Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlLas técnicas para recopilar datos en un entorno comprometido incluyen métodos para identificar, localizar y recopilar directamente información específica (por ejemplo, archivos confidenciales) para prepararla para una mayor exfiltración. La descripción de los métodos de recopilación de información también cubre la descripción de los lugares de almacenamiento de información en sistemas o redes en los que los oponentes pueden buscarla y recopilarla.
Los indicadores de la implementación de la mayoría de las técnicas de recopilación de datos presentadas en ATT & CK son procesos que utilizan API, WMI, PowerShell, Cmd o Bash para capturar información objetivo de dispositivos de entrada / salida o abrir archivos para leer varias veces y luego copiar los datos recibidos en un lugar específico en el sistema de archivos o red . La información durante la recopilación de datos se puede cifrar y combinar en archivos de almacenamiento.
La identificación y el bloqueo de software potencialmente peligroso y malicioso mediante el uso de herramientas para organizar listas blancas de aplicaciones, como las Políticas de restricción de AppLocker y Sofware en Windows, el cifrado y el almacenamiento de información confidencial fuera de los sistemas locales, se ofrecen restricciones de derechos como recomendaciones generales sobre protección contra la recopilación de datos. acceso de usuarios a directorios de red y almacenes de información corporativa; aplicación de una política de contraseña y autenticación de dos factores en un entorno protegido.
El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: Un adversario puede usar los dispositivos periféricos de una computadora (por ejemplo, un micrófono o una cámara web) o aplicaciones (por ejemplo, servicios de llamadas de voz y video) para capturar grabaciones de audio y escuchar más conversaciones confidenciales. Se pueden utilizar software o scripts maliciosos para interactuar con dispositivos periféricos a través de las funciones API proporcionadas por el sistema operativo o la aplicación. Los archivos de audio recopilados se pueden grabar en un disco local con posterior exfiltración.
Consejos de seguridad: La oposición directa a la técnica anterior puede ser difícil porque requiere un control detallado sobre el uso de la API. La detección de actividad maliciosa también puede ser difícil debido a la variedad de funciones API.
Dependiendo del propósito del sistema atacado, los datos sobre el uso de la API pueden ser completamente inútiles o, por el contrario, proporcionar contenido para detectar otras actividades maliciosas que ocurren en el sistema. Un indicador de actividad enemiga puede ser un proceso desconocido o inusual de acceder a la API asociada con dispositivos o software que interactúan con un micrófono, dispositivos de grabación, programas de grabación o un proceso que escribe periódicamente archivos que contienen datos de audio en el disco.
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: Un atacante puede usar herramientas de automatización para recopilar datos internos, como scripts, para buscar y copiar información que cumpla con ciertos criterios: tipo de archivo, ubicación, nombre, intervalos de tiempo. Esta funcionalidad también se puede integrar en las utilidades de acceso remoto. En el proceso de automatización de la recopilación de datos con el fin de identificar y mover archivos, también se pueden aplicar técnicas para detectar archivos y directorios (
Descubrimiento de archivos y directorios ) y la copia
remota de archivos (Copia remota de archivos ).
Recomendaciones de protección: el cifrado y el almacenamiento de información confidencial fuera del sistema es una forma de contrarrestar la recopilación de archivos, sin embargo, si la intrusión dura mucho tiempo, el adversario puede detectar y obtener acceso a los datos de otras maneras. Por ejemplo, un keylogger instalado en el sistema, al interceptar la entrada, puede recopilar contraseñas para descifrar documentos protegidos. Para evitar la piratería de documentos encriptados fuera de línea por la fuerza bruta, debe usar contraseñas seguras.
Sistema: Windows, Linux, macOS
Descripción: los opositores pueden recopilar datos del portapapeles de Windows, almacenados en él durante la copia de información por parte de los usuarios dentro o entre las aplicaciones.
VentanasLas aplicaciones pueden acceder a los datos del portapapeles utilizando la API de Windows.
MacOSOSX tiene un comando
pbpast incorporado para capturar el contenido del portapapeles.
Recomendaciones de protección: no bloquee el software basándose en la identificación del comportamiento asociado con la captura de los contenidos del portapapeles, como El acceso al portapapeles es una característica estándar de muchas aplicaciones de Windows. Si la organización decide rastrear este comportamiento de las aplicaciones, entonces los datos de monitoreo deben compararse con otras acciones sospechosas o no relacionadas con el usuario.
Sistema: Windows, Linux, macOS
Descripción: antes de la exfiltración, los datos recopilados generalmente se colocan en un directorio específico. Los datos pueden almacenarse en archivos separados o combinarse en un solo archivo mediante compresión o encriptación. Los shells de comandos interactivos se pueden usar como herramientas, la funcionalidad cmd y bash se pueden usar para copiar datos en una ubicación intermedia.
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: los opositores pueden extraer información valiosa de los repositorios de información, herramientas que le permiten almacenar información, por regla general, para optimizar la colaboración o el intercambio de datos entre los usuarios. El almacenamiento de información puede contener una gran variedad de datos que pueden ayudar a los atacantes a alcanzar otros objetivos o proporcionar acceso a información específica.
La siguiente es una breve lista de información que se puede encontrar en repositorios de información y de valor potencial para un atacante:
- Políticas, procedimientos y estándares;
- Esquemas de redes físicas / lógicas;
- Esquemas de arquitectura del sistema;
- Documentación técnica del sistema;
- Credenciales para pruebas / desarrollo;
- Planes de trabajo / proyecto;
- Fragmentos de código fuente;
- Enlaces a directorios de red y otros recursos internos.
Repositorios comunes de información:
Microsoft SharePointSe encuentra en muchas redes corporativas y a menudo se usa para almacenar e intercambiar una cantidad significativa de documentación.
Confluencia atlassianaA menudo se encuentra en entornos de desarrollo junto con Atlassian JIRA. La confluencia se usa generalmente para almacenar documentación relacionada con el desarrollo.
Recomendaciones de protección: medidas
recomendadas para evitar la recopilación de datos de los repositorios de información:
- Desarrollo y publicación de políticas que definen información aceptable para ser registrada en el almacén de información;
- Implementación de mecanismos de control de acceso, que incluyen tanto la autenticación como la autorización correspondiente;
- Asegurar el principio del menor privilegio;
- Revisión periódica de los privilegios de la cuenta;
- Evite el acceso a cuentas válidas válidas que se pueden utilizar para acceder a repositorios de información.
Dado que los repositorios de información generalmente tienen una base de usuarios bastante grande, detectar su uso malicioso puede ser una tarea no trivial. Como mínimo, el acceso a los almacenamientos de información realizados por usuarios privilegiados (por ejemplo, Dominio, Enterprise o Shema Admin) debe ser cuidadosamente monitoreado y evitado, ya que este tipo de cuentas no deben usarse para acceder a los datos almacenados. Si es posible monitorear y alertar, entonces necesita rastrear a los usuarios que recuperan y ven una gran cantidad de documentos y páginas. Este comportamiento puede indicar el funcionamiento del software que recupera datos del almacenamiento. En entornos de alta madurez, los sistemas de análisis de comportamiento del usuario (UBA) se pueden utilizar para detectar anomalías en el comportamiento del usuario.
Microsoft SharePoint se puede configurar para registrar el acceso de los usuarios a páginas y documentos específicos. En Confluence Atlassian, se puede configurar un registro similar a través de AccessLogFilter. Una detección más eficiente probablemente requerirá infraestructura adicional para almacenar y analizar registros.
Sistema: Windows, Linux, macOS
Descripción: Se pueden obtener datos confidenciales de fuentes del sistema local, como un sistema de archivos o una base de datos, con el fin de obtener una mayor exfiltración.
Los atacantes a menudo buscan archivos en las computadoras que piratearon. Pueden hacer esto usando la interfaz de línea de comando (cmd). También se pueden usar métodos para automatizar el proceso de recopilación de datos.
Sistema: Windows, Linux, macOS
Descripción: Se pueden recopilar datos confidenciales de sistemas remotos que tienen unidades de red de acceso público (carpeta de red local o servidor de archivos) disponibles para el adversario.
Para detectar archivos de destino, un atacante puede buscar recursos de red en computadoras que han sido comprometidas. Para recopilar información, se pueden utilizar tanto los comandos interactivos como las funciones comunes de la línea de comandos.
Sistema: Windows, Linux, macOS
Descripción: Se pueden recopilar datos confidenciales de cualquier medio extraíble (unidad óptica, unidad USB, etc.) conectado a un sistema comprometido.
Para detectar archivos de destino, un atacante puede buscar medios extraíbles en computadoras comprometidas. Para recopilar información, se pueden utilizar tanto los comandos interactivos como las funciones comunes de la línea de comandos, así como las herramientas de automatización para la recopilación de datos.
Sistema: Windows
Descripción: para recopilar información confidencial, los atacantes pueden utilizar buzones electrónicos personalizados. Los datos contenidos en el correo electrónico se pueden obtener de archivos de datos de Outlook (.pst) o archivos de caché (.ost). Con credenciales de usuario, un adversario puede interactuar directamente con el servidor Exhange y obtener acceso a una interfaz web de correo electrónico externa, como Outlook Web Access.
Recomendaciones de seguridad: el uso del cifrado proporciona una capa adicional de protección para la información confidencial transmitida por correo electrónico. El uso de cifrado asimétrico requerirá que el adversario obtenga un certificado privado con una clave de cifrado. El uso de la autenticación de dos factores en los sistemas de correo web público es la mejor práctica para minimizar la posibilidad de que un atacante use las credenciales de otra persona.
Hay varias formas en que un atacante puede obtener correo electrónico dirigido, cada uno de los cuales tiene su propio mecanismo de detección. Los indicadores de actividad maliciosa pueden ser: acceso a archivos de datos de correo electrónico del sistema local para su posterior filtración, procesos inusuales que se conectan al servidor de correo electrónico en la red, así como patrones de acceso atípicos e intentos de autenticación en servidores web públicos de correo electrónico. Realice un seguimiento de los procesos y los argumentos de la línea de comandos que se pueden utilizar para recopilar archivos de datos de correo electrónico. Las herramientas de acceso remoto pueden interactuar directamente con la API de Windows. Los datos también se pueden recuperar utilizando varias herramientas de administración de Windows, como WMI o PowerShell.
Sistema: Windows, Linux, macOS
Derechos: Administrador, Sistema
Descripción: los atacantes pueden utilizar los medios de capturar la entrada del usuario para obtener las credenciales de las cuentas existentes. El registro de teclas es el tipo más común de captura de entrada del usuario, incluidos muchos métodos diferentes de interceptar las pulsaciones de teclas, pero existen otros métodos para obtener información de destino, como llamar a una solicitud de UAC o escribir un shell para el proveedor de credenciales predeterminado (Proveedores de credenciales de Windows). El registro de teclas es la forma más común de robar credenciales cuando el uso de técnicas de descarga de credenciales es ineficiente y el atacante se ve obligado a permanecer pasivo durante un cierto período de tiempo.
Para recopilar credenciales de usuario, un atacante también puede instalar un keylogger de software en portales corporativos externos, por ejemplo, en la página de inicio de sesión de VPN. Esto es posible después de comprometer el portal o servicio al obtener acceso administrativo legítimo, que a su vez podría organizarse para proporcionar acceso de respaldo en las etapas de obtener acceso inicial y asegurarlo en el sistema.
Recomendaciones de protección: garantice la detección y el bloqueo de software potencialmente peligroso y malicioso utilizando herramientas como AppLocker o políticas de restricción de software. Tome medidas para reducir el daño si un atacante obtiene credenciales. Siga
las mejores prácticas de Microsoft para desarrollar y administrar su red corporativa .
Los keyloggers pueden modificar el registro e instalar controladores. Las funciones API más utilizadas son SetWindowsHook, GetKeyState, GetAsyncKeyState. Las llamadas a las funciones API por sí solas no pueden ser indicativas de registro de teclas, pero junto con un análisis de los cambios en el registro, la detección de instalaciones de controladores y la aparición de nuevos archivos en el disco pueden indicar actividad maliciosa. Rastree la aparición de Proveedores de credenciales personalizadas en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProvidersSistema: Windows
Derechos: Administrador, Sistema
Descripción: durante varios métodos de ataque MitB, un adversario, aprovechando la vulnerabilidad del navegador de la víctima, puede modificar el contenido web utilizando un programa malicioso, por ejemplo, agregar campos de entrada a una página, modificar la entrada del usuario, interceptar información. Un ejemplo específico es el caso cuando un atacante inyecta software en el navegador que permite que se hereden cookies, sesiones HTTP, certificados de cliente SSL del cliente y usar el navegador como una forma de autenticar e ir a la intranet.
Un ataque requiere privilegios SeDebugPrivilege y procesos de alta integridad (Comprensión del modo protegido). Al configurar el proxy HTTP, HTTP y HTTPS, el tráfico se redirige desde el navegador del atacante a través de un navegador de usuario. Al mismo tiempo, el tráfico de usuarios no cambia y la conexión de proxy se desconecta tan pronto como se cierra el navegador. Esto permite al adversario, incluida la visualización de páginas web como usuario atacado.
Por lo general, para cada nueva pestaña, el navegador crea un nuevo proceso con permisos y certificados separados. Con estos permisos, un adversario puede acceder a cualquier recurso en la intranet al que se pueda acceder a través de un navegador con derechos existentes, como Sharepoint o Webmail. La rotación del navegador también elimina la protección de autenticación de dos factores.
Recomendaciones de protección
: se recomienda que el vector de
protección tenga como objetivo restringir los permisos de los usuarios, evitar la escalada de privilegios y evitar UAC. Cierre todas las sesiones del navegador regularmente y cuando ya no sean necesarias. La detección de MitB es extremadamente difícil ya que El tráfico enemigo se disfraza de tráfico de usuario normal, no se crean nuevos procesos, no se utiliza ningún software adicional y la unidad local del host atacado no se ve afectada. Los registros de autenticación se pueden usar para auditar los inicios de sesión de los usuarios en aplicaciones web específicas, sin embargo, identificar la actividad maliciosa entre ellos puede ser difícil, porque la actividad corresponderá al comportamiento normal del usuario.
Sistema: Windows, Linux, macOS
Descripción: durante la recopilación de información, los oponentes pueden intentar tomar capturas de pantalla del escritorio. La funcionalidad correspondiente se puede incluir en las herramientas de acceso remoto utilizadas después del compromiso.
Mac
OSX utiliza el comando de captura de pantalla incorporado para capturar capturas de pantalla.
Linux
En Linux, hay un comando xwd.
Recomendaciones de protección: como método de detección, se recomienda monitorear los procesos que usan la API para tomar capturas de pantalla y luego escribir archivos en el disco. Sin embargo, dependiendo de la legitimidad de tal comportamiento en un sistema en particular, es probable que se requiera una correlación adicional de los datos que se recopilan con otros eventos en el sistema para detectar actividad maliciosa.
Sistema: Windows, macOS
Descripción: Un adversario puede usar periféricos de computadora (por ejemplo, cámaras y cámaras web integradas) o aplicaciones (por ejemplo, servicios de video llamada) para capturar video o imagen. La captura de video, a diferencia de los métodos de captura de pantalla, implica el uso de dispositivos y aplicaciones para grabar video, en lugar de capturar imágenes desde la pantalla de la víctima. En lugar de archivos de video, las imágenes pueden capturarse a ciertos intervalos.
Se pueden usar software o scripts maliciosos para interactuar con los dispositivos a través de la API proporcionada por el sistema operativo o la aplicación para capturar videos o imágenes. Los archivos recopilados pueden escribirse en el disco y luego filtrarse.
Se conocen varios programas maliciosos diferentes para macOS, por ejemplo Proton y FriutFly, que pueden grabar video desde la cámara web de un usuario.
Consejos de seguridad: La oposición directa a la técnica anterior puede ser difícil porque requiere un control API detallado. Los esfuerzos de protección deben estar dirigidos a prevenir códigos no deseados o desconocidos en el sistema.
Identifique y bloquee software potencialmente peligroso y malicioso que se puede usar para grabar sonido usando AppLocker y las Políticas de restricción de software.
La detección de actividad maliciosa también puede ser difícil debido a varias API. Dependiendo de cómo se use el sistema que se está atacando, los datos de telemetría relacionados con la API pueden ser inútiles o, por el contrario, proporcionar contenido para otras actividades maliciosas que ocurren en el sistema. Un indicador de actividad enemiga puede ser un proceso desconocido o inusual de acceder a la API asociada con dispositivos o software que interactúan con un micrófono, dispositivos de grabación, programas de grabación o un proceso que periódicamente escribe archivos en el disco que contienen datos de audio.