¿Qué es la matriz MITRE ATT&CK y por qué la encontramos en muchas de las herramientas de análisis de malware? Con el paso de las décadas, los ciberataques han ido evolucionando hacia técnicas más complejas, elaboradas y difíciles de detectar. Además de los sistemas antivirus tradicionales, las compañías y organizaciones deben contar con sistemas de ciberseguridad que monitoreen y protejan de manera eficaz los sistemas.
Anteriormente y aún en la actualidad, la protección contra malwares y amenazas cibernéticas se basó en el reporte de incidentes y clasificación de vulnerabilidades. Sin embargo, en un momento histórico en el que surgen variantes de malwares avanzados a diario, es necesario contar con herramientas más potentes, como mitre att&ck.
Las herramientas de análisis y detección de malware, como la mitre att&ck framework, más efectivas son aquellas que, además de contar con bases de datos con firmas actualizadas, monitorean el comportamiento del sistema en búsqueda de actividades maliciosas. De este modo, si una amenaza penetra las barreras de seguridad, podrá ser detectada y aislada cuando comience a funcionar.
¿Cómo se pueden detectar amenazas de día cero a partir de reglas de comportamiento? ¿Qué herramientas de código abierto nos permiten hacer estos análisis? ¿Qué es mitre att&ck? En este post, daremos respuesta a estas preguntas y te explicaremos qué es la matriz MITRE ATT&CK.
¿Qué es la matriz MITRE ATT&CK?
MITRE ATT&CK es un framework de código abierto desarrollado por Mitre Corporation que cumple con la función de detectar y describir el comportamiento de una amenaza cibernética desde la perspectiva de las intenciones de un atacante. MITRE ATT&CK revela las técnicas y estrategias que utilizan los hackers de sombrero negro para atacar sistemas y, por lo tanto, ayuda en el desarrollo de mecanismo de defensa contra ellos.
La iniciativa de desarrollar este marco de trabajo surgió a partir de la evolución de la complejidad y el peligro de los ciberataques de día cero. Las antiguas reglas para clasificar vulnerabilidades y malware no eran suficientes para detener los ataques más modernos y las amenazas persistentes avanzadas de mitre att&ck. Por eso, las empresas Lockheed Martin y Mitre Corporation desarrollaron herramientas que estuviesen al día.
Lockheed Martin desarrolló un sistema similar llamado Cyber Kill Chain: una cadena de siete pasos que enseña el ciclo de vida del ciberataque. El reporte comprende desde la fase inicial, es decir, el vector de ataque, hasta fases finales como la encriptación de archivos y/o exfiltración de datos.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPara entender qué es la matriz MITRE ATT&CK y cómo surgió, describimos con mayor nivel de detalle las fases de un ciberataque:
- Vector de ataque.
- Explotación.
- Postexplotación.
- Exfiltración de datos.
- Payload.
Además, mitre att&ck es una herramienta altamente utilizada dentro de otras aplicaciones, ya que puede ser integrada en otras herramientas. Por eso, es importante saber qué es la matriz MITRE ATT&CK, ya que la encontraremos frecuentemente en herramientas de análisis de malware.
Fases de un ciberataque
Algunas aplicaciones web de análisis de malware, como Joe Sandbox o ANY.RUN, incluyen en sus reportes matrices de MITRE ATT&CK para describir las fases del ciberataque. De hecho, esta matriz es una buena herramienta para enseñarle a alguien inexperto los procedimientos que ejecuta el malware en sus sistemas. Usualmente, las fases del ciberataque incluyen:
Vector de ataque
El vector de ataque es el canal escogido por el hacker de sombrero negro para llegar al sistema de la víctima. El vector de ataque más utilizado es el correo electrónico, por medio del cual se pueden enviar enlaces y ficheros maliciosos y engañar a los usuarios para que los ejecuten.
También existen otras alternativas de mitre att&ck, como los virus troyanos, que son programas que se hacen pasar por aplicaciones gratuitas o pirateadas.
Un vector de ataque puede ser incluso sobornar a un empleado o infiltrarse en una compañía para ejecutar un malware o robar información.
Explotación
La explotación es el uso de vulnerabilidades para obtener acceso al sistema de la víctima. Las vulnerabilidades son fallos informáticos como:
- Fallos criptográficos.
- Fallos de programación.
- Fallos de configuración.
Los exploits son programas que se utilizan durante esta fase y son softwares diseñados específicamente para infiltrarse en sistemas informáticos aprovechando sus fallos de seguridad.
Postexplotación
Conocer las técnicas de postexplotación es importante para aprender qué es la matriz MITRE ATT&CK, ya que esta reconoce los siguientes procesos:
- Movimiento lateral o propagación a través de la red.
- Escalada de privilegios para ejecución de código en la máquina.
- Conexión con servidores maliciosos.
- El mitre att&ck framework reconoce la descarga de malware o ficheros sospechosos.
- Encriptación de ficheros (típico del ransomware).
Exfiltración de datos
Si observamos qué es la matriz MITRE ATT&CK, notaremos que el framework también especifica cuándo un malware roba información del sistema antes ejecutar el payload.
Payload
La última fase que debes conocer para entender qué es la matriz MITRE ATT&CK es la fase de payload, que se refiere a las tareas maliciosas finales del malware, que pueden ser encriptar archivos (en el caso de un ransomware), espiar información y actividades del sistema (spyware), utilizar la capacidad de la memoria para minar criptomonedas o generar ciberataques (botnet), entre otros.
¿Cómo aprender más?
Ahora sabes qué es la matriz MITRE ATT&CK y por qué se utiliza en ciberseguridad. Si quieres aprender más con la guía de expertos en hacking ético, análisis de malware, criptografía y mucho más, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡Inscríbete!
