A medida que, gracias al trabajo de investigadores de seguridad informática, el número de publicaciones de inteligencia contra el cibercrimen aumenta año a año, surge el riesgo paralelo de que esto pueda volverse inmanejable para los administradores de IT que necesitan puntos de acción claros para defender las redes de sus organizaciones. Por ello, ordenar y conectar narrativas entre toda esta información es crucial para que los negocios comprendan los movimientos característicos de aquellos grupos de amenazas que apuntan a su segmento. Gracias al trabajo de MITRE ATT&CK, desde 2013 eso es posible.
MITRE ATT&CK es una base de conocimiento que provee a los equipos de los centros de operaciones de seguridad (SOC, por sus siglas en inglés) una fuente de inteligencia de código abierto sobre tácticas, técnicas y procedimientos (TTPs) conocidos de potenciales adversarios. Esto les permite poner a prueba su habilidad para detectar posibles amenazas y proteger sus redes. Uno de los beneficios de esta base de conocimiento es la jerarquización.
Considerando que habrá un amplio número de grupos de amenazas diferentes apuntando a su negocio u organización, quienes protegen la red pueden enfocar su trabajo en esas técnicas que emplean todos los grupos de forma coincidente – matando dos pájaros de un tiro. Al utilizar la matriz empresarial de MITRE ATT&CK, puede crearse unaestrategia alrededor de esa técnica que debe ser atendida con mayor prioridad.
Por ejemplo, imagina un SOC que está a cargo de la seguridad de campañas electorales en línea y/o sistemas de votación. Al escribir “democrático” – para buscar grupos que hayan apuntado al Comité Nacional Demócrata (DNC, por sus siglas en inglés) – en la barra de búsqueda de MITRE ATT&CK, podrá ver que tanto The Dukes (APT29) como Sednit (APT28) son sospechosos acusados de la filtración del DNC.
Al repasar las técnicas, podrá ver que tanto The Dukes como Sednit han ido obteniendo acceso a los equipos de sus víctimas mediante enlaces de spearsphishing (¿Qué es spearphishing?). Al examinar las referencias listadas junto a esta técnica en particular, descubrirá una publicación de ESET Research que detalla el procedimiento por el que Sednit envió estos correos dirigidos que distribuían URLs acortadas que apuntaban a un archivo zip y liberaban la primera fase de los componentes de Zebrocy, uno de los backdoors favoritos de Sednit, para descargar.
Detectar y bloquear dichos correos, o el malware que introducen, en un endpoint es, sin lugar a dudas, crítico para proteger los sistemas informáticos en campañas electorales y, dado que muchos tipos de malware pueden moverse lateralmente, también su red entera. Naturalmente, las publicaciones de ESET contienen IoCs, en este caso para la URL de distribución de archivos zip, el servidor C&C y hashes de malware – todos excelentes puntos de partida para realizar un análisis de su equipo. Para tener una mejor idea de la cadena de infiltraciones que comenzó con la descarga de Zebrocy, un analista de inteligencia de amenazas podría referir a la tabla de MITRE ATT&CK en nuestra publicación que lista procedimientos específicos utilizados por el grupo Sednit para acceder, ejecutar, persistir, exfiltrar y demás tácticas vistas en los ataques.
Quizás, el aspecto más importante de leer una publicación de investigación de malware es que los analistas de amenazas comprendan el comportamiento de Zebrocy y sus procedimientos en detalle. Los actores de APT como el grupo Sednit pueden rápidamente modificar sus direcciones IP, nombres de dominio y otros componentes, pero no su comportamiento. En otras palabras, comprender cómo funciona una pieza de malware y escribir una detección para ese comportamiento asegura que un actor APT no podrá ingresar sin al menos ser reconocido.
No todas las detecciones tienen la misma efectividad. No crea que escribir una simple detección cubrirá el vector de ataque adecuadamente. MITRE recomienda ordenar sus detecciones en una escala del 1 al 5 en base a pruebas rigurosas, reuniendo fuerzas para determinar qué tan efectivas son para su red y si es necesario mejorarlas.
Aprovechar las detecciones ya escritas por el equipo de investigación de ESET, es una manera simple y efectiva de impulsar las capacidades de su SOC desde el comienzo. Mediante ESET Enterprise Inspector (EEI), la solución EDR de ESET, quienes protegen la red reciben más de 300 detecciones/reglas configurables incluidas que están designadas para lanzar alarmas en su tablero de forma automática.
Por más de 30 años, los investigadores de ESET han estado analizando las últimas amenazas y escribiendo las detecciones correspondientes. En consecuencia, basándose en un amplio conocimiento del comportamiento de atacantes, los conjuntos de reglas de EEI presentan algoritmos cuidadosamente creados para detectar anomalías que develen la presencia de un adversario.
Esto se vuelve de especial importancia para mantenerse un paso adelante de tipos de malware nunca antes vistos, como LoJax, el primer rootkit de UEFI hallado en actividad (utilizado por Sednit), y DePriMon, el primer ejemplo de un malware públicamente reconocido por utilizar la técnica de Monitores de Puerto.
Un grupo formidable de investigadores de ESET ha estado contribuyendo con la base de datos MITRE ATT&CK de forma continua, revelando técnicas y procedimientos de grupos APT que no habían sido detectadas con anterioridad.
MITRE ATT&CK ha reconocido las contribuciones de los investigadores de ESET, incluyendo el descubrimiento de nuevas técnicas utilizadas por APT32 mediante un backdoor de macOS; el descubrimiento de Ebury, un backdoor de Linux capaz de robar credenciales de OpenSSH; y el descubrimiento de una nueva versión del conjunto de herramientas basado en Python de Machete, que apuntaba principalmente a Venezuela.
Otras contribuciones sobre técnicas y software en MITRE ATT&CK pueden encontrarse en los siguientes enlaces: empaquetado de software utilizado por FinFisher, notificaciones de acceso en Android OS, binary padding, el épico backdoor de Turla y contenido compartido dañado.