Combatiendo el Ransomware con MITRE Shield
Por Juan Carlos Vázquez Pesina, Director Regional de Attivo Networks, Inc.
Detectar a los atacantes de manera temprana mientras estos utilizan tácticas avanzadas para moverse lateralmente, cifrar sistemas críticos y comprometer datos es fundamental para limitar el daño que pueden causar y MITRE Shield es una herramienta disponible para hacer frente al atacante.
El ransomware es un delito en constante evolución en el que los ciber actores malintencionados cifran los datos y luego exigen un rescate a cambio de que la víctima los recupere. El ransomware tradicional se propaga a través de varios métodos, a menudo a través de correos electrónicos maliciosos, unidades de almacenamiento extraíbles o enlaces infectados. Los recientes ataques de ransomware, denominados Ransomware 2.0 que desde el inicio de la pandemia aumentaron en casi un 500% acorde a reportes, emplean métodos avanzados o tienen un “controlador humano” que dirige sus actividades. Como resultado, estos ataques dedican mucho más tiempo a realizar descubrimientos para identificar los activos críticos o de “alto valor” para el negocio, para luego comprometerlos. Debido a su importancia, es más probable que la organización pague para recuperar estos activos que comparado con los sistemas de punto final, y un ejemplo claro fue el caso del operador de oleoductos más importante del país Colonial Pipeline que se vio en la necesidad de pagar más de 4MDD para intentar recuperar los sistemas críticos. Debido a su importancia, es más probable que la organización pague para recuperar estos activos que comparado con los sistemas de punto final. Además, estos atacantes a menudo exfiltran datos y amenazan con liberarlos para inducir el pago de un rescate, a menudo exigiendo un segundo rescate para evitar la divulgación de la información. Lo interesante para el defensor es que muchas de estas campañas de ransomware tienen patrones de ataque similares o comparten las mismas estrategias de compromiso durante su desarrollo. Aprovechan las mismas debilidades, destacando algunas lecciones clave en seguridad, en particular, que estos ataques a menudo se pueden evitar cuando se aplican las correctas medidas en las pocas oportunidades de detección que existen.
MITRE ATT&CK Y SHIELD
El “ATT&CK para las empresas” es un modelo y marco del adversario para describir las acciones de estos para comprometer y operar dentro de una red empresarial. Además, amplía el conocimiento de los defensores de la red, priorizando la defensa de la red al detallar las tácticas, técnicas y procedimientos (TTP) que utilizan las ciberamenazas para obtener acceso y ejecutar sus objetivos mientras operan dentro de los entornos empresariales. Como resultado, las organizaciones pueden utilizar el modelo para caracterizar y describir mejor el comportamiento del adversario posterior al compromiso.
El “ATT&CK”, como se le nombra coloquialmente; incorpora detalles de múltiples plataformas operativas que se encuentran comúnmente en las redes empresariales, incluidos sistemas Microsoft Windows, macOS y Linux, brindando una matriz para cada uno de estos sistemas, con una separada para sistemas móviles, nube y sistemas de control industrial (ICS).
Al inicio de este 2021, detallamos en este mismo foro que a la par del ATT&CK existe MITRE Shield, el cual describe igualmente en forma de matriz; las tácticas y técnicas fundamentales para que el defensor pueda construir una estrategia de defensa activa y que en este caso, una aplicación real sería protegerse contra los ataques de ransomware.
Desde la perspectiva de un defensor, la matriz ATT&CK proporciona un modelo de datos de cómo se debe proteger su empresa contra las amenazas de ciberseguridad. Mientras tanto, la matriz Shield proporciona las capacidades que un defensor debe desarrollar para una Defensa Activa y el enfrentamiento con el adversario en una situación posterior a la intrusión; donde el uso del ciber engaño, ocultamiento de información, alteración de respuestas y otras técnicas la conforman en sus capacidades.
El uso de ambas matrices en conjunto empodera a los defensores contra posibles riesgos y ataques, así como ayudarlos a pensar de manera creativa sobre las oportunidades que se presentan cuando un adversario utiliza una táctica, técnica o procedimiento específica (TTP), y el construir una estrategia anti-ransomware es el mejor escenario para poner en marcha estas herramientas.
MITRE SHIELD Y EL RANSOMWARE
La siguiente tabla describe las tácticas y técnicas más comunes del MITRE ATT&CK alrededor del ransomware actual 2.0 y sus correspondientes técnicas bajo MITRE Shield para abordarlas.
Las técnicas describen las cosas que los defensores pueden hacer en la defensa activa y la descripción a cada una de ellas puede ser encontrada aquí: https://shield.mitre.org/techniques/
Técnica del Ransomware |
Táctica ATT&CK |
Técnica ATT&CK (original en inglés) |
ID Técnica en Shield (original en inglés) |
Técnicas de Defensa Activa |
Explotar servidores RDP públicos |
Acceso Inicial |
T1133 - External Remote Services
|
DTE0017 - Decoy System
|
1. Los defensores pueden recibir alertas si sus aplicaciones / servidores públicos están en riesgo 2. Los defensores pueden aprender las herramientas y técnicas que emplean los operadores de ransomware para crear controles de seguridad para su detección y prevención. |
Explotar aplicaciones expuestas públicamente |
Acceso Inicial |
T1190 - Exploit Public-Facing Application
|
DTE0017 - Decoy System, DTE0013 - Decoy Diversity |
1. Los defensores pueden recibir alertas si sus aplicaciones / servidores públicos están en riesgo 2. Los defensores pueden aprender las herramientas y técnicas que emplean los operadores de ransomware para crear controles de seguridad para su detección y prevención. |
Unidad USB infectada |
Acceso Inicial |
T1200 - Hardware additions
|
DTE0022 - Isolation
|
Los defensores pueden conectar cualquier dispositivo de hardware nuevo a un entorno aislado y monitorear el comportamiento antes de conectarlo a una computadora o red empresarial. |
Ejecutar scripts de ataque (como PowerShell, Windows Cmd Shell, Visual Basic o Javascript / Jscript) |
Ejecución
|
T1059 - Command and Scripting Interpreter
|
DTE0036 - Software Manipulation DTE0034 - System Activity Monitoring |
Los defensores pueden manipular la salida de dichos scripts y comandos en su beneficio. Por ejemplo, pueden usarlo para prevenir ataques a recursos críticos, obligar a un atacante a revelar más TTPs o monitorear el ransomware para comprender su comportamiento y preparar una respuesta adecuada. |
Explotar las interfaces de programación de las aplicaciones (API) del SO nativo |
Ejecución
|
T1106 - Native API
|
DTE0036 - Software Manipulation DTE0003 - API Monitoring |
Los defensores pueden observar el comportamiento de los atacantes, influir en las acciones posteriores y aprender las técnicas de ataque que utilizan. Además, pueden interceptar comandos (llamadas al sistema o comandos nativos del sistema operativo) y alterar los resultados de dichos comandos para dirigir a un adversario en una dirección específica.
|
Armamentización mediante el empleo de archivos adjuntos en el correo electrónico, enlaces maliciosos, archivos o imágenes. |
Ejecución
|
T1204 - User Execution
|
DTE0018 - Detonate Malware
|
Los defensores pueden ejecutar ransomware en un sistema señuelo para examinar su comportamiento o potencialmente interactuar con el atacante para obtener más inteligencia. Existe una oportunidad para que un defensor estudie al atacante y recopile observaciones de primera mano sobre sus comportamientos y herramientas. |
Creación de cuentas adicionales en el sistema local o dentro de un dominio |
Persistencia
|
T1136 - Create Account
|
DTE0033 - Standard Operating Procedure
|
Los defensores deben monitorear las cuentas, los privilegios y los grupos recién creados y tomar acciones correctivas para cualquier actividad fuera de los procedimientos operativos estándar. |
Programación de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia |
Persistencia
|
T1053 - Scheduled Task
|
DTE0001 - Admin Access DTE0017 - Decoy System DTE0034 - System Activity Monitoring |
Una estrategia de defensa activa permite a los defensores capturar todas las actividades de ransomware y proporciona datos forenses profundos para la investigación. Los sistemas señuelo pueden examinar el comportamiento del ransomware cuando se ve comprometido y observar cómo realizan una tarea específica. |
Robo y abuso de las credenciales con diferentes privilegios durante el acceso inicial para evitar los controles de acceso o establecer la persistencia. |
Persistencia Escalación de Privilegios Evasión de Defensas |
T1078 - Valid Accounts
|
DTE0010 - Decoy Account, DTE0012 - Decoy Credentials DTE0008 - Burn-In |
Creación de cuentas de usuario falsas (señuelo) para que los atacantes las comprometan. En un escenario de confrontamiento con los adversarios, implemente credenciales señuelo en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use. |
Obtención de un punto inicial de apoyo a través de RDP, obtención de credenciales válidas o recopilación de hashes de contraseñas para descifrar fuera de línea |
Acceso de Credenciales
|
T1110 - Brute Force
|
DTE0034 - System Activity Monitoring
|
Supervisar los registros en busca de intentos de autenticación. Los defensores pueden detectar ataques de “password spray” y de “credential stuffing” al monitorear los registros de los eventos relacionados con los intentos de autenticación. |
Obtención de credenciales de navegadores web o del Administrador de credenciales de Windows |
Acceso de Credenciales
|
T1555 - Credentials from Password Stores
|
DTE0012 - Decoy Credentials
|
Un defensor puede crear credenciales falsas (señuelo) en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use. |
Extracción de credenciales capturando la entrada de la GUI o uso de ventanas de inicio de sesión falsas |
Acceso de Credenciales
|
T1056 - Input Capture
|
DTE0011 - Decoy Content
|
Un defensor puede enviar datos falsos a un adversario utilizando un key-logger u otra herramienta para dar forma al encuentro. |
Uso de técnicas de volcado de credenciales para obtener hashes de credenciales o contraseñas en texto plano del sistema operativo y el software |
Acceso de Credenciales
|
T1003 - OS Credential Dumping
|
DTE0012 - Decoy Credentials
|
Un defensor puede crear credenciales falsas (señuelo) en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use. |
Abuso de tickets válidos de concesión de tickets (TGT) de Kerberos y tickets obtenidos del servicio de concesión de tickets (TGS) que son vulnerables a ataques de fuerza bruta y exponen credenciales en texto plano |
Acceso de Credenciales
|
T1558 - Steal or Forge Kerberos Tickets
|
DTE0025 - Network Diversity DTE0032 - Security Controls |
Una estrategia de defensa activa proyecta varios señuelos de red de alta interacción como switches, routers, impresoras y servidores señuelo como controladores de dominio de Active Directory de Windows para las actividades posteriores de movimiento lateral. |
Extracción de las credenciales almacenadas de forma insegura o extraviadas en un sistema, incluidos los archivos en texto plano y en el registro de Windows |
Acceso de Credenciales
|
T1552 - Unsecured Credentials
|
DTE0012 - Decoy Credentials
|
Un defensor puede crear credenciales falsas señuelo en varias ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use. |
Obtención de credenciales con diferentes niveles de privilegios durante el acceso inicial para el acceso continuo a sistemas y servicios remotos, como VPN, Outlook Web Access y escritorio remoto. |
Descubrimiento
|
T1078 - Account Discovery
|
DTE0036 - Software Manipulation DTE0010 - Decoy Account DTE0013 - Decoy Diversity |
1. Los defensores pueden albergar sistemas señuelo con diferentes configuraciones de SO y software que parezcan auténticas. 2. Los defensores pueden alimentar o redirigir las solicitudes de credenciales con datos falsos para redirigir a los atacantes a un sistema de señuelo. 3. Los defensores pueden detectar la actividad de ransomware al principio del ciclo y generar alertas relevantes con información sobre las herramientas y técnicas que utiliza. |
Buscar grupos y configuración de permisos |
Descubrimiento
|
T1069 - Permission Groups Discovery
|
DTE0036 - Software Manipulation
|
Los defensores pueden manipular el software de un sistema para alterar los resultados de un atacante que enumera la información de los permisos de grupos. |
Utilización de técnicas de descubrimiento de sistemas remotos para recopilar la dirección IP, el nombre de host u otros identificadores lógicos para el movimiento lateral |
Descubrimiento
|
T1018 - Remote System Discovery
|
DTE0036 - Software Manipulation DTE0011 - Decoy Content |
1. Los defensores pueden alterar el resultado de las técnicas de descubrimiento de sistemas que utilizan los atacantes para dirigirlos a un sistema de señuelo. 2. Los defensores pueden crear rutas de navegación (breadcrumbs) para influir en los atacantes para que se involucren con los sistemas señuelos (trampas). |
Utilización de técnicas de descubrimiento de confianza de dominio para enumerar las relaciones de confianza de dominios y moverse lateralmente en entornos de bosque / multidominio de Windows |
Descubrimiento
|
T1482 - Domain Trust Discovery
|
DTE0014 - Decoy Network DTE0012 - Decoy Credentials |
Los defensores pueden crear una red de señuelos que contenga sistemas fácilmente detectables que sean atractivos para un adversario. Además, pueden incrustar credenciales engañosas en una variedad de ubicaciones para aumentar las posibilidades de que un atacante las encuentre y las use.
|
Utilización de técnicas de escaneo de puertos para descubrir servicios que se ejecutan en hosts remotos, incluidos sistemas vulnerables, para llevar a cabo la explotación remota de software. |
Descubrimiento
|
T1046 - Network Service Scanning
|
DTE0036 - Software Manipulation DTE0017 - Decoy System |
1. Los defensores pueden alterar el resultado de las técnicas de descubrimiento de sistemas para dirigir a los atacantes a un sistema señuelo. 2. Los defensores pueden implementar sistemas señuelo que ejecuten un servicio remoto (como telnet, SSH y VNC) y ver si un atacante intenta iniciar sesión en el servicio. |
Enumeración de archivos y directorios en puntos finales comprometidos para recopilar información valiosa dentro de un sistema de archivos. |
Descubrimiento
|
T1083 - File and Directory Discovery
|
DTE0011 - Decoy Content
|
Los defensores pueden implementar contenido falso para ver si un adversario intenta manipular datos en el sistema o en los dispositivos de almacenamiento conectados. También pueden generar recursos compartidos de red señuelo para ver si un atacante los usa para la entrega del “payload” o en el movimiento lateral. |
Recopilación de información valiosa de carpetas y unidades de red compartidas e identificación de posibles objetivos de interés para el movimiento lateral |
Descubrimiento
|
T1135 - Network Share Discovery
|
DTE0011 - Decoy Content DTE0013 - Decoy Diversity |
Los defensores pueden implementar contenido falso para ver si un adversario intenta manipular datos en el sistema o en los dispositivos de almacenamiento conectados. También pueden generar recursos compartidos de red señuelo para ver si un atacante los usa para la entrega de los “payloads” o en el movimiento lateral. |
Utilización de técnicas de descubrimiento de servicios del sistema para recopilar información sobre los servicios registrados. |
Descubrimiento
|
T1007 - System Service Discovery
|
DTE0003 - API Monitoring
|
Los defensores pueden monitorear y analizar las llamadas a funciones del sistema operativo para su detección y alerta. También pueden manipular el comando para mostrar servicios que un adversario esperaría ver en un sistema o mostrarles servicios inesperados. |
Explotación de los servicios remotos y obtención de acceso no autorizado a los sistemas internos |
Movimiento Lateral
|
T1210 - Exploitation of Remote Services
|
DTE0004 - Application Diversity DTE0036 - Software Manipulation |
Los defensores pueden implementar varios señuelos de aplicaciones que imiten los servicios a nivel de producción y que parezcan atractivos para un atacante. Los defensores también pueden utilizar la manipulación del software para interceptar los comandos que ejecutan los adversarios y cambiar la salida resultante para detectar y proteger los servicios de producción. |
Uso de scripts o capacidades de intercambio de archivos para transferir herramientas u otros archivos entre sistemas en un entorno comprometido, como SMB, Windows Admin Shares o Remote Desktop Protocol |
Movimiento Lateral
|
T1570 - Lateral Tool Transfer
|
DTE0027 - Network Monitoring DTE0026 - Network Manipulation |
1. Los defensores pueden monitorear el tráfico de la red en busca de anomalías que eventualmente resulten en la transferencia de herramientas o scripts. 2. Los defensores pueden alterar la configuración de la red para interrumpir a los atacantes que intentan transferir herramientas. |
Utilización de credenciales de dominio válidas para iniciar sesión en un servicio remoto utilizando protocolos de acceso remoto como telnet, SSH y VNC |
Movimiento Lateral
|
T1021 - Remote Services
|
DTE0027 - Network Monitoring DTE0017 - Decoy System |
1. Los defensores pueden implementar monitoreo de red y alertar sobre patrones de tráfico anormales, transferencias de datos importantes o inesperadas y otras actividades que pueden revelar la presencia de un atacante. 2. Los defensores pueden implementar un sistema señuelo que ejecute un servicio remoto (como telnet, SSH y VNC) y ver si el adversario intenta iniciar sesión en el servicio. |
Uso de mecanismos de autenticación alternativo, como hashes de contraseñas, tickets Kerberos y tokens de acceso a aplicaciones para moverse lateralmente dentro de un entorno |
Movimiento Lateral
|
T1550 – Use Alternate Authentication Material |
DTE0007 – Behavioral Analytics
|
Los defensores pueden buscar anomalías en el lugar donde se autentica una cuenta y con qué se autentica para detectar intenciones potencialmente maliciosas al alertar a los defensores sobre estos intentos en tiempo real, lo que les permite elaborar una política para mitigar dichos ataques. |
Compresión y cifrado de los datos recopilados para su exfiltración |
Colección
|
T1560 – Archive Collected Data
|
DTE0036 – Software Manipulation
|
Los defensores pueden alterar las API para exponer los datos que el sistema está archivando, codificando o cifrando. Dicha capacidad también puede llevar a cabo acciones como ocultar los datos o corromperlos para inutilizarlos. |
Búsqueda de archivos de interés y datos confidenciales de los sistemas de archivos o bases de datos locales antes de la exfiltración |
Colección
|
T1005 – Data from Local System
|
DTE0030 – Pocket Litter
|
Los defensores pueden colocar datos señuelo en sistemas que incluyan documentos, entradas del registro, historial de bitácoras, historial de navegación, historial de conexiones y otros datos del usuario. Cuando los atacantes acceden a estos elementos de datos, los defensores pueden detectar el ataque de manera temprana y alertar sobre la exfiltración de datos. |
Recopilación de datos confidenciales de sistemas remotos a través de unidades compartidas de red antes de la exfiltración |
Colección
|
T1039 - Data from Network Shared Drive
|
DTE0030 - Pocket Litter DTE0030 - Pocket Litter |
Los defensores pueden albergar sistemas señuelo que aparecen como sistemas de archivos legítimos y recursos compartidos de archivos de red que pueden detectar ataques con anticipación y alertar sobre la exfiltración de datos. Puede detectar ransomware que recopila datos de un sistema o de un recurso falso compartido que está siendo monitoreado. |
Aprovechamiento de las herramientas legítimas para el acceso remoto redundante a redes comprometidas |
Comando y Control
|
T1219 - Remote Access Software
|
DTE0017 - Decoy System
|
Los defensores pueden instalar herramientas de acceso remoto en sistemas señuelo a través de la red para ver si el adversario usa estas herramientas para comando y control. |
Cifrado de archivos o datos en las unidades locales y remotas de la víctima, luego petición de una compensación monetaria de la organización objetivo a cambio del descifrado de los mismos |
Impacto
|
T1486 - Data Encrypted for Impact
|
DTE0034 - System Activity Monitoring DTE0005 - Backup and Recovery |
Los defensores pueden utilizar el monitoreo de procesos para buscar la ejecución de utilerías que se utilizan comúnmente para ransomware y otros cifrado de datos. Pueden realizar copias de seguridad de los datos con regularidad y almacenarlos fuera de línea desde el sistema. Si un adversario destruye o altera los datos, el defensor podría restaurar selectivamente los datos de la copia de seguridad para ver cómo reacciona el adversario. |
Conclusión
Mientras los ciberdelincuentes puedan ganar dinero, el ransomware seguirá siendo un problema en el futuro previsible. Las organizaciones pueden sentir que tener suficientes copias de seguridad puede ayudarles a recuperarse de las infecciones de ransomware, aunque esta no es una estrategia infalible. Es mucho mejor prevenir el compromiso en primer lugar que lidiar con los pagos de rescate, la interrupción del negocio y los costos de restaurar los servicios. Si bien las soluciones de seguridad perimetral pueden detectar el “malware común”, los ataques de ransomware avanzados demuestran repetidamente que pueden evadir estas defensas para infiltrarse e infectar los sistemas internos sin mayor complicación. Los recursos gratuitos que ofrece la organización MITRE como el ATT&CK y Shield y recientemente el proyecto D3FEND, permiten devolverle la ventaja al defensor cuando se usan en conjunto de manera estratégica.
REFERENCIAS
- MITRE Shield: https://shield.mitre.org/matrix/
- MITRE ATT&CK: https://attack.mitre.org/matrices/enterprise/
- MITRE D3FEND: https://d3fend.mitre.org/about
- MITRE Shield y la Defensa Activa: https://www.infosecuritymexico.com/es/blog/mitre-shield-y-la-defensa-activa.html
Juan Carlos Vázquez, nuestro “cyberwriter” tiene 7 años de experiencia en implementación y diseño de tecnologías de Defensa Activa y puede seguirlo en twitter como @jc_vazquez.