Combatiendo el Ransomware con MITRE Shield

Detectar a los atacantes de manera temprana mientras estos utilizan tácticas avanzadas para moverse lateralmente, cifrar sistemas críticos y comprometer datos es fundamental para limitar el daño que pueden causar y MITRE Shield es una herramienta disponible para hacer frente al atacante.

Por Juan Carlos Vázquez Pesina

Director Regional de Attivo Networks, Inc.

Publicado 19/07/2021

El ransomware es un delito en constante evolución en el que los ciber actores malintencionados cifran los datos y luego exigen un rescate a cambio de que la víctima los recupere. El ransomware tradicional se propaga a través de varios métodos, a menudo a través de correos electrónicos maliciosos, unidades de almacenamiento extraíbles o enlaces infectados. Los recientes ataques de ransomware, denominados Ransomware 2.0 que desde el inicio de la pandemia aumentaron en casi un 500% acorde a reportes, emplean métodos avanzados o tienen un “controlador humano” que dirige sus actividades. Como resultado, estos ataques dedican mucho más tiempo a realizar descubrimientos para identificar los activos críticos o de “alto valor” para el negocio, para luego comprometerlos. Debido a su importancia, es más probable que la organización pague para recuperar estos activos que comparado con los sistemas de punto final, y un ejemplo claro fue el caso del operador de oleoductos más importante del país Colonial Pipeline que se vio en la necesidad de pagar más de 4MDD para intentar recuperar los sistemas críticos. Debido a su importancia, es más probable que la organización pague para recuperar estos activos que comparado con los sistemas de punto final. Además, estos atacantes a menudo exfiltran datos y amenazan con liberarlos para inducir el pago de un rescate, a menudo exigiendo un segundo rescate para evitar la divulgación de la información. Lo interesante para el defensor es que muchas de estas campañas de ransomware tienen patrones de ataque similares o comparten las mismas estrategias de compromiso durante su desarrollo. Aprovechan las mismas debilidades, destacando algunas lecciones clave en seguridad, en particular, que estos ataques a menudo se pueden evitar cuando se aplican las correctas medidas en las pocas oportunidades de detección que existen.

 

MITRE ATT&CK Y SHIELD

El “ATT&CK para las empresas” es un modelo y marco del adversario para describir las acciones de estos para comprometer y operar dentro de una red empresarial. Además, amplía el conocimiento de los defensores de la red, priorizando la defensa de la red al detallar las tácticas, técnicas y procedimientos (TTP) que utilizan las ciberamenazas para obtener acceso y ejecutar sus objetivos mientras operan dentro de los entornos empresariales. Como resultado, las organizaciones pueden utilizar el modelo para caracterizar y describir mejor el comportamiento del adversario posterior al compromiso.

El “ATT&CK”, como se le nombra coloquialmente; incorpora detalles de múltiples plataformas operativas que se encuentran comúnmente en las redes empresariales, incluidos sistemas Microsoft Windows, macOS y Linux, brindando una matriz para cada uno de estos sistemas, con una separada para sistemas móviles, nube y sistemas de control industrial (ICS).

Al inicio de este 2021, detallamos en este mismo foro que a la par del ATT&CK existe MITRE Shield, el cual describe igualmente en forma de matriz; las tácticas y técnicas fundamentales para que el defensor pueda construir una estrategia de defensa activa y que en este caso, una aplicación real sería protegerse contra los ataques de ransomware.

Desde la perspectiva de un defensor, la matriz ATT&CK proporciona un modelo de datos de cómo se debe proteger su empresa contra las amenazas de ciberseguridad. Mientras tanto, la matriz Shield proporciona las capacidades que un defensor debe desarrollar para una Defensa Activa y el enfrentamiento con el adversario en una situación posterior a la intrusión; donde el uso del ciber engaño, ocultamiento de información, alteración de respuestas y otras técnicas la conforman en sus capacidades.

El uso de ambas matrices en conjunto empodera a los defensores contra posibles riesgos y ataques, así como ayudarlos a pensar de manera creativa sobre las oportunidades que se presentan cuando un adversario utiliza una táctica, técnica o procedimiento específica (TTP), y el construir una estrategia anti-ransomware es el mejor escenario para poner en marcha estas herramientas.

 

MITRE SHIELD Y EL RANSOMWARE

La siguiente tabla describe las tácticas y técnicas más comunes del MITRE ATT&CK alrededor del ransomware actual 2.0 y sus correspondientes técnicas bajo MITRE Shield para abordarlas.

Las técnicas describen las cosas que los defensores pueden hacer en la defensa activa y la descripción a cada una de ellas puede ser encontrada aquí: https://shield.mitre.org/techniques/

Técnica del Ransomware

Táctica ATT&CK

Técnica ATT&CK (original en inglés)

ID Técnica en Shield (original en inglés)

Técnicas de Defensa Activa

Explotar servidores RDP públicos

Acceso Inicial

T1133 - External Remote Services

 

DTE0017 - Decoy System

 

 

1. Los defensores pueden recibir alertas si sus aplicaciones / servidores públicos están en riesgo

2. Los defensores pueden aprender las herramientas y técnicas que emplean los operadores de ransomware para crear controles de seguridad para su detección y prevención.

Explotar aplicaciones expuestas públicamente

Acceso Inicial

T1190 - Exploit Public-Facing Application

 

DTE0017 - Decoy System,

DTE0013 - Decoy Diversity

1. Los defensores pueden recibir alertas si sus aplicaciones / servidores públicos están en riesgo

2. Los defensores pueden aprender las herramientas y técnicas que emplean los operadores de ransomware para crear controles de seguridad para su detección y prevención.

Unidad USB infectada

Acceso Inicial

T1200 - Hardware additions

 

DTE0022 - Isolation

 

Los defensores pueden conectar cualquier dispositivo de hardware nuevo a un entorno aislado y monitorear el comportamiento antes de conectarlo a una computadora o red empresarial.

 

Ejecutar scripts de ataque (como PowerShell, Windows Cmd Shell, Visual Basic o Javascript / Jscript)

Ejecución

 

T1059 - Command and Scripting Interpreter

 

DTE0036 - Software Manipulation

DTE0034 - System Activity Monitoring

Los defensores pueden manipular la salida de dichos scripts y comandos en su beneficio. Por ejemplo, pueden usarlo para prevenir ataques a recursos críticos, obligar a un atacante a revelar más TTPs o monitorear el ransomware para comprender su comportamiento y preparar una respuesta adecuada.

Explotar las interfaces de programación de las aplicaciones (API) del SO nativo

Ejecución

 

T1106 - Native API

 

DTE0036 - Software Manipulation

DTE0003 - API Monitoring

Los defensores pueden observar el comportamiento de los atacantes, influir en las acciones posteriores y aprender las técnicas de ataque que utilizan. Además, pueden interceptar comandos (llamadas al sistema o comandos nativos del sistema operativo) y alterar los resultados de dichos comandos para dirigir a un adversario en una dirección específica.

 

Armamentización mediante el empleo de archivos adjuntos en el correo electrónico, enlaces maliciosos, archivos o imágenes.

Ejecución

 

T1204 - User Execution

 

DTE0018 - Detonate Malware

 

Los defensores pueden ejecutar ransomware en un sistema señuelo para examinar su comportamiento o potencialmente interactuar con el atacante para obtener más inteligencia. Existe una oportunidad para que un defensor estudie al atacante y recopile observaciones de primera mano sobre sus comportamientos y herramientas.

Creación de cuentas adicionales en el sistema local o dentro de un dominio

Persistencia

 

T1136 - Create Account

 

DTE0033 - Standard Operating Procedure

 

Los defensores deben monitorear las cuentas, los privilegios y los grupos recién creados y tomar acciones correctivas para cualquier actividad fuera de los procedimientos operativos estándar.

Programación de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia

Persistencia

 

T1053 - Scheduled Task

 

DTE0001 - Admin Access

DTE0017 - Decoy System

DTE0034 - System Activity Monitoring

Una estrategia de defensa activa permite a los defensores capturar todas las actividades de ransomware y proporciona datos forenses profundos para la investigación. Los sistemas señuelo pueden examinar el comportamiento del ransomware cuando se ve comprometido y observar cómo realizan una tarea específica.

Robo y abuso de las credenciales con diferentes privilegios durante el acceso inicial para evitar los controles de acceso o establecer la persistencia.

Persistencia

Escalación de Privilegios

Evasión de Defensas

T1078 - Valid Accounts

 

DTE0010 - Decoy Account,

DTE0012 - Decoy Credentials

DTE0008 - Burn-In

Creación de cuentas de usuario falsas (señuelo) para que los atacantes las comprometan. En un escenario de confrontamiento con los adversarios, implemente credenciales señuelo en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.

Obtención de un punto inicial de apoyo a través de RDP, obtención de credenciales válidas o recopilación de hashes de contraseñas para descifrar fuera de línea

Acceso de Credenciales

 

T1110 - Brute Force

 

DTE0034 - System Activity Monitoring

 

Supervisar los registros en busca de intentos de autenticación. Los defensores pueden detectar ataques de “password spray” y de “credential stuffing” al monitorear los registros de los eventos relacionados con los intentos de autenticación.

Obtención de credenciales de navegadores web o del Administrador de credenciales de Windows

Acceso de Credenciales

 

T1555 - Credentials from Password Stores

 

DTE0012 - Decoy Credentials

 

Un defensor puede crear credenciales falsas (señuelo) en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.

Extracción de credenciales capturando la entrada de la GUI o uso de ventanas de inicio de sesión falsas

Acceso de Credenciales

 

T1056 - Input Capture

 

DTE0011 - Decoy Content

 

Un defensor puede enviar datos falsos a un adversario utilizando un key-logger u otra herramienta para dar forma al encuentro.

 

Uso de técnicas de volcado de credenciales para obtener hashes de credenciales o contraseñas en texto plano del sistema operativo y el software

Acceso de Credenciales

 

T1003 - OS Credential Dumping

 

DTE0012 - Decoy Credentials

 

Un defensor puede crear credenciales falsas (señuelo) en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.

Abuso de tickets válidos de concesión de tickets (TGT) de Kerberos y tickets obtenidos del servicio de concesión de tickets (TGS) que son vulnerables a ataques de fuerza bruta y exponen credenciales en texto plano

Acceso de Credenciales

 

T1558 - Steal or Forge Kerberos Tickets

 

DTE0025 - Network Diversity

DTE0032 - Security Controls

Una estrategia de defensa activa proyecta varios señuelos de red de alta interacción como switches, routers, impresoras y servidores señuelo como controladores de dominio de Active Directory de Windows para las actividades posteriores de movimiento lateral.

Extracción de las credenciales almacenadas de forma insegura o extraviadas en un sistema, incluidos los archivos en texto plano y en el registro de Windows

Acceso de Credenciales

 

T1552 - Unsecured Credentials

 

DTE0012 - Decoy Credentials

 

Un defensor puede crear credenciales falsas señuelo en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.

Obtención de credenciales con diferentes niveles de privilegios durante el acceso inicial para el acceso continuo a sistemas y servicios remotos, como VPN, Outlook Web Access y escritorio remoto.

Descubrimiento

 

T1078 - Account Discovery

 

DTE0036 - Software Manipulation

DTE0010 - Decoy Account

DTE0013 - Decoy Diversity

1. Los defensores pueden albergar sistemas señuelo con diferentes configuraciones de SO y software que parezcan auténticas.

2. Los defensores pueden alimentar o redirigir las solicitudes de credenciales con datos falsos para redirigir a los atacantes a un sistema de señuelo.

3. Los defensores pueden detectar la actividad de ransomware al principio del ciclo y generar alertas relevantes con información sobre las herramientas y técnicas que utiliza.

Buscar grupos y configuración de permisos

Descubrimiento

 

T1069 - Permission Groups Discovery

 

DTE0036 - Software Manipulation

 

Los defensores pueden manipular el software de un sistema para alterar los resultados de un atacante que enumera la información de los permisos de grupos.

 

Utilización de técnicas de descubrimiento de sistemas remotos para recopilar la dirección IP, el nombre de host u otros identificadores lógicos para el movimiento lateral

Descubrimiento

 

T1018 - Remote System Discovery

 

DTE0036 - Software Manipulation

DTE0011 - Decoy Content

1. Los defensores pueden alterar el resultado de las técnicas de descubrimiento de sistemas que utilizan los atacantes para dirigirlos a un sistema de señuelo.

2. Los defensores pueden crear rutas de navegación (breadcrumbs) para influir en los atacantes para que se involucren con los sistemas señuelos (trampas).

Utilización de técnicas de descubrimiento de confianza de dominio para enumerar las relaciones de confianza de dominios y moverse lateralmente en entornos de bosque / multidominio de Windows

Descubrimiento

 

T1482 - Domain Trust Discovery

 

DTE0014 - Decoy Network

DTE0012 - Decoy Credentials

Los defensores pueden crear una red de señuelos que contenga sistemas fácilmente detectables que sean atractivos para un adversario. Además, pueden incrustar credenciales engañosas en una variedad de ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.

 

Utilización de técnicas de escaneo de puertos para descubrir servicios que se ejecutan en hosts remotos, incluidos sistemas vulnerables, para llevar a cabo la explotación remota de software.

Descubrimiento

 

T1046 - Network Service Scanning

 

DTE0036 - Software Manipulation

DTE0017 - Decoy System

1. Los defensores pueden alterar el resultado de las técnicas de descubrimiento de sistemas para dirigir a los atacantes a un sistema señuelo.

2. Los defensores pueden implementar sistemas señuelo que ejecuten un servicio remoto (como telnet, SSH y VNC) y ver si un atacante intenta iniciar sesión en el servicio.

Enumeración de archivos y directorios en puntos finales comprometidos para recopilar información valiosa dentro de un sistema de archivos.

Descubrimiento

 

T1083 - File and Directory Discovery

 

DTE0011 - Decoy Content

 

Los defensores pueden implementar contenido falso para ver si un adversario intenta manipular datos en el sistema o en los dispositivos de almacenamiento conectados. También pueden generar recursos compartidos de red señuelo para ver si un atacante los usa para la entrega del “payload” o en el movimiento lateral.

 

Recopilación de información valiosa de carpetas y unidades de red compartidas e identificación de posibles objetivos de interés para el movimiento lateral

Descubrimiento

 

T1135 - Network Share Discovery

 

DTE0011 - Decoy Content

DTE0013 - Decoy Diversity

Los defensores pueden implementar contenido falso para ver si un adversario intenta manipular datos en el sistema o en los dispositivos de almacenamiento conectados. También pueden generar recursos compartidos de red señuelo para ver si un atacante los usa para la entrega de los “payloads” o en el movimiento lateral.

Utilización de técnicas de descubrimiento de servicios del sistema para recopilar información sobre los servicios registrados.

Descubrimiento

 

T1007 - System Service Discovery

 

DTE0003 - API Monitoring

 

Los defensores pueden monitorear y analizar las llamadas a funciones del sistema operativo para su detección y alerta.

También pueden manipular el comando para mostrar servicios que un adversario esperaría ver en un sistema o mostrarles servicios inesperados.

 

Explotación de los servicios remotos y obtención de acceso no autorizado a los sistemas internos

Movimiento Lateral

 

T1210 - Exploitation of Remote Services

 

DTE0004 - Application Diversity

DTE0036 - Software Manipulation

Los defensores pueden implementar varios señuelos de aplicaciones que imiten los servicios a nivel de producción y que parezcan atractivos para un atacante. Los defensores también pueden utilizar la manipulación del software para interceptar los comandos que ejecutan los adversarios y cambiar la salida resultante para detectar y proteger los servicios de producción.

Uso de scripts o capacidades de intercambio de archivos para transferir herramientas u otros archivos entre sistemas en un entorno comprometido, como SMB, Windows Admin Shares o Remote Desktop Protocol

Movimiento Lateral

 

T1570 - Lateral Tool Transfer

 

DTE0027 - Network Monitoring

DTE0026 - Network Manipulation

1. Los defensores pueden monitorear el tráfico de la red en busca de anomalías que eventualmente resulten en la transferencia de herramientas o scripts.

2. Los defensores pueden alterar la configuración de la red para interrumpir a los atacantes que intentan transferir herramientas.

 

Utilización de credenciales de dominio válidas para iniciar sesión en un servicio remoto utilizando protocolos de acceso remoto como telnet, SSH y VNC

Movimiento Lateral

 

T1021 - Remote Services

 

DTE0027 - Network Monitoring

DTE0017 - Decoy System

1. Los defensores pueden implementar monitoreo de red y alertar sobre patrones de tráfico anormales, transferencias de datos importantes o inesperadas y otras actividades que pueden revelar la presencia de un atacante.

2. Los defensores pueden implementar un sistema señuelo que ejecute un servicio remoto (como telnet, SSH y VNC) y ver si el adversario intenta iniciar sesión en el servicio.

