Demostramos el marco de ciberseguridad ATT&CK y Shield para estrategias de seguridad y defensa activa. También cubrimos las respuestas para TryHackMe Sala MITRE.

Notas de estudio de OSCP

El curso completo y práctico de pruebas de penetración de aplicaciones web

Reflejos

De Mitre.org: “En MITRE solucionamos problemas para un mundo más seguro. A través de nuestros centros de I+D financiados con fondos federales y asociaciones público-privadas, trabajamos en todo el gobierno para abordar los desafíos a la seguridad, la estabilidad y el bienestar de nuestra nación.

"MITRE ATT&CK® es una base de conocimiento globalmente accesible sobre tácticas y técnicas adversarias basadas en observaciones del mundo real". En 2013, MITRE comenzó a abordar la necesidad de registrar y documentar TTP (tácticas, técnicas y procedimientos) comunes que los grupos APT (amenaza persistente avanzada) utilizaban contra las redes empresariales de Windows. Esto comenzó con un proyecto interno conocido como FMX (Experimento Fort Meade). Dentro de este proyecto, se encargó a profesionales de seguridad seleccionados que emularan TTP adversarios contra una red, y se recopilaron datos de los ataques a esta red. Los datos recopilados ayudaron a construir las piezas iniciales de lo que hoy conocemos como el marco ATT&CK®.

El marco ATT&CK® ha crecido y ampliado a lo largo de los años. Una expansión notable fue que el marco se centró únicamente en la plataforma Windows, pero se expandió para cubrir otras plataformas, como macOS y Linux. Muchas fuentes contribuyen en gran medida al marco, como investigadores de seguridad e informes de inteligencia de amenazas. Tenga en cuenta que esta no es sólo una herramienta para los miembros del equipo azul. La herramienta también es útil para jugadores rojos.

Si aún no lo ha hecho, navegue hasta ATT&CK® sitio web.

TTP es un acrónimo de Tácticas, Técnicas y Procedimientos:

  • La Táctica es la meta u objetivo del adversario.
  • La Técnica es cómo el adversario logra la meta u objetivo.
  • El Procedimiento es cómo se ejecuta la técnica.

Respuestas de la habitación

Además de los miembros del equipo azul, ¿quién más utilizará ATT&CK Matrix? (¿Equipos rojos, equipos purpe, gerentes de SOC?)

No

¿Cuál es el ID de esta técnica?

T1566

Con base en esta técnica, ¿qué mitigación cubre la identificación de técnicas de ingeniería social?

Entrenamiento de usuario

¿Cuáles son las fuentes de datos para la detección? (formato: fuente1, fuente2, fuente3 sin espacios después de la coma)

Ejecución de usuario

¿Qué grupos han utilizado el phishing en sus campañas? (formato: grupo1, grupo2)

Libélula

Con base en la información del primer grupo, ¿cuáles son sus grupos asociados?

TTG-4192,Yeti agachado,IRON LIBERTY,Oso energético

¿Qué software está asociado con este grupo que incluye el phishing como técnica?

PsExec

¿Cuál es la descripción de este software?

FIN5

¿Este grupo se superpone (ligeramente) con qué otro grupo?

2008

¿Cuántas técnicas se atribuyen a este grupo?

Editor de credenciales de Windows

¿Qué táctica tiene un ID de TA0003?

búsqueda ágil.

¿Cuál es el nombre de la biblioteca que es una colección de scripts Zeek (BRO)?

Persistencia

Cuál es el nombre de técnica ¿Para ejecutar ejecutables con el mismo hash y nombres diferentes?

BZAR

Examinar CAR-2013-05-004, además de Implementaciones, ¿qué información adicional se brinda a los analistas para asegurar la cobertura de esta técnica?

enmascaramiento

En Preparar, ¿qué es el ID SAC0002?

Detectar

¿Cuál es el nombre del recurso que le ayudará con la actividad de participación de la pregunta anterior?

HOJA DE TRABAJO DE PERFIL PERSONAL

¿Qué actividad de interacción provoca una respuesta específica del adversario?

Señuelos

¿Cuál es la definición de modelo de amenaza?

Una evaluación de riesgos que modela las fortalezas y debilidades de la organización.

¿Cuál es la primera técnica MITRE ATT&CK que aparece en el menú desplegable de búsqueda de ATT&CK?

Ofuscación de datos

En Relaciones Inferidas D3FEND, ¿qué produce la técnica ATT&CK de la pregunta anterior?

Tráfico de red de Internet saliente

En la Fase 1 del Plan de Emulación APT3, ¿qué aparece primero?

3

En Persistencia, ¿qué binario fue reemplazado por cmd.exe?

sethc.exe

Al examinar APT29, ¿qué marcos C2 se enumeran en la infraestructura del escenario 1? (formato: herramienta1, herramienta2)

Pupy y Meterpreter

¿Qué marco C2 figura en la infraestructura del escenario 2?

PoshC2

Examina el plan de emulación de Sandworm. ¿Qué webshell se utiliza para el Escenario 1? Verifique MITRE ATT&CK para conocer el ID del software del webshell. ¿Cuál es la identificación? (formato: webshell, identificación)

PAS,S0598

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos