Mitre Att&ck
MITRE ATT&CK #
Què és? #
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) -Marc de referència creat per l’organització MITRE
- Recopila tàctiques, tècniques i procediments (TTPs) utilitzats per actors maliciosos en atacs reals.
- Objectiu: oferir al blue team una visió detallada del comportament de l’adversari, més enllà dels simples indicadors de compromís.
Utilitzat en:
- Red Teaming i Blue Teaming
- Detecció i resposta d’incidents
- Avaluació de seguretat
- Cyberthreat intelligence
- convertir dades en inteligencia sobre amenaces informàtiques amb l'objectiu de prevenir atacs
Tàctiques principals a MITRE ATT&CK #
- No fases lineals --> ATT&CK defineix tàctiques (objectius de l’adversari). Les més rellevants són:
- Reconnaissance → Identificar objectius i recopilar informació (webs, xarxes socials, dominis).
- Resource Development → Crear o adquirir recursos (dominis falsos, eines, comptes compromesos).
- Initial Access → Aconseguir accés inicial (phishing, vulnerabilitats explotades, serveis exposats).
- Execution → Executar codi maliciós (scripts, macros, PowerShell).
- Persistence → Assegurar accés continu (backdoors, comptes d’usuari nous, modificacions en el registre).
- Privilege Escalation → Guanyar permisos més elevats (explotació de vulnerabilitats locals, reutilització de credencials).
- Defense Evasion → Evitar detecció (ofuscació de codi, desactivar antivirus, amagar processos).
- Credential Access → Robar credencials (keylogging, pass-the-hash, dumps de memòria).
- Discovery → Reconèixer l’entorn intern (inventari d’usuaris, sistemes, xarxes i serveis).
- Lateral Movement → Moure’s dins de la xarxa (RDP, SMB, explotació de sessions).
- Collection → Reunir informació valuosa (documents, correus, captures de pantalla).
- Command and Control (C2) → Establir comunicació amb la infraestructura de l’atacant (canals encriptats, protocols habituals com HTTPS o DNS).
- Exfiltration → Extreure dades (carregar fitxers a servidors externs, compressió i xifrat).
- Impact → Danyar o alterar sistemes (ransomware, esborrat de dades, sabotatge).
MITRE ATT&CK vs Cyber Kill Chain #
| Fase Cyber Kill Chain | Equivalència MITRE ATT&CK |
|---|---|
| 1. Reconnaissance | Reconnaissance, Resource Development |
| 2. Weaponization | Resource Development, Execution |
| 3. Delivery | Initial Access |
| 4. Exploitation | Execution |
| 5. Installation | Persistence |
| 6. Command & Control | Command and Control |
| 7. Actions on Objectives | Collection, Exfiltration, Impact |
Kill Chain : lineal i orientat a la intrusió externa.
ATT&CK: granular i dinàmic, reflectint la realitat d’un atac.
ATT&CK: granular i dinàmic, reflectint la realitat d’un atac.
MITRE ATT&CK vs fases classiques del hacking ètic #
| Fases clàssiques | Equivalència MITRE ATT&CK |
|---|---|
| 1. Reconeixement | Reconnaissance |
| 2. Escaneig / Enumeració | Discovery |
| 3. Explotació | Initial Access, Execution |
| 4. Mantenir accés | Persistence |
| 5. Escalada de privilegis | Privilege Escalation |
| 6. Moviment lateral | Lateral Movement |
| 7. Evasió / Ocultament | Defense Evasion |
| 8. Robatori de dades | Collection, Exfiltration |
| 9. Impacte final | Impact |
- Les fases clàssiques descriuen un cicle lògic i simplificat.
- MITRE ATT&CK detalla tàctiques i tècniques concretes (phishing, pass-the-hash, PowerShell, etc.).