Uso de mecanismos de autenticación alternativo, como hashes de contraseñas, tickets Kerberos y tokens de acceso a aplicaciones para moverse lateralmente dentro de un entorno

Movimiento Lateral

 

T1550 – Use Alternate

Authentica­tion Material

DTE0007 – Behavioral Analytics

 

Los defensores pueden buscar anomalías en el lugar donde se autentica una cuenta y con qué se autentica para detectar intenciones potencialmente maliciosas al alertar a los defensores sobre estos intentos en tiempo real, lo que les permite elaborar una política para mitigar dichos ataques.

 

Compresión y cifrado de los datos recopilados para su exfiltración

Colección

 

T1560 – Archive Collected Data

 

DTE0036 – Software Manipulation

 

Los defensores pueden alterar las API para exponer los datos que el sistema está archivando, codificando o cifrando. Dicha capacidad también puede llevar a cabo acciones como ocultar los datos o corromperlos para inutilizarlos.

Búsqueda de archivos de interés y datos confidenciales de los sistemas de archivos o bases de datos locales antes de la exfiltración

Colección

 

T1005 – Data from Local System

 

DTE0030 – Pocket Litter

 

Los defensores pueden colocar datos señuelo en sistemas que incluyan documentos, entradas del registro, historial de bitácoras, historial de navegación, historial de conexiones y otros datos del usuario. Cuando los atacantes acceden a estos elementos de datos, los defensores pueden detectar el ataque de manera temprana y alertar sobre la exfiltración de datos.

 

Recopilación de datos confidenciales de sistemas remotos a través de unidades compartidas de red antes de la exfiltración

Colección

 

T1039 - Data from Network Shared Drive

 

DTE0030 - Pocket Litter

DTE0030 - Pocket Litter

Los defensores pueden albergar sistemas señuelo que aparecen como sistemas de archivos legítimos y recursos compartidos de archivos de red que pueden detectar ataques con anticipación y alertar sobre la exfiltración de datos. Puede detectar ransomware que recopila datos de un sistema o de un recurso falso compartido que está siendo monitoreado.

Aprovechamiento de las herramientas legítimas para el acceso remoto redundante a redes comprometidas

Comando y Control

 

T1219 - Remote Access Software

 

DTE0017 - Decoy System

 

Los defensores pueden instalar herramientas de acceso remoto en sistemas señuelo a través de la red para ver si el adversario usa estas herramientas para comando y control.

 

Cifrado de archivos o datos en las unidades locales y remotas de la víctima, luego petición de una compensación monetaria de la organización objetivo a cambio del descifrado de los mismos

Impacto

 

T1486 - Data Encrypted for Impact

 

DTE0034 - System Activity Monitoring

DTE0005 - Backup and Recovery

Los defensores pueden utilizar el monitoreo de procesos para buscar la ejecución de utilerías que se utilizan comúnmente para ransomware y otros cifrado de datos. Pueden realizar copias de seguridad de los datos con regularidad y almacenarlos fuera de línea desde el sistema. Si un adversario destruye o altera los datos, el defensor podría restaurar selectivamente los datos de la copia de seguridad para ver cómo reacciona el adversario.

Conclusión

Mientras los ciberdelincuentes puedan ganar dinero, el ransomware seguirá siendo un problema en el futuro previsible. Las organizaciones pueden sentir que tener suficientes copias de seguridad puede ayudarles a recuperarse de las infecciones de ransomware, aunque esta no es una estrategia infalible. Es mucho mejor prevenir el compromiso en primer lugar que lidiar con los pagos de rescate, la interrupción del negocio y los costos de restaurar los servicios. Si bien las soluciones de seguridad perimetral pueden detectar el “malware común”, los ataques de ransomware avanzados demuestran repetidamente que pueden evadir estas defensas para infiltrarse e infectar los sistemas internos sin mayor complicación. Los recursos gratuitos que ofrece la organización MITRE como el ATT&CK y Shield y recientemente el proyecto D3FEND, permiten devolverle la ventaja al defensor cuando se usan en conjunto de manera estratégica.

 

REFERENCIAS

 

Juan Carlos Vázquez, nuestro “cyberwriter” tiene 7 años de experiencia en implementación y diseño de tecnologías de Defensa Activa y puede seguirlo en twitter como @jc_vazquez.