale las lagunas en las que no hay cobertura alguna.
Manténgase al día de las nuevas formas de realizar técnicas y asegúrese de probarlas en el entorno para medir la cobertura.

Por ejemplo, si el antivirus detecta la presencia de Mimikatz, eso no significa que Pass the Hash (T1075) y Pass the Ticket (T1097) estén cubiertas, ya que todavía hay varias otras formas de realizar estas técnicas que no implican el uso de Mimikatz. Tenga esto en cuenta si intenta utilizar ATT&CK para mostrar la cobertura defensiva en una organización.

Utilización de ATT&CK con inteligencia sobre ciberamenazas

El ATT&CK puede ser útil para la inteligencia sobre ciberamenazas, ya que permite describir los comportamientos de los adversarios de una manera estándar. Los actores pueden ser rastreados con asociaciones a técnicas y tácticas en ATT&CK que se sabe que han utilizado. Esto proporciona a los defensores una hoja de ruta que pueden aplicar a sus controles operativos para ver dónde tienen puntos débiles frente a determinados actores y dónde tienen puntos fuertes. La creación de entradas en el Navegador ATT&CK de MITRE para actores específicos es una buena forma de visualizar los puntos fuertes y débiles del entorno frente a esos actores o grupos. ATT&CK también está disponible en formato STIX/TAXII 2.0, lo que facilita su incorporación a las herramientas existentes compatibles con estas tecnologías.

ATT&CK proporciona información detallada sobre casi setenta actores y grupos, incluidas las técnicas y herramientas que se sabe que utilizan, basándose en informes de fuentes abiertas.

Lista de grupos ATT&CK de MITRE

El propio proceso de creación de inteligencia puede beneficiarse del uso de la jerga común de ATT&CK. Como se ha mencionado, esto puede aplicarse a actores y grupos, pero también a comportamientos observados desde el SOC o a actividades de respuesta a incidentes. También se puede hacer referencia al malware en términos de comportamientos mediante ATT&CK. Todas las herramientas de inteligencia sobre amenazas compatibles con ATT&CK facilitan este proceso. La inteligencia comercial y de código abierto que aplica ATT&CK a cualquier comportamiento mencionado también es útil para mantener la coherencia. La difusión de inteligencia a las operaciones o la gestión es, en última instancia, mucho más fácil cuando todas las partes hablan el mismo idioma en torno a los comportamientos adversarios. Si las operaciones saben exactamente qué es la Autenticación Forzada y la ven mencionada en un informe de inteligencia, pueden saber exactamente qué acciones deben tomarse o qué controles ya están en marcha en relación con esa pieza de inteligencia. Estandarizar las referencias ATT&CK en los productos de inteligencia de esta manera puede mejorar drásticamente la eficiencia y garantizar un entendimiento común.

Simulación adversarial y ATT&CK

Probar las técnicas de ATT&CK en el entorno es la mejor manera de hacerlo:

Controles de ensayo y su eficacia
Garantizar la cobertura frente a diferentes técnicas
Comprender las lagunas en la visibilidad o la protección
Validar la configuración de herramientas y sistemas
Demostrar dónde diferentes actores tendrían éxito o se verían atrapados en el entorno
Evitar conjeturas y suposiciones con los controles sabiendo exactamente qué se detecta o mitiga y qué no.

El proceso de realizar una simulación adversarial no es ajeno a muchos entornos. Cuando se emplean probadores de penetración para probar el entorno, las organizaciones están realizando pruebas de simulación adversaria. Lo mismo se aplica a las organizaciones que tienen equipos rojos internos o que realizan compromisos de equipo púrpura. Aplicar las actividades de estos compromisos a las técnicas ATT&CK eleva la comprensión de los resultados por parte de los defensores. En lugar de informar sobre fallos en la detección de cierta actividad, los informes de las pruebas de penetración y los equipos rojos pueden contener un mejor contexto para aplicar sus actividades directamente a los controles operativos, las herramientas defensivas y los procedimientos. Esto hace que sea más fácil para los defensores tomar las medidas adecuadas como resultado de los informes.

Las simulaciones pueden ser diseñadas para reflejar las herramientas y técnicas que se sabe que son utilizadas por actores específicos. Esto puede ser especialmente útil cuando se trata de evaluar el éxito que podrían tener ciertos adversarios contra los controles presentes en el entorno.

Además, existen herramientas disponibles que proporcionan mecanismos para probar ciertas técnicas directamente dentro del entorno y que ya están alineadas con ATT&CK. Herramientas comerciales como Verodin, SafeBreach y AttackIQ ofrecen la posibilidad de realizar simulaciones de adversarios alineadas con ATT&CK. Existen algunas opciones de código abierto para realizar simulaciones adversarias y también alinearse con ATT&CK (listadas a continuación). Como siempre, tenga cuidado al realizar simulaciones adversarias en redes de producción donde el alcance de las ramificaciones potenciales no se entiende completamente.

El proceso para utilizar estas herramientas es sencillo:

  1. Simular: elija los criterios de simulación en función de las pruebas deseadas y, a continuación, ejecute la herramienta o realice la técnica manualmente.
  2. Hunt - Examinar los registros y los resultados de las herramientas en busca de pruebas de la actividad simulada; anotar las expectativas incumplidas con controles detectivos o preventivos.
  3. Detectar - Añadir nuevas detecciones o mitigaciones basadas en los hallazgos; también anotar cualquier brecha en la visibilidad y cualquier herramienta utilizada para la detección o mitigación.

Buenas prácticas para utilizar ATT&CK

A continuación figura una lista de buenas prácticas para ATT&CK:

Utilizar tácticas cuando las técnicas son ambiguas o difíciles de precisar

Compartir los métodos de detección y mitigación descubiertos

Compartir tácticas y técnicas de los comportamientos observados de los atacantes

Aprovechar la integración de ATT&CK en las herramientas existentes

Animar a los vendedores y proveedores de servicios a que añadan soporte para ATT&CK allí donde sea útil.

Retos a la hora de aprovechar ATT&CK

Utilizar ATT&CK no está exento de dificultades. Conviene tenerlos en cuenta a la hora de utilizar ATT&CK.

No todas las técnicas son siempre maliciosas

No todas las técnicas son siempre maliciosas

Algunas técnicas figuran en la lista de tácticas múltiples

  • Ejemplo: Secuestro de orden de búsqueda DLL (T1038)
  • Aparece bajo las tácticas de Persistencia, Escalada de Privilegios y Evasión de Defensas.
  • Algunas técnicas, como ésta, pueden utilizarse para múltiples casos y son útiles en varias fases del ataque

No todas las técnicas son fáciles de detectar

Algunas técnicas tienen muchos métodos de ejecución posibles

Herramientas y recursos ATT&CK

A continuación se ofrece una lista de herramientas y otros recursos que utilizan ATT&CK. Algunas ya se han mencionado anteriormente, pero se incluyen aquí para facilitar su consulta. Si desea añadir algo a esta lista, envíe un correo electrónico a marketing@anomali.com.

El mejor lugar para empezar con ATT&CK es siempre la página web ATT&CK de MITRE.
MITRE mantiene un blog sobre ATT&CK en Medium.
Para cualquier consulta sobre ATT&CK, envíe un correo electrónico a: attack@mitre.org.

Navegador ATT&CK

ATT&CK Navigator es una gran herramienta para trazar los controles en función de las técnicas ATT&CK. Se pueden añadir capas que muestren específicamente controles detectivescos, controles preventivos o incluso comportamientos observados. Navigator puede utilizarse en línea para simulaciones o escenarios rápidos o puede descargarse y configurarse internamente como una solución más permanente.

Navegador MITRE ATT&CK

Ejemplo de detalles incluidos en la hoja de trucos de registro ATT&CK de Malware Archeology

Arqueología del malware Hoja de trucos de registro ATT&CK de Windows

Los profesionales de confianza de Malware Archeology proporcionan una serie de hojas de trucos de registro de Windows para ayudar a los defensores a encontrar actividad maliciosa en los registros. Tienen una dedicada a encontrar técnicas de MITRE ATT&CK.

Uber Metta

Metta es un proyecto de código abierto de Uber que realiza simulación adversarial y está alineado con MITRE ATT&CK.

Repositorio de análisis cibernético de MITRE (CAR)

Repositorio de análisis cibernético de MITRE (CAR)

MITRE dispone de un recurso denominado Cyber Analytics Repository (CAR), que es un sitio de referencia de diversos análisis útiles para detectar comportamientos en MITRE ATT&CK.

MITRE Caldera

Caldera es una herramienta de simulación automatizada de adversarios de código abierto basada en MITRE ATT&CK.

Captura de pantalla de MITRE Caldera

ATT&CK Enterprise Matrix en un Tableau público por Cyb3rPanda

ATT&CK Mesa Tableau por Cyb3rPanda

Cyb3rPanda ha cargado ATT&CK en una instancia pública de Tableau para facilitar el pivoteo y el filtrado.

Canario Rojo Equipo Rojo Atómico

Atomic Red Team es una herramienta de código abierto de Red Canary para simular comportamientos adversos asignados a MITRE ATT&CK. Más información en: https://atomicredteam.io/

Ejemplo de prueba de equipo rojo atómico

Visor del Playbook de la Unidad 42 de Palo Alto

Visor del Playbook de la Unidad 42 de Palo Alto

El grupo Unit 42 de Palo Alto ha publicado un visor gratuito de libros de jugadas que muestra los comportamientos adversos conocidos de un puñado de grupos de amenazas alineados con MITRE ATT&CK.

Automatización del equipo rojo Endgame

Red Team Automation es una herramienta de código abierto de Endgame que prueba comportamientos maliciosos siguiendo el modelo de MITRE ATT&CK.

Lista actual de técnicas admitidas por Red Team Automation (RTA)

Anomali Ejemplo de Cyber Watch

Anomali Cibervigilancia

Este informe semanal gratuito incluye los principales acontecimientos de la semana en materia de seguridad y amenazas. El informe incluye los COI y las técnicas de ATT&CK pertinentes para cada noticia incluida en el briefing.

Resumen

MITRE ha hecho una contribución significativa a la comunidad de seguridad al darnos ATT&CK y sus herramientas y recursos relacionados. No podría haber llegado en mejor momento. A medida que los atacantes encuentran formas de ser más sigilosos y evitar ser detectados por las herramientas de seguridad tradicionales, los defensores se ven obligados a cambiar su forma de abordar la detección y la defensa. ATT&CK cambia nuestra percepción de los indicadores de bajo nivel, como direcciones IP y nombres de dominio, y nos hace ver a los atacantes y nuestras defensas a través de la lente de los comportamientos. Sin embargo, esta nueva percepción no significa que los resultados vayan a ser fáciles. Los días fáciles de las listas de bloqueo y los filtros sencillos son cosa del pasado. El camino de la detección y prevención de comportamientos es mucho más difícil que el de las herramientas del pasado. Además, no cabe duda de que los atacantes se adaptarán a medida que los defensores aporten nuevas capacidades. ATT&CK proporciona una forma de describir cualquier nueva técnica que desarrollen y, con suerte, mantener a los defensores al día.