Aprovechar las detecciones ya desarrolladas por el equipo de investigación de malware de ESET es una forma muy efectiva de fortalecer las capacidades de tu equipo de SOC.
A medida que el volumen de inteligencia sobre cibercrimen publicada por investigadores en ciberseguridad crece año tras año, también aumenta el riesgo de que esta información se vuelva potencialmente inmanejable para los administradores de TI, que necesitan puntos de acción claros para defender las redes de sus organizaciones.
Por eso, poner orden y conectar los distintos relatos dentro de estos datos resulta clave para que las empresas puedan comprender los movimientos característicos de los grupos de amenazas que apuntan a su sector. Gracias al trabajo de MITRE ATT&CK, esto es posible desde 2013.
¿Qué es MITRE ATT&CK?
MITRE ATT&CK es una base de conocimiento que pone a disposición de los equipos de Centros de Operaciones de Seguridad (SOC) un amplio conjunto de inteligencia de código abierto sobre las tácticas, técnicas y procedimientos (TTPs) utilizados por potenciales adversarios. Esto les permite evaluar su capacidad para detectar amenazas y proteger sus redes. Uno de los principales beneficios de esta base de conocimiento es la posibilidad de priorizar.
Dado que existen múltiples grupos de amenazas que pueden estar apuntando a una empresa u organización, los defensores de red pueden enfocar sus esfuerzos en las técnicas que se superponen entre distintos actores maliciosos, logrando así una mayor eficiencia. A través de la Matriz Empresarial de MITRE ATT&CK, es posible construir una estrategia basada en las técnicas superpuestas de mayor prioridad que deben abordarse primero.
Por ejemplo, pensemos en un equipo de SOC encargado de proteger campañas electorales en línea y/o sistemas de votación. Al escribir “democratic” en la barra de búsqueda de MITRE ATT&CK para identificar grupos que hayan atacado al Comité Nacional Demócrata, se observa que tanto The Dukes (APT29) como Sednit (APT28) figuran como presuntos responsables del ataque al DNC. Sin embargo, conocer a los responsables no es suficiente, ya que la base de datos permite profundizar mucho más en el análisis.
Por qué es importante comprender las TTPs
Al recorrer las técnicas listadas, se observa que tanto The Dukes como Sednit han logrado acceso inicial a los equipos de sus víctimas mediante enlaces de spearphishing. Al profundizar en las referencias asociadas a esta técnica, se encuentra una publicación de ESET Research que detalla el procedimiento utilizado por Sednit: el envío de correos electrónicos de spearphishing que contenían URLs acortadas, las cuales apuntaban a un archivo ZIP preparado para descargar la primera etapa del backdoor favorito del grupo, Zebrocy.
Detectar y bloquear este tipo de correos, o el malware que introducen en los endpoints, resulta fundamental para proteger los sistemas informáticos de los equipos de campañas electorales y, dado que muchos tipos de malware pueden propagarse lateralmente, también para resguardar la red completa. Como es habitual, las publicaciones de ESET incluyen indicadores de compromiso (IoCs), en este caso relacionados con la URL de distribución del archivo ZIP, el servidor de comando y control (C&C) y los hashes del malware, que representan excelentes puntos de partida para realizar búsquedas dentro de la red. Para comprender mejor toda la cadena de infiltración iniciada con la descarga de Zebrocy, un analista de inteligencia de amenazas puede recurrir a la tabla de MITRE ATT&CK incluida en la publicación, donde se enumeran los procedimientos específicos que el grupo Sednit utilizó para el acceso inicial, la ejecución, la persistencia, la exfiltración y otras tácticas observadas en los ataques.
Sin embargo, quizá el aspecto más importante de analizar una publicación de investigación de malware sea que los analistas de amenazas comprendan en mayor profundidad el comportamiento y los procedimientos de Zebrocy. Actores de amenazas avanzadas como el grupo Sednit pueden cambiar rápidamente direcciones IP, nombres de dominio u otros componentes técnicos, pero no su comportamiento. En otras palabras, entender cómo se comporta una pieza de malware y desarrollar detecciones basadas en ese comportamiento aumenta significativamente las probabilidades de que un actor malicioso no pueda infiltrarse sin, al menos, ser detectado.
Fortaleciendo los SOC con la telemetría de ESET
No todas las detecciones tienen el mismo nivel de efectividad. Es importante no caer en la idea de que desarrollar una detección simple será suficiente para cubrir un vector de ataque, ya que este suele ser un error común. MITRE recomienda calificar las detecciones en una escala del 1 al 5, a partir de pruebas rigurosas mediante purple teaming, para determinar qué tan efectivas resultan en una red determinada y qué aspectos necesitan ser mejorados.
Aprovechar las detecciones ya desarrolladas por el equipo de investigación de malware de ESET es, de hecho, una forma muy efectiva y sencilla de fortalecer desde el inicio las capacidades de un equipo de SOC. A través de ESET Inspect, la solución de detección y respuesta en endpoints de ESET, los defensores de red cuentan con más de 300 detecciones y reglas configurables integradas, diseñadas para activar alertas automáticamente en su panel de control.
Desde hace más de 30 años, los investigadores de ESET analizan las amenazas más recientes y desarrollan detecciones específicas para cada una de ellas. Gracias a un profundo conocimiento del comportamiento de los adversarios, los conjuntos de reglas de ESET Inspect se basan en algoritmos cuidadosamente diseñados para identificar anomalías que delatan la presencia de un atacante.
Esto resulta especialmente relevante para mantenerse al día frente a malware nunca antes visto, como LoJax —el primer rootkit UEFI detectado en estado salvaje, utilizado por Sednit— y DePriMon, el primer ejemplo documentado públicamente de malware que emplea la técnica de Port Monitors.
ESET Research y MITRE ATT&CK
Un sólido equipo de investigadores de ESET contribuye de manera continua a la base de conocimiento de MITRE ATT&CK, aportando información clave y revelando técnicas y procedimientos previamente desconocidos utilizados por distintos grupos de amenazas.
MITRE ATT&CK ha reconocido las contribuciones de los investigadores de ESET, entre las que se destacan el descubrimiento de nuevas técnicas utilizadas por APT32 a través de un backdoor para macOS; la identificación de Ebury, un backdoor para Linux capaz de robar credenciales de OpenSSH; y el hallazgo de una nueva versión del conjunto de herramientas basado en Python de Machete, orientado principalmente a objetivos en Venezuela.
Otras contribuciones a las técnicas y al catálogo de software de MITRE ATT&CK pueden consultarse en los siguientes enlaces: técnicas de empaquetado de software utilizadas por FinFisher, notificaciones de acceso en el sistema operativo Android, binary padding, el backdoor Epic de Turla y la técnica de taint shared content.
Para conocer más sobre cómo ESET utiliza ATT&CK para mejorar la protección de endpoints, solicitá aquí la grabación de nuestro webinar conjunto con MITRE ATT&CK.