En el entorno actual, donde las amenazas cibernéticas evolucionan constantemente, contar con una estrategia de defensa proactiva es crucial para cualquier empresa.
El marco MITRE ATT&CK® es una herramienta poderosa que permite a las organizaciones conocer y anticipar los métodos más comunes que los atacantes utilizan para comprometer los sistemas. Este marco ofrece una guía exhaustiva de tácticas, técnicas y procedimientos (TTPs) utilizados por los actores maliciosos, ayudando a los equipos de seguridad a identificar vulnerabilidades y fortalecer sus defensas.
Soluciones como SentinelOne combinan capacidades avanzadas de detección y respuesta en endpoints (EDR) con inteligencia artificial, permitiendo a las organizaciones defenderse de amenazas complejas en tiempo real.
Aquí te presentamos algunas de las técnicas de ataque más importantes que toda empresa debe conocer para mantener su entorno seguro:
T1055: Inyección de procesos (Process Injection)
La inyección de procesos es una técnica avanzada utilizada por los atacantes para insertar código malicioso en un proceso legítimo en ejecución. Al hacerlo, los atacantes pueden ejecutar el código malicioso dentro del contexto de un proceso confiable, lo que complica la detección por parte de las soluciones de seguridad.
Algunas variantes comunes de esta técnica son:
- Inyección de DLL (DLL Injection): Insertar una biblioteca dinámica maliciosa en el espacio de direcciones de un proceso legítimo.
- Process Hollowing: Crear un nuevo proceso suspendido y reemplazar su contenido por código malicioso.
- Thread Execution Hijacking: Redirigir la ejecución de un hilo dentro de un proceso para ejecutar el código del atacante.
¿Cómo protegerse de la inyección de procesos?
Las soluciones de detección y respuesta en endpoints (EDR) que monitorizan comportamientos inusuales de procesos son esenciales para identificar estas técnicas. El análisis continuo y la segmentación de permisos son clave para evitar que el malware explote procesos legítimos.
T1562: Desactivación de defensas (Impair Defenses)
Este método consiste en que los atacantes intentan neutralizar o desactivar las defensas de seguridad del sistema, como antivirus, firewalls o herramientas de detección y respuesta. Este tipo de ataque permite que el malware permanezca más tiempo en la red sin ser detectado, aumentando su capacidad destructiva.
Ejemplos de esta técnica son:
- Desactivar las políticas de seguridad que protegen contra malware.
- Manipular registros del sistema o servicios de antivirus para detener su funcionamiento.
- Cambiar las configuraciones del firewall para permitir el tráfico malicioso.
¿Cómo protegerse de la desactivación de defensas?
El monitoreo continuo de las configuraciones de seguridad y auditorías periódicas de los sistemas de defensa son esenciales para evitar que los atacantes puedan desactivar las protecciones. Además, es recomendable contar con herramientas que verifiquen la integridad de los servicios de seguridad en ejecución.
T1486: Cifrado de datos para impacto (Data Encrypted for Impact)
El cifrado de datos para impacto es una técnica comúnmente utilizada en ataques de ransomware. Los atacantes cifran los archivos críticos de una organización y luego exigen un rescate para liberar la clave de descifrado.
Algunos métodos de cifrado que utiliza este ataque cibernético son:
- Cifrado simétrico: Utiliza la misma clave para cifrar y descifrar, como el algoritmo AES.
- Cifrado asimétrico: Usa una clave pública para cifrar y una privada para descifrar, como el algoritmo RSA.
¿Cómo protegerse del cifrado de datos para impacto?
Implementar copias de seguridad inmutables es una de las mejores defensas contra estos ataques. Además, las empresas deben realizar ejercicios regulares de restauración de datos y garantizar que las copias de seguridad no estén accesibles desde la red principal.
T1071: Protocolo de capa de aplicación (Application Layer Protocol)
Los atacantes utilizan protocolos de red comunes, como HTTP, DNS o SMTP, para enviar comandos a los sistemas comprometidos o exfiltrar datos sin levantar sospechas. Dado que estos protocolos son ampliamente utilizados y aceptados en las redes corporativas, es más fácil que los atacantes oculten sus actividades dentro del tráfico legítimo.
Algunos ejemplos son:
- Usar tráfico HTTPS cifrado para ocultar las comunicaciones entre el malware y su servidor de control.
- Exfiltrar datos mediante consultas DNS, camuflados en resoluciones de nombres de dominio.
¿Cómo protegerse del protocolo de capa de aplicación?
Las soluciones de inspección profunda de paquetes (DPI) pueden detectar estas actividades sospechosas en el tráfico de red. Además, es esencial contar con herramientas que monitoricen el uso anómalo de protocolos y que alerten sobre comportamientos inusuales.
T1027: Ocultación de archivos o información (Obfuscated Files or Information)
La ocultación de archivos es una técnica comúnmente utilizada para evitar la detección. Los atacantes ofuscan los archivos maliciosos mediante la compresión, el cifrado o el uso de técnicas como la codificación Base64 para ocultar la naturaleza real del archivo.
Algunos ejemplos de los métodos de ocultación son:
- Cifrado de scripts para que no puedan ser analizados fácilmente.
- Uso de empaquetadores para cambiar la firma de los archivos y evitar ser detectados por antivirus.
- Incrustar código malicioso dentro de archivos multimedia o documentos.
¿Cómo protegerse de la ocultación de archivos o información?
Las soluciones avanzadas de análisis de código y de malware que realizan análisis tanto estáticos como dinámicos son clave para identificar este tipo de amenazas. El uso de soluciones que monitoricen el comportamiento en lugar de solo depender de firmas es esencial para detectar malware ofuscado.
T1003: Robo de credenciales del sistema operativo (OS Credential Dumping)
Una vez que los atacantes logran acceder a un sistema, una de sus prioridades es obtener las credenciales de los usuarios para moverse lateralmente dentro de la red. La técnica de «credential dumping» permite extraer contraseñas almacenadas, hashes o tokens de autenticación.
Algunas de las herramientas más comunes que utilizan son:
- Mimikatz: Herramienta usada para extraer credenciales directamente desde la memoria.
- Volcado de LSASS: Obtener las credenciales almacenadas en el proceso LSASS.
¿Cómo protegerse del robo de credenciales del sistema operativo?
La segmentación de redes y la implementación de autenticación multifactorial (MFA) son dos de las medidas más efectivas para mitigar los riesgos asociados con el robo de credenciales. También es esencial supervisar continuamente las solicitudes de acceso a privilegios elevados.
En conclusión, las técnicas descritas del marco MITRE ATT&CK® son una pequeña muestra del vasto conjunto de tácticas que los atacantes pueden emplear para comprometer los sistemas de una empresa. Al mantenerse informado sobre estas técnicas y adoptar un enfoque proactivo hacia la ciberseguridad, las empresas pueden mejorar significativamente su capacidad para detectar y mitigar amenazas, protegiendo así sus activos críticos.
