MITRE ATT&CK: ¿Qué tácticas y técnicas emplean los ciberdelincuentes?
Tabla de contenidos
MITRE ATT&CK es un framework que sistematiza las tácticas, técnicas y procedimientos que emplean los actores hostiles
Si los Aliados lograron llevar a cabo un desembarco masivo como el de Normandía fue, en gran medida, porque la Alemania nazi no fue capaz de anticiparse a las tácticas y técnicas que pusieron en marcha para conseguir que miles de soldados se hicieran con el control del litoral de esta región francesa. Cuando se lucha contra un enemigo, es fundamental disponer de información sobre sus estrategias y procedimientos para moldear los propios y mejorar la resiliencia frente a los ataques.
Precisamente esta es la información que disecciona MITRE ATT&CK, un framework que recopila las principales tácticas, técnicas y sub-técnicas que emplean los actores maliciosos para explotar vulnerabilidades y provocar incidentes de seguridad que pongan en jaque a compañías y administraciones públicas.
Este marco de trabajo ha sido desarrollado por MITRE, una organización sin ánimo de lucro que trabaja en el desarrollo de herramientas para múltiples campos, desde las telecomunicaciones hasta la Inteligencia Artificial, pasando, claro está, por la ciberseguridad.
Desde 2014, MITRE ATT&CK proporciona un amplio conocimiento sobre la forma de actuar de los ciberdelincuentes. Facilitando, de esta forma, que las compañías y los profesionales de ciberseguridad puedan proteger a las organizaciones frente a los ciberataques y conseguir detectarlos y mitigarlos sin que afecten a la operatividad de las empresas.
A continuación, vamos analizar los pilares de MITRE ATT&CK, para entender la influencia de este framework, que ya va por su versión número 13, en el terreno de los servicios de ciberseguridad y la protección de las compañías.
1. Enfocar la ciberseguridad desde el punto de vista de los malos
A diferencia de otras metodologías que se emplean en el ámbito de la ciberseguridad, como las guías CIS, el framework del NIST o los estándares de OWASP, MITRE ATT&CK pone el acento en los malos. No se trata, por ejemplo, de poner en marcha los controles de seguridad críticos del CIS, sino en entender cómo actúan los delincuentes, qué tácticas pueden emplear para atacar a una organización y qué técnicas usan en sus actividades fraudulentas.
De hecho, MITRE ATT&CK se basa en el conocimiento y la experiencia de profesionales y empresas de todo el mundo, para ofrecer un marco de acceso abierto, que puede ser empleado por las organizaciones para construir sus estrategias de defensa.
Precisamente, este conocimiento de la comunidad de ciberseguridad se actualiza de forma continua, incorporando nuevos tácticas, técnicas y procedimientos (TTPs) detectados sobre el terreno y que las compañías deben tener en cuenta para optimizar sus estrategias de seguridad. Tal es así que MITRE ATT&CK se actualiza dos veces al año, siendo la última versión de abril de 2023.
2. Los tres dominios tecnológicos de MITRE ATT&CK
MITRE ATT&CK contempla tres grandes variantes de su framework: Enterprise, móvil y sistemas de control industrial.
- Enterprise. En este dominio tecnológico, MITRE ATT&CK incluye a las redes corporativas tradicionales, así como a las tecnologías Cloud. Para facilitar el manejo de su framework, MITRE pone a disposición de las organizaciones siete versiones diferentes de la matriz:
- PRE. Se centra solo en las dos primeras tácticas de la matriz Enterprise, es decir, aquellas que despliegan los actores maliciosos antes de iniciar el ataque y que incluyen las técnicas preparatorias: Reconocimiento y desarrollo de recursos.
- Windows
- macOS
- Linux
- Network
- Containers
- Cloud. A su vez, MITRE ATT&CK ofrece cinco versiones diferentes de esta matriz:
- Azure AD
- Office 365
- Google Workspace
- SaaS
- IaaS
- Móvil. Este dominio se centra, como resulta evidente, en los dispositivos de comunicación móviles que se emplean en el seno de las organizaciones, como los móviles de empresa. Dentro del ecosistema móvil, MITRE ATT&CK ofrece a las compañías y los profesionales de ciberseguridad dos matrices personalizadas:
- Plataforma Android, para los móviles que usen este sistema operativo.
- Plataforma iOS
- ICS. Bajo estas siglas se esconde el concepto «Industrial Control Systems» (sistemas de control industrial).
Esta personalización del framework resulta muy interesante, porque permite a las compañías adaptar esta metodología a la realidad de su infraestructura y activos IT.
Por ejemplo, si una empresa trabaja con Office 365 y, además, cuenta con otras soluciones software as a service (SaaS), puede hacer uso de ambas matrices para tener en cuenta qué tácticas y técnicas pueden emplear los actores maliciosos que deseen atacar sus activos.
Al fin y al cabo, los ciberdelincuentes no recurren a las mismas tácticas ni emplean las mismas técnicas si pretenden atacar un teléfono móvil corporativo o una plataforma Cloud.
3. Las 14 tácticas de los delincuentes
La estructura del framework de MITRE ATT&CK es muy sencilla y se articula, en el caso de las matrices Enterprise y Móvil, en torno a 14 grades tácticas empleadas por los delincuentes, que van desde el reconocimiento hasta el impacto. En lo que respecta a las tácticas del dominio ICS, el número se reduce a 12, puesto que no se contemplan las dos primeras tácticas: reconocimiento y desarrollo de herramientas.
El marco de trabajo MITRE ATT&CK define cada una de las tácticas de forma somera y lista todas las técnicas y sub-técnicas que pueden usar los adversarios de una compañía para ejecutarlas con éxito.
3.1. Reconocimiento
Los malos emplean esta táctica para recopilar información que pueda ser útil para poner en marcha acciones contra la víctima.
Los datos obtenidos a través de esta táctica son esenciales a la hora de fijar los objetivos de un ataque. Esta información incluye detalles sobre la compañía o administración pública objetivo, los profesionales que forman parte de la organización y su infraestructura IT.
Además de para fijar los objetivos, la información que se consigue durante el reconocimiento puede ser de gran ayuda a la hora de ejecutar el acceso inicial e impulsar una nueva táctica de reconocimiento en el futuro.
3.2. Desarrollo de recursos
Mediante esta táctica, los actores maliciosos desarrollan, compran o roban recursos que puedan ser útiles para ejecutar otras tácticas y cumplir con sus objetivos delictivos.
¿De qué recursos estamos hablando? Infraestructuras, cuentas de usuario, capacidades… ¿Para qué sirven? Por ejemplo, las cuentas de email se pueden emplear para realizar phishing a la víctima y ejecutar con éxito la siguiente táctica: acceso lineal.
3.3. Acceso inicial
Como resulta obvio, mediante esta táctica los actores maliciosos buscan infiltrarse en las redes corporativas. Para ello emplean técnicas que pueden estar dirigidas hacia varios vectores de entrada, de cara a obtener un punto de acceso inicial a la red. Algunas de las técnicas que se ejecutan a la hora de implementar esta táctica son el phishing, comprometer la cadena de suministro, emplear cuentas válidas o usar servicios remotos externos.
Estos puntos iniciales pueden facilitar un acceso continuo a la red, por ejemplo, empleando cuentas válidas. O bien, tratarse de accesos limitados, por ejemplo, porque la organización procede al cambio de la contraseña vulnerada.
3.4. Ejecución
Cuando los adversarios emplean esta táctica es que buscan ejecutar código malicioso en la red corporativa. Para ello, emplean técnicas que permiten ejecutar el código que controlan en un sistema, ya sea local o remoto.
Estas técnicas se combinan con otras asociadas a otras tácticas para lograr los objetivos maliciosos.
3.5. Persistencia
Una vez que los malos ya han traspasado el perímetro de seguridad, buscan persistir el máximo tiempo posible. ¿Cómo? Manteniendo el acceso a los activos a pesar de que se realicen reinicios, cambios de credenciales u otras acciones que puedan interrumpir dicho acceso.
Para ello, ponen en marcha técnicas conducentes a mantener su posición dentro de los sistemas, tales como la manipulación de cuentas, la alteración del proceso de autenticación, la sustitución o secuestro de código legítimo o la instalación de componentes maliciosos para abusar de las aplicaciones de servidor.
3.6. Escalado de privilegios
Como su propio nombre indica, con esta táctica, los actores maliciosos buscan conseguir un mayor nivel de permisos en un sistema empresarial y, así, cumplir con sus objetivos, como el secuestro de datos de los clientes de una empresa.
En muchas ocasiones los delincuentes pueden entrar en una red corporativa, pero carecen de los permisos necesarios para acceder a sus objetivos. Para ello, suelen sacar partido de las debilidades del sistema y de los problemas de configuración para intentar obtener credenciales privilegiadas.
Por sus propias características, las tácticas de persistencia y escalado de privilegios a menudo se solapan, ya que las características del sistema operativo que permiten que un adversario obtenga persistencia pueden ejecutarse en un contexto elevado, cuando un grupo delictivo lanza un ataque contra una compañía o administración pública.
3.7. Evasión de defensas
Los malos intentan no ser detectados por las capas defensivas de la organización. Para ello, han de emplear técnicas como la desinstalación las soluciones de seguridad instaladas o la ofuscación y cifrado de ficheros ejecutables o scripts. Evadir la detección es esencial para acometer los objetivos fraudulentos con éxito.
3.8. Acceso a credenciales
Esta táctica maliciosa gira en torno a la obtención o robo de nombres de usuarios y contraseñas. ¿Por qué realizan esta táctica los delincuentes? Disponer de credenciales de acceso legítimas, es decir, de usuarios reales de una red o un sistema corporativos, les puede permitir acceder a datos e información confidencial sin levantar sospechas. E, incluso, pueden emplear estos perfiles para crear nuevas cuentas a su servicio.
3.9. Descubrimiento
Al poner en marcha esta táctica, los delincuentes intentan recopilar información para conocer en profundidad el sistema y la red corporativa. ¿Por qué? Este conocimiento les permite decidir cómo actuar en función del entorno en el que se han de mover, adaptando sus tácticas y técnicas para conseguir cumplir con sus objetivos.
3.10. Movimiento lateral
Los atacantes no solo desean descubrir cómo funciona el entorno IT empresarial, sino que, en muchos casos, quieren moverse a través de él. Ahí es donde entra en juego el movimiento lateral.
El propio marco MITRE ATT&CK sostiene que, en muchas ocasiones, para conseguir cumplir con sus objetivos, los delincuentes necesitan explorar toda la red corporativa para encontrar sus targets y, además, también suele ocurrir que no basta con vulnerar un sistema, sino que es necesario vulnerar otros sistemas para alcanzar su meta.
3.11. Recolección
El título de esta táctica nos da una pista clara de en qué consiste. Los delincuentes recopilan datos que puedan ser de interés para alcanzar sus objetivos. Tras recopilar la información, es habitual que la información sea exfiltrada hacia sistemas controladores por los atacantes, pudiendo llegar a pedir un rescate por ella o hacerla pública para causar un enorme daño a la empresa.
3.12. Comando y control
Al poner en marcha esta táctica, los atacantes intentan comunicarse con los sistemas que han logrado comprometer en la infraestructura corporativa para poder controlarlos. Existen diversas vías para establecer el comando y control, así como varios niveles de ocultación para evitar ser detectados por los sistemas de detección de la compañía atacada.
3.13. Exfiltración
Como señalamos al hablar de la táctica de recolección de la información, la exfiltración consiste en robar datos de los sistemas corporativos. Los agresores suelen acometer la compresión y cifrado de los datos y emplean los canales de mando y control para sustraerlos desde la red empresarial.
3.14. Impacto
La última táctica del framework MITRE ATT&CK lleva el nombre de impacto y hace referencia a los intentos de los actores maliciosos de manipular, alterar, interrumpir e incluso destruir los sistemas de una empresa y su información.
Al poner en marcha esta táctica, los delincuentes intentan torpedear los procesos empresariales y paralizar la operatividad de la empresa a la que están atacando.
En algunos casos, en vez de buscar la parálisis de la actividad, se alteran los procesos, siempre al servicio de los objetivos fraudulentos.
4. Analizando las técnicas, sub-técnicas y procedimientos maliciosos
Si las 14 tácticas que conforman la matriz Enterprise de MITRE ATT&CK ocupan el primer escalafón del marco, las técnicas se sitúan en el segundo y representan, según MITRE ATT&CK, «cómo un adversario consigue un objetivo táctico realizando una acción».
El framework MITRE ATT&CK está compuesto, en su versión 13, por 196 técnicas y 411 sub-técnicas. Entendamos mejor esta estructura a través de un ejemplo.
La primera táctica de la matriz es, como ya señalamos antes, Reconocimiento. Dicha táctica incluye hasta 10 técnicas. La primera de estas técnicas es Escaneo activo que, a su vez, se trifurca en tres sub-técnicas:
- Escaneo de bloques IP
- Exploración de vulnerabilidades
- Escaneado de listas de palabras
De esta forma, MITRE ATT&CK realiza un mapeo exhaustivo de las técnicas y sub-técnicas que emplean los ciberdelincuentes para implementar con éxito cada una de las 14 tácticas que contempla el framework.
4.1. Relacionar las técnicas con su detección y mitigación
MITRE ATT&CK no se limita a listar las técnicas y sub-técnicas y relacionarlas con las tácticas, sino que establece una somera descripción para cada una de ellas y presenta tres aspectos clave:
- Ejemplos de procedimientos llevados a cabo por los grupos de ciberdelincuentes analizados por el framework.
- Formas de mitigar cada técnica y sub-técnica para hacer frente a los atacantes.
- Fuentes y componentes de datos que sirven para detectar las acciones maliciosas.
Por ejemplo, en el caso de la técnica de Escaneo activo, MITRE ATT&CK sostiene que:
- Mitigarla no es una tarea sencilla mediante controles preventivos. El esfuerzo debe centrarse en minimizar la cantidad y la sensibilidad de los datos disponibles a terceras partes.
- La fuente de datos que hay que tener en cuenta es el tráfico de la red, tanto en lo que respecta a su contenido como a su flujo, para detectar comportamientos anómalos.
4.2. ¿Qué pasa con los procedimientos?
El concepto TTP hace referencia, como ya indicamos al inicio del artículo, a tres conceptos clave en materia de ciberseguridad: tácticas, técnicas y procedimientos.
Las tácticas y técnicas están en el corazón de la matriz MITRE ATT&CK, pero los procedimientos también tienen cabida a través de ejemplos.
Así, al entrar en las técnicas y sub-técnicas dentro del framework, además de una descripción amplia de cada una, MITRE ATT&CK aporta ejemplos de procedimientos, basados en casos reales de grupos de ciberdelincuentes monitoreados.
Por ejemplo, para la sub-técnica Escaneo de bloques IP, el framework aporta un ejemplo de procedimiento: el grupo TeamTNT ha escaneado listas específicas de direcciones IP marcadas como objetivo. Estos delincuentes, en activo desde 2019, se han aprovechado de los recursos Cloud para desplegar mineros de criptomonedas en los entornos de sus víctimas.
De esta forma, el marco se limita a aportar ejemplos de cómo los grupos de amenazas han usado con éxito las diferentes tácticas y técnicas recopiladas en el framework, teniendo en cuenta que un solo procedimiento puede abarcar diversas técnicas y sub-técnicas, en función de las necesidades de los agresores.
5. Fuentes de datos para detectar las técnicas de los actores maliciosos
Conocer las tácticas, técnicas y procedimientos que emplean los grupos de delincuentes para lograr sus objetivos es muy importante, pero ¿cómo se detectan las técnicas antes de que los atacantes tengan éxito?
MITRE ATT&CK recopila 41 fuentes de datos, es decir información sobre las tácticas y técnicas maliciosas que se puede obtener a través de sensores y registros. Dichas fuentes de datos están conformadas por distintos componentes. Veámoslo mejor a través de un ejemplo.
El cortafuegos de una organización es una fuente de datos que permite detectar las técnicas y sub-técnicas que ponen en marcha los actores maliciosos. En el contexto de dicha fuente de datos la metodología MITRE ATT&CK define cuatro aspectos a ser monitorizados:
- Desactivación del cortafuegos o firewall.
- Enumeración de los cortafuegos disponibles y de sus reglas.
- Metadatos sobre un cortafuegos y la actividad que se registra en torno a él.
- Modificación de las reglas de un cortafuegos.
A su vez, cada uno de estos componentes es importante a la hora de detectar técnicas como: Deterioro de las defensas, Descubrimiento de software y Eliminación de indicadores.
6. Mitigaciones de las técnicas y sub-técnicas de MITRE ATT&CK
Cuando los profesionales de ciberseguridad y las compañías emplean el framework MITRE ATT&CK lo que buscan, principalmente, es mejorar su capacidad de prevención, detección y mitigación de los ciberataques.
Para cumplir con esta misión de vital importancia, no basta con conocer cuáles son las técnicas y sub-técnicas que emplean los actores maliciosos, sino que resulta fundamental contraponer a ellas mecanismos de mitigación. Por ello, el framework incorpora conceptos de seguridad y clases de tecnologías que pueden ser de gran ayuda a la hora de prevenir que una técnica se ejecute con éxito. La matriz contempla 43 mitigaciones para el dominio Enterprise. 11 para el dominio móvil y 52 para el ICS.
Lo primero que salta a la vista es que el framework no incluye una mitigación para cada técnica, sino que un mismo concepto o tecnología puede servir para prevenir y mitigar varias técnicas o sub-técnicas maliciosas. Por ejemplo, el primer concepto del listado de mitigaciones para el dominio Enterprise es Políticas de uso de cuentas.
MITRE ATT&CK recomienda que se configuren funciones relacionadas con el uso de las cuentas, tales como bloqueos de intentos de inicio de sesión. De esta forma, se pueden combatir tres técnicas diferentes: Fuerza bruta, Generación de solicitudes de autenticación multifactor y Cuentas válidas.
Es importante hacer hincapié en que este framework no establece cómo remediar vulnerabilidades o poner en marcha mecanismos y políticas de seguridad para prevenir las técnicas maliciosas, solo aporta una serie de recomendaciones en torno a conceptos y tecnologías clave que las empresas y los profesionales de ciberseguridad tienen que tener en cuenta en su misión de protección de la organización y sus activos IT.
7. Cómo operan grupos de delincuentes reales y qué software emplean
El framework MITRE ATT&CK se completa con el análisis de 138 grupos (hasta el momento) de ciberdelincuentes, que suponen una amenaza para la seguridad de las empresas, las administraciones públicas y la ciudadanía.
La información sobre estos actores maliciosos incluye:
- Grupos asociados. Muchas veces, se emplean diversas denominaciones para referirse al mismo grupo criminal. Por ejemplo, el APT28, es conocido popularmente como Fancy Bear, pero MITRE ha rastreado una decena de denominaciones más.
- Técnicas usadas. Es importante el participio, porque se recopilan las técnicas de las que existe constancia de haber sido usadas por los criminales mediante investigaciones de código abierto.
- Software que han empleado los criminales. El listado de herramientas y malware usados por cada grupo aparece asociado a las técnicas que han ejecutado.
MITRE ATT&CK contribuye a monitorear y listar a algunos de los grupos de ciberdelincuentes más peligrosos y cuyas tácticas, técnicas y procedimientos son más sofisticados, como los grupos APT, las siglas de amenaza persistente avanzada en inglés.
Así, si una compañía o profesionales de ciberinteligencia o Threat Hunting detectan un TTP asociado a un grupo, pueden llegar a descubrir quién está detrás de un ataque. Además, descubrir cómo operan es crucial para tomar medidas que bloqueen su modus operandi y les obligue a realizar cambios en su forma de proceder para lanzar nuevos ataques.
De ahí que MITRE ATT&CK sea una herramienta muy útil a la hora de combatir a los grupos APT y otras organizaciones con numerosos recursos y conocimientos avanzados, cuya capacidad de impactar de forma grave en una compañía o administración pública puede ser letal.
8. MITRE ATT&CK, una herramienta al servicio de la protección de las empresas
A la luz de lo que hemos ido relatando a lo largo de este artículo, podemos observar cómo MITRE ATT&CK resulta de gran ayuda a la hora de sistematizar la información sobre:
- Tácticas
- Técnicas y sub-técnicas
- Grupos de delincuentes, ejemplos de procedimientos y software empleados
A partir de dicha sistematización, se pueden implementar mecanismos de seguridad para detectar y prevenir los ataques. Además, el framework también presta atención a aspectos esenciales en la protección de los activos IT de una compañía:
- Las fuentes de datos que ayudan a la hora de detectar la actividad maliciosa
- Los conceptos y tecnologías que sirven para prevenir y mitigar los ataques
Esta estructura compleja e integral relaciona cada una de las 14 tácticas maliciosas con técnicas, procedimientos, grupos de delincuentes y la forma de detectarlas y combatirlas.
Por ello, MITRE ATT&CK es un framework empleado por profesionales de la ciberseguridad a nivel global, convirtiéndose en una suerte de estándar para entender cómo actúan los criminales y securizar los activos IT.
Tal es así que MITRE ATT&CK es empleado por expertos y organizaciones a la hora de acometer múltiples servicios conducentes a mejorar la resiliencia de las compañías frente a los ataques: Threat Intelligence, Threat Hunting, Threat Detection, servicios de Red Team, auditorías de seguridad web…
En definitiva, MITRE ATT&CK es una herramienta de trabajo de enorme utilidad para abordar la protección de las compañías desde la perspectiva de los ciberdelincuentes. Este framework recopila las tácticas y técnicas maliciosas conocidas hasta el momento y las sistematiza e interrelaciona, ofreciendo una amplia radiografía de cómo operan los actores maliciosos y qué aspectos han de tener en cuenta las compañías para prevenir, detectar, contener y mitigar los incidentes de seguridad.