Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlCon esta publicación, comienzo una serie de publicaciones dedicadas a la descripción de las principales técnicas utilizadas por los atacantes en varias etapas de los ataques de hackers.
El material presentado será un recuento gratuito del contenido de las matrices Tácticas adversarias, técnicas y conocimiento común (ATT @ CK ) de The Mitre :
El autor no es responsable de las posibles consecuencias de la aplicación de la información anterior, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. Por cierto, este es mi primer intento de publicar en Habré, por lo que espero recibir críticas justas en mi discurso.La inmersión en el tema comenzará con la matriz más voluminosa
ATT & CK Matrix for Enterprise , que describe las fases activas y más peligrosas de un ataque en una red corporativa:
- Obtención de acceso inicial (acceso inicial);
- Ejecución del código (Ejecución);
- Fijación en el sistema atacado (Persistencia);
- Aumento de privilegios (escalada de privilegios);
- Protección de derivación (Evasión de defensa);
- Obtención de credenciales (acceso de credenciales);
- Descripción general (descubrimiento);
- Avance horizontal (movimiento lateral);
- Recolección de datos (Colección);
- Fuga (exfiltración);
- Gestión y control (Comando y Control).
El objetivo del atacante en la etapa de obtener el acceso inicial es entregar algún código malicioso al sistema atacado y garantizar la posibilidad de su posterior ejecución.
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: la esencia de la técnica es el descubrimiento de la víctima en el navegador de un recurso WEB en el que el atacante preparó varios exploits y exploits de complementos de antemano,
marcos ocultos o archivos Java maliciosos que, sin el conocimiento del usuario, se cargarán en el sistema atacado.
Recomendaciones de protección: utilice los navegadores y complementos más recientes y
aplicación de software antivirus. Microsoft sugiere usar el
Explloit Guard de Windows Defender (WDEG) y el
Kit de herramientas de experiencia de mitigación mejorada (EMET) . También tiene sentido considerar la conveniencia de bloquear la ejecución en un navegador JavaScript.
Sistema: Windows, Linux, macOS
Descripción: La técnica implica el uso de errores conocidos, fallas y vulnerabilidades en software que tiene puertos de red abiertos (servidores web, servicios de red SSH, SMB2, DBMS, etc.).
TOP 10 vulnerabilidades de aplicaciones web publicadas por OWASP.
Recomendaciones de protección: usar firewalls, segmentar una red usando DMZ, usar recomendaciones para el desarrollo de software seguro y evitar los problemas documentados por OWASP y CWE. Escanee el perímetro externo en busca de vulnerabilidades. Supervisión de registros de aplicaciones y tráfico para detectar comportamientos anormales.
Sistema: Windows, Linux, macOS
Descripción: los complementos de hardware pueden integrarse en accesorios informáticos adicionales, equipos de red y computadoras para proporcionar a los atacantes acceso inicial. Las oportunidades para conexiones de red encubiertas, la implementación de ataques de hombre en el medio para romper los sistemas de cifrado, realizar la inyección de teclas, leer la memoria del núcleo a través de DMA, agregar una nueva red inalámbrica, etc., se pueden integrar en productos comerciales y de código abierto.
Recomendaciones de protección: implementar políticas de control de acceso a la red, como el uso de certificados para dispositivos y el estándar 802.1.x, restringir el uso de DHCP solo a dispositivos registrados, prohibir la interacción de la red con dispositivos no registrados, bloquear la instalación de dispositivos externos utilizando herramientas de protección del host (agentes de Endpoint Security para limitar la conexión de dispositivos).
Sistema: Windows
Descripción: la técnica implica la ejecución de un programa malicioso que utiliza la función de ejecución automática en Windows. Para engañar al usuario, un atacante puede modificar previamente o reemplazar un archivo "legítimo", y luego un atacante puede copiarlo en un dispositivo extraíble. Además, la carga útil puede integrarse en el firmware del dispositivo extraíble o mediante el programa inicial de formateo de medios.
Recomendaciones de protección: deshabilitar las funciones de ejecución automática en Windows. Limitar el uso de dispositivos extraíbles a nivel de la política de seguridad de la organización. Aplicación de software antivirus.
Descripción: Uso de malware adjunto a correos electrónicos de phishing. El texto de la carta, como regla, contiene una razón plausible por la cual el destinatario debe abrir el archivo en el archivo adjunto.
Recomendaciones de protección: uso de sistemas de prevención de intrusiones de red (IDS) y antivirus diseñados para escanear y eliminar archivos adjuntos maliciosos en correos electrónicos. Configure una política para bloquear formatos de archivos adjuntos no utilizados. Enseñar a los usuarios las reglas de antiphishing.
Descripción: Use enlaces de descarga de malware en correos electrónicos.
Consejos de seguridad: Verificar las URL de su correo electrónico puede ayudarlo a encontrar enlaces a sitios maliciosos conocidos. El uso de sistemas de prevención de intrusiones de red (IDS) y antivirus. Enseñar a los usuarios las reglas de antiphishing.
Descripción: en este escenario, los atacantes envían mensajes a través de diversos servicios de redes sociales, correo personal y otros servicios no controlados por la empresa.
Los atacantes pueden usar perfiles falsos en las redes sociales. redes, por ejemplo, para enviar posibles ofertas de trabajo. Esto le permite hacer preguntas a los empleados víctimas sobre las políticas y el software de la empresa, lo que obliga a la víctima a abrir enlaces maliciosos y archivos adjuntos. Por lo general, un atacante establece un contacto inicial y luego envía contenido malicioso al correo que el empleado de la compañía atacada usa en el lugar de trabajo. Si la víctima no puede iniciar el archivo malicioso, pueden darle instrucciones sobre otras acciones.
Recomendaciones de protección: bloqueo del acceso a redes sociales, servicios de correo electrónico personal, etc. Uso de listas blancas de aplicaciones, sistemas de prevención de intrusiones de red (IDS) y antivirus. Enseñar a los usuarios las reglas de antiphishing.
Descripción: el escenario implica la introducción de diversos exploits, puertas traseras y otras herramientas de piratas informáticos en software y equipos informáticos en la etapa de suministro de software y equipos informáticos a la empresa atacada. Posibles vectores de ataque:
- Manipulaciones con herramientas y entornos de desarrollo de software;
- Trabajar con repositorios de código fuente;
- Manipulaciones con actualización de software y mecanismos de distribución;
- Compromiso e infección de las imágenes del sistema operativo;
- Modificación de software legal;
- Venta de productos modificados / falsificados por un distribuidor legal;
- Intercepción en la etapa de envío.
Por lo general, los atacantes se centran en introducir componentes maliciosos en los canales de distribución y actualizaciones de software.
Recomendaciones de protección: Aplicación de un sistema de gestión de riesgos en la cadena de suministro (SCRM) y un sistema de gestión del ciclo de vida de desarrollo de software (SDLC). Uso de procedimientos binarios de control de integridad de archivos binarios, escaneo antivirus de distribuciones, prueba de software y actualizaciones antes de la implementación, examen físico del equipo comprado, medios con distribuciones de software y documentación que lo acompaña para detectar fraude.
Descripción: los atacantes pueden usar organizaciones que tienen acceso a la infraestructura de la presunta víctima. A menudo, las empresas utilizan una conexión de red menos segura para comunicarse con un tercero de confianza que el acceso estándar a la empresa desde el exterior. Ejemplos de terceros de confianza: contratistas de servicios de TI, proveedores de servicios de seguridad, contratistas de infraestructura. Además, las cuentas utilizadas por una parte confiable para acceder a la red de la empresa pueden verse comprometidas y utilizadas para el acceso inicial.
Recomendaciones de protección: segmentación de red y aislamiento de componentes de infraestructura críticos que no requieren un amplio acceso desde el exterior. Gestión de cuentas
registros y permisos utilizados por las partes en una relación de confianza. Revise las políticas y procedimientos de seguridad de las organizaciones contratadas que requieren acceso privilegiado. Actividades de seguimiento realizadas por terceros proveedores y representantes.
Descripción: los atacantes pueden robar las credenciales de una cuenta de usuario o servicio específica mediante
credenciales de acceso , capturar credenciales en el proceso de inteligencia mediante ingeniería social. Las credenciales comprometidas se pueden usar para omitir los sistemas de control de acceso y obtener acceso a sistemas remotos y servicios externos, como VPN, OWA, Escritorio remoto, o para obtener privilegios elevados en sistemas y áreas específicos de la red. Si el escenario es exitoso, los atacantes pueden rechazar
malware para que sea difícil de detectar. Además, los atacantes pueden crear cuentas usando nombres y contraseñas predefinidos para mantener el acceso de respaldo en caso de intentos fallidos de usar otros medios.
Recomendaciones de protección: aplique una política de contraseña, siga las recomendaciones para diseñar y administrar una red corporativa para limitar el uso de cuentas privilegiadas en todos los niveles administrativos. Controles regulares de las cuentas de dominio y locales y sus derechos para identificar aquellos que podrían permitir a un atacante obtener un amplio acceso. Monitoreo de la actividad de la cuenta utilizando sistemas SIEM.
La siguiente parte discute las tácticas utilizadas en la fase de ejecución.