Reconnaissance (Mitre ATT&CK)
Reconnaissance (MITRE ATT&CK) #
Què és Reconnaissance #
Reconnaissance - tàctica en que és recopila informació sobre la víctima abans d'intentar una intrusió. - Inclou : - OSINT - Activitats actives com escanejats i enumeració d'infraestructura exposada. - objectiu: - Identificar persones, serveis, vulnerabilitats i vies d'accés potencials.
Taula: tècniques i subtècniques representatives #
| Tècnica (resum) | Descripció breu | Subtècniques / exemples |
|---|---|---|
| OSINT / Cerca d'informació pública | Recerca d'informació disponible públicament (web, xarxes socials, arxius) per construir perfil de la víctima. | - Cerca a LinkedIn, Twitter, Facebook. - Revisió de webs corporatives i PDF públics. - Cerca de noms de correu i convencions d'usuari. |
| Search Open Websites/Domains | Explorar domini, whois i registre DNS per obtenir propietaris, subdominis i infraestructura. | - WHOIS lookup. - Enumeració de subdominis (subdomain enumeration). - Anàlisi de DNS (MX, TXT, SPF). |
| Active Scanning | Escanejar hosts i ports públics per detectar serveis exposats i versions. | - Escaneig de ports (nmap). - Banner grabbing (identificar versions). |
| Gather Victim Network Information | Identificar rangs IP, proveïdors, serveis exposats i topologia bàsica. | - Identificar IP ranges públiques. - Mapatge de CDN/servidors externs. - Reconeixement de VPN o serveis d'accés remot. |
| Gather Victim Identity Information | Recollir identitats i rols (usuari, admin) per a atacs dirigits. | - Recolecció d'adreces de correu corporatives. - Identificació de responsables (CTO, admin). |
| Phishing for Information | Enviar missatges per obtenir dades específiques (credencials, configuració) directament a víctimes. | - Spearphishing amb formularis o enllaços. - Formularis falsos per demanar credencials. |
| Search Open Technical Databases (Shodan/Censys) | Utilitzar motors tècnics per trobar dispositius i serveis exposats (IoT, bases de dades, RDP). | - Cerca de servidors RDP, Elasticsearch, MongoDB exposats. - Filtrar per signatures i versions vulnerables. |
| Acquire Infrastructure | Preparar o comprar infraestructura que s'utilitzarà posteriorment (dominis, hosting, comptes). | - Registrar dominis similars (typosquatting). - Contractar servidors a serveis cloud o VPS. |
| Third-party / Supply-chain Recon | Obtenir informació sobre proveïdors, socis o subcontractats que puguin ser vies d'atac. | - Revisar subcontratistes amb accés a sistemes. - Buscar integracions de tercers exposades. |
| Physical Reconnaissance / Dumpster Diving | Recollida d'informació fora de línia (visites, documents físics) que puguin ajudar l'atac. | - Visitar instal·lacions per observar logística. - Revisar documents descartats/contingut físic. |
Notes pràctiques (detecció i mitigació ràpida) #
- Detecció: alertes per escaneigs massius, consultes inusuals a whois/DNS, accés repetit a perfils públics des d'IPs sospitoses.
- Mitigació: minimitzar informació pública (control d'accés a posts), política d'ús d'adreces (format de correu), restringir serveis exposats, habilitar MFA i monitoritzar serveis externs (Shodan alerts).
- Recomanació per a classe: fer un petit exercici d'OSINT controlat (per exemple, recollir públicament informació d'una organització fictícia) per veure com es construeix un perfil d'atacant.
Diferències: Reconnaissance vs Footprinting vs Fingerprinting #
| Concepte | Definició | Abast (passiu / actiu) | Exemples / tècniques típiques | Eines habituals |
|---|---|---|---|---|
| Reconnaissance | Etapa ampla on l'adversari recopila qualsevol informació sobre la víctima per planificar l'atac (inclou OSINT i activitats actives). | Tant passiu com actiu. S'orienta a informació estratègica i d'alt nivell. | - Cerca a xarxes socials (LinkedIn, Twitter). - Revisar webs corporatives, fitxers públics (PDF). - Recollir adreces de correu, noms d'equips/claus. |
Navegador, Google, Bing, Google Dorks, Maltego, TheHarvester |
| Footprinting | Subetapa de reconnaissance centrada a mapar la infraestructura de l'organització: dominis, rangs IP, subdominis, serveis exposats i topologia. | Pot ser passiu (DNS, whois) o actiu (escaneig de ports). Més tècnic que la reconnaissance general. | - Enumeració de subdominis. - WHOIS i DNS lookup (MX, TXT, SPF). - Identificar rangs IP públics i CDN/hosting. |
whois, dig/host, sublist3r, amass, nmap (scan host discovery) |
| Fingerprinting | Procés tècnic i detallat per identificar l'OS, el servidor, la versió del software i configuracions; és poni-llarg (precís) i sovint previ a explotar vulnerabilitats concretes. | Majoritàriament actiu (banner grabbing, probes) però també pot ser passiu (anàlisi de trànsit). Més "fi" i orientat a signatures. | - Banner grabbing per detectar versions (HTTP, SSH). - OS fingerprinting (TTL, TCP/IP stack). - Identificació de versions d'aplicacions web i biblioteques. |
nmap (-sV, -O), curl, sslyze, WhatWeb, Wappalyzer, p0f (passiu) |
Resum ràpid (idea clau) #
- Reconnaissance = panorama ampli; recollida d'informació pública i intel·lectual.
- Footprinting = mapatge de la infraestructura (qui/què/on).
- Fingerprinting = identificar exactament què corre (quin OS, quina versió, quina configuració) per trobar exploits concrets.
Notes pràctiques (detecció i mitigació) #
- