Guanyar Accés
Procés #
Guanyar accés () ==> Initial acces + Execution
| etapes clàssiques | Mitre ATT&CK |
|---|---|
| Guanyar accés | initial acces + execution |
Initial Access (MITRE ATT&CK) #
Què és (breu) #
Initial Access
- aconseguir n accés inicial a la xarxa o a un sistema de la víctima.
- Punt d'entrada que permet iniciar la resta de l'atac (execució, persistència, moviment lateral, exfiltració).
- Tècniques d'accés inicial:
- social engineering
- explotacions tècniques de serveis exposats o vulnerabilitats en la cadena de subministrament.
Taula: tècniques i subtècniques representatives #
| Tècnica | Descripció breu | Subtècniques / exemples |
|---|---|---|
| Phishing | Enviament de missatges (correu, xat) per enganyar l'usuari i induir-lo a fer una acció que doni accés. | - Spearphishing Attachment (adjunt maliciós). - Spearphishing Link (enllaç a web maliciosa). - Spearphishing via Service (missatge a través de plataformes: Slack, Teams). |
| Drive-by Compromise | Comprometre un lloc web perquè serveixi malware a visitants (explotació amb navegador o components). | - Exploit kits (en entorns controlats de laboratori). - Malvertising (anuncis maliciosos). |
| Exploit Public-Facing Application | Explotar vulnerabilitats en aplicacions accessibles des d'internet (web, APIs, serveis). | - SQLi, RCE, desbordaments (només com a concepte). - Vulnerabilitats no parchejades en CMS/servidors web. |
| Supply Chain Compromise | Comprometre un proveïdor, component o biblioteques que arriben a la víctima. | - Inserció de codi maliciós en dependències. - Compromís de repositoris o actualitzacions legítimes. |
| Valid Accounts | Accedir amb credencials legítimes (robades, filtrades o comprades). | - Ús de credencials filtrades. - Compra d'accessos a mercats il·legals. - Reutilització de contrasenyes. |
| External Remote Services | Accedir via serveis remots exposats (RDP, VPN, SSH amb credencials febles o sense MFA). | - RDP exposat. - Servidors VPN amb autenticació dèbil. - Consoles d'administració web accessibles. |
| Replication Through Removable Media | Accés a través de dispositius externs (USB) que contenen malware que s'executa quan s'insereix. | - Autorun (en entorns antics). - Exemples d'USB amb fitxers maliciosos (per a lab). |
| Trusted Relationship | Aprofitament d'una relació de confiança entre organitzacions (partner, subcontractista). | - Accés a través d'un proveïdor amb credencials vàlides. - Integracions d'API que permeten entrada directa. |
| Hardware Additions / Physical Access | Entrada física que permet comprometre un sistema (inserir dispositius, accés a ports). | - Accés físic a ports de manteniment. - Instal·lació d'un dispositiu d'intercepció (només en lab). |
| Hijack Execution Flow | Induir que un procés legítim carregui o executi codi maliciós (per exemple per mitjà d'actualitzacions compromeses). | - Abús d'actualitzacions de software. - Manipulació de càrrega legítima (sideloading). |
Detecció i mitigació ràpida #
Detecció
- Monitoritzar:
- correus
- Múltiples intents d'autenticació fallits
- Activitat anòmala en serveis públics (comportaments inusuals a RDP o VPN).
- Anàlisi d'anomalies en connexions sortints
Mitigació
- Formació i simulacions de phishing per a usuaris (reduir taxa de clics).
- Patching regular i ràpid de serveis exposats i aplicacions públiques.
- Forçar MFA en accesos remots, VPN i comptes administratius.
- Restriccions d'accés remot (accés per IPs conegudes, bastion hosts, jump boxes).
- Polítiques de contrasenyes i detecció de reuse (bloqueig d'usuaris amb contrasenyes filtrades).
- Seguretat en la cadena de subministrament: verificar signatura de paquets, validar repositoris i fer escaneig de dependències.
- Deshabilitar autorun en dispositius extraïbles i restringir ús de USB a entorns controlats.
- Segmentació de xarxa per limitar abast d'un accés inicial.
Eines i recursos defenisus #
- Sistemes d'email security (filtrat d'spam, sandboxing d'adjuntos).
- Solucions MF
- IDS/IPS, SIEM (regles per detectar anomalies d'autenticació i trànsit RDP/VPN).
- Vulnerability scanners per exposats (qualys, openvas) i monitoratge de CVEs.
Execution (MITRE ATT&CK) #
Què és Execution #
-
Córrer codi en el sistema de víctima.
-
Vector:
- Accions de l'usuari (obrir un fitxer)
- Explotació de vulnerabilitats o de l'ús d'eines i mecanismes legítims del sistema (LOLBins).
-
objectiu és obtenir un punt d'execució per després persistir, moure's lateralment o dur a terme l'impacte.
Taula: tècniques i subtècniques representatives #
| Tècnica (resum) | Descripció breu | Subtècniques / exemples |
|---|---|---|
| Command and Scripting Interpreter | Execució de comandes o scripts mitjançant intèrprets (PowerShell, cmd, bash, Python). | - PowerShell: Invoke-Expression, script obfuscat.- cmd.exe / cmd scripts: cmd /c ....- Bash / sh: bash -c '...'.- Python/Perl/Ruby: execució d'scripts locals o remots. |
| User Execution | L'usuari desencadena l'execució (obrir adjunt, executar un binari). | - Obertura d'adjunt Office amb macros. - Executar un .exe descarregat.- Fer clic en un enllaç de spearphishing (drive-by). |
| Exploitation for Client Execution | Exploitar una vulnerabilitat d'una aplicació o servei per executar codi (per exemple a través d'una web o document). | - Exploit en navegador (drive-by). - Exploit de lector de PDF / plugin. |
| Office Application Startup / Macros | Ús de macros o funcionalitats d'Office per executar codi. | - Macros VBA que descarreguen i executen payloads. - Fòrums d'autoexec en documents (Document_Open). |
| Signed Binary Proxy Execution (LOLBins) | Utilitzar binaris legítims signats per executar codi maliciós (Living-Off-The-Land). | - mshta, rundll32, regsvr32, cscript, wscript.- powershell invocat amb paràmetres ofuscats. |
| Scheduled Task / Job | Programar l'execució de tasques periòdiques per executar codi. | - schtasks a Windows.- cron a Linux.- systemd timers. |
| Service Execution | Instal·lar/abusar de serveis del sistema per executar codi amb permisos elevats. | - Crear un servei Windows que carregui un executable maliciós. - Modificar serveis existents per iniciar payloads. |
| Process Injection / Reflective Loading | Injectar codi en processos legítims per amagar execució. | - DLL injection. - Process hollowing. - Reflective PE injection. |
| Native API / CreateProcess | Utilitzar crides nadiues per crear processos i executar binaris. | - CreateProcess / ShellExecute a Windows.- fork() + exec() a Unix. |
| Container/Orchestration Exec | Execució dins de contenidors o farm de contenidors (Docker, Kubernetes). | - docker exec per executar un shell.- Execució de pods maliciosos a Kubernetes. |
Eines / vectors típics #
- PowerShell, cmd.exe, bash, Python, Perl.
- mshta.exe, regsvr32.exe, rundll32.exe, cscript.exe, wscript.exe.
- Metasploit (exploit + payload), Empire (post-exec), PsExec, winrm.
- Documents Office amb macros, PDF maliciós.
- Cron, schtasks, systemd timers, serveis Windows.
- Contenidors Docker / kubectl.
Detecció i mitigació (pràctica) #
Detecció
- Registre i monitoratge de creació de processos (Process Creation Events).
- Relacions pare-fill de processos inusuals (p. ex.
explorer.exeiniciantpowershell.exeamb paràmetres sospitosos). - Alerts d'ús de LOLBins (mshta, regsvr32, rundll32) i invocacions amb paràmetres ofuscats.
- Monitoratge d'activitat de macros (macro enable events) i descàrregues des de documents.
- EDR que detecta injecció de procés, process hollowing, i modificació de serveis.
Mitigació
- Control d'aplicacions: AppLocker / WDAC per bloquejar o restringir l'ús de LOLBins i binaris no aprovats.
- Polítiques de macro: Deshabilitar macros per defecte; permetre només macros signades o en entorns de confiança.
- Restricció d'intèrprets: Limitar l'ús de PowerShell/batch/python a comptes i equips gestionats; habilitar PowerShell Constrained Language o Logging (script block logging).
- Patching: Actualitzar aplicacions per evitar exploits client-side.
- EDR / antivirus: Eines que detectin tècniques d'injecció, process hollowing i comportaments sospitosos.
- Monitoratge de tasques programades: Inventari i detecció de noves tasques cron / schtasks.
- Least privilege: Evitar executar processos amb privilegis elevats sense necessitat.
- Seguretat de contenidors: Seguir pràctiques de seguretat per imatges, rol RBAC i revisió de pods.
- Formació d'usuaris: Evitar l'obertura d'adjunts sospitosos i reconèixer spearphishing.