MITRE ATT&CK se creó en 2013. La pregunta clave para los investigadores era “¿Qué tan bien estamos haciendo para detectar el comportamiento documentado de los adversarios?” Para responder a esa pregunta, los investigadores desarrollaron ATT&CK, que se utilizó como herramienta para categorizar el comportamiento de los adversarios.

Parte de los mecanismos y algunas de las utilidades que se describen a continuación pueden encontrarse fácilmente dentro del marco ATT&CK de MITRE.

a) Las opciones obvias

Si se indaga en los datos forenses que hay detrás de varios ciberataques, de repente se encontrará con un montón de herramientas típicas de hacking que son utilizadas tanto por los hackers legítimos como por los ciberdelincuentes. La mayoría utiliza algunas herramientas de código abierto y de terceros para realizar sus ataques. Han enumerado varias de ellas a continuación:

• Advanced IP Scanner
• Bloodhound
• Cobalt Strike
• Defender Control
• Impacket
• LaZagne
• Mimikatz
• NirSoft Password Recovery Tools
• ProcDump
• PsExec
• PowerShell Empire
• PowerSploit

Estas herramientas son muy utilizadas por los ciberdelincuentes, los hackers legítimos y también, por supuesto, por los administradores de red normales. Por cierto, esta lista no está completa, sólo da una visión general interesante de lo que se está utilizando.

Sin embargo, si se profundiza en el mundo de los hackers y los ciberdelincuentes, la mayoría de ellos utilizan lo que está ampliamente disponible en la propia red de MS Windows. Como la mayoría de las herramientas están disponibles y son usadas por administradores o scripts dentro de la empresa, esto también explica por qué los ataques basados en esto son más difíciles de detectar. Varias Utilidades de MS Windows están siendo utilizadas ampliamente por los atacantes. Lo bueno es que aunque los atacantes más sofisticados sigan utilizando este tipo de técnicas y utilidades, siempre habrá esperanza para atraparlos.

La mayoría de las herramientas que se utilizan son comunes y son herramientas que la mayoría de los administradores de TI están utilizando en sus propias redes. ¿Pero no es eso una buena señal? ¿No podríamos evitar ejecutar estas herramientas en nuestras redes? Esto no es necesariamente una buena noticia, por las razones en las que entraremos.

Echemos un vistazo más profundo a varias de estas utilidades y permítanme explicar en pocas palabras cómo se utilizan. Las utilidades estándar de MS Windows son en realidad una de las herramientas más utilizadas por los actores de malware y amenazas, desde el descubrimiento y el movimiento lateral hasta la persistencia y mucho más …

(sólo un resumen en orden aleatorio – la mayoría de las descripciones provienen de la documentación técnica de Microsoft)

• Schtasks (schtasks.exe)
  Permite a un administrador crear, eliminar, consultar, modificar, ejecutar y finalizar tareas programadas en un equipo local o remoto.Utilizado por el malware y los ciberdelincuentes como mecanismo de persistencia en la red.
• Nltest (nltest.exe)
  Prueba de ubicación de red – Enumera los controladores de dominio, fuerza un apagado remoto, consulta el estado de la confianza, prueba las relaciones de confianza y el estado de la replicación del controlador de dominio.Esta herramienta es utilizada a menudo por los delincuentes para enumerar la confianza del directorio activo.
• Wmic (wmic.exe)
  La utilidad de línea de comandos WMI proporciona una interfaz de línea de comandos para Windows Management Instrumentation (WMI)Los atacantes pueden matar procesos, buscar procesos, eliminar copias shadow, ejecutar procesos local o remotamente, etc.
• Sc (sc.exe)
  Se comunica con el controlador de servicios y los servicios instalados. Se utiliza para desactivar, crear, eliminar o detener servicios.
• BCDEdit (bcdedit.exe)
  BCDEdit es una herramienta de línea de comandos para gestionar los almacenes de datos de configuración de arranqueUtilizado por el ransomware para desactivar las funciones de recuperación.
• Ping (ping.exe)
  Verifica la conectividad a nivel de IP con otro ordenador TCP/IP enviando mensajes de solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP).El comando ping se utiliza a menudo para ver si las máquinas están en funcionamiento.
• Red (net.exe)
  El componente de utilidad Net.exe es una herramienta de línea de comandos que controla usuarios, grupos, servicios y conexiones de red.Esta utilidad se puede utilizar para ver los recursos compartidos, crear usuarios y grupos, descubrir, ver la política de contraseñas…etc.
• Mshta (mshta.exe)
  Mshta.exe es una utilidad que ejecuta archivos de aplicaciones HTML de Microsoft (HTA).A menudo se ve en las primeras etapas de la infección de un ejecutable de Office, pero también puede verse como una técnica para eludir una lista blanca o un control de aplicaciones.
• Rundll32 (rundll32.exe)
  Este ejecutable se utiliza para cargar y ejecutar bibliotecas de enlace dinámico.Esta herramienta puede ser utilizada para ejecutar DLL’s maliciosas, JavaScript o incluso ejecutar DLL’s remotamente desde un recurso compartido.
• Systeminfo (systeminfo.exe)
  Muestra información de configuración detallada sobre un ordenador y su sistema operativo, incluyendo la configuración del sistema operativo, la información de seguridad, el ID del producto y las propiedades del hardware.Utilizado por el malware y los atacantes para el descubrimiento.
• Attrib (attrib.exe)
  Muestra, establece o elimina los atributos asignados a los archivos o directorios.Utilizado por el malware para ocultar un archivo o una carpeta.
• Reg (reg.exe)
  Reg es una utilidad de Windows utilizada para interactuar con el Registro de Windows. Puede utilizarse en la interfaz de línea de comandos para consultar, añadir, modificar y eliminar información.Es utilizado por los atacantes para permanecer en el sistema añadiendo o modificando claves o como mecanismo de consulta para comprobar si ciertas configuraciones o software están instalados y como herramienta para volcar credenciales.
• Taskkill (taskkill.exe)
  Finaliza una o varias tareas o procesos. Los procesos pueden ser terminados por el ID del proceso o por el nombre de la imagenEsta utilidad es utilizada a menudo por el malware o los atacantes para asegurarse de que otros programas, como el software de copia de seguridad o el software de seguridad, no interfieran con su trabajo.
• ICacls (icacls.exe)
  Muestra o modifica las listas de control de acceso discrecional (DACL) en archivos especificados, y aplica las DACL almacenadas a los archivos en directorios especificados.Utilizado por el malware y el ransomware para cambiar y modificar los permisos de directorios y archivos, concediendo permisos completos en archivos y carpetas en el caso del ransomware, lo que suele ser uno de los últimos pasos antes de lanzar el módulo de cifrado.
• Vssadmin (vssadmin.exe)
  Muestra las copias de seguridad de volumen actuales y todos los creadores y proveedores de copias de seguridad instalados.El ransomware suele utilizar esta herramienta para eliminar las instantáneas de disco de un ordenador y evitar así cualquier opción de restauración.

Y una de las herramientas más populares es PowerShell.exe que es el nombre del popular intérprete de lenguaje de programación y scripting. Esta herramienta de scripting de Microsoft que puede utilizarse para ejecutar comandos para descargar cargas útiles, atravesar redes comprometidas y llevar a cabo reconocimientos. Cada vez es más fácil para los atacantes aprovechar PowerShell en sus ataques con la disponibilidad de marcos de explotación basados en PowerShell, como PowerSploit y PowerShell Empire, que son fáciles de usar y reducen la barrera de entrada para utilizar PowerShell en los ataques.

Y hay muchas más herramientas de MS (Wscript , Regsvr32, etc…) que ni siquiera he mirado aquí porque esta lista ya se está haciendo demasiado extensa.

En el mundo físico, “vivir de la tierra” significa simplemente sobrevivir utilizando únicamente los recursos que se pueden cosechar de la tierra “natural”. Puede haber múltiples razones para hacerlo: por ejemplo, quieres volverte “invisible” o tal vez tienes algo o alguien de quien esconderte o simplemente te gusta el reto de ser autosuficiente. En el mundo de las tecnologías de la información, “vivir de la tierra” se refiere al comportamiento de los atacantes que utilizan herramientas que ya existen en el entorno objetivo.

Los atacantes que utilizan herramientas ya existentes evitan la necesidad de construir y probar las nuevas herramientas. No tienen que preocuparse por la compatibilidad o las dependencias. También es más barato y rápido utilizar lo que ya existe. Tampoco es tan fácil crear programas lo suficientemente sigilosos como para evitar su detección, por ejemplo. Aunque suene extraño, desarrollar programas maliciosos lo suficientemente sigilosos es casi un arte difícil de dominar. Desde el punto de vista del atacante, el uso de las herramientas existentes hace que el trabajo del defensor sea definitivamente más difícil. Como el atacante utiliza herramientas que ya están presentes en la red, cualquier actividad maliciosa rara vez se destaca de las actividades regulares.

Esta visión general muestra claramente que la mayoría de las amenazas provienen de herramientas que se utilizan ampliamente en las redes con fines administrativos. Se aconseja la supervisión diaria de la red y debería formar parte de su política de ciberseguridad. También existe la posibilidad de poner en una lista negra determinadas herramientas para que no se ejecuten. Esto podría detener varios ataques muy fácilmente. Sin embargo, distinguir entre el uso malicioso de las herramientas integradas y el uso autorizado de las herramientas por parte del administrador del sistema puede ser similar a buscar una aguja en un pajar, excepto que el pajar es realmente un montón de agujas.

Otra posibilidad es crear algunas reglas para impedir el uso de una técnica específica y basar el comportamiento de los usuarios en ella para que los usuarios medios de la red no se vean obstaculizados en su trabajo diario. Otra técnica de prevención de bloqueo de amenazas muy buena es vigilar la interacción de las claves del registro, ya que muchos programas maliciosos y atacantes hacen un mal uso del registro de muchas maneras. No siempre es fácil encontrar un proceso legítimo que ejecute código malicioso en su red. Al menos, con la ayuda del marco MITRE ATT&CK (véase más arriba) puedes tener una buena visión general de lo que puede ir mal en tu red.

No obstante, la mejor prevención es detener la amenaza antes de que llegue a su red, ya que el atacante tendrá que engañar al usuario para que ejecute algo o haga clic en el enlace o enlaces equivocados, excepto en el caso de que se trate de una vulnerabilidad. La buena noticia es que la mayoría de las amenazas pueden detenerse desde el principio mediante una buena implementación de formaciones de concienciación sobre ciberseguridad, protección de la seguridad de los puntos finales y una rápida política de gestión de parches.

El principio de toda buena estrategia de seguridad es establecer una línea de base. Esto le ayudará a crear criterios para los patrones de actividad que son normales frente a los que pueden indicar juego sucio. Sin esa línea de base es muy difícil o incluso imposible detectar actividades que justifiquen una mirada más cercana. Si se encuentra con alguna actividad sospechosa sin una línea de base, es muy probable que sea resultado de la suerte y no de una buena investigación.
Y si hay algo en lo que definitivamente no quiere confiar para la seguridad de sus redes, es en la suerte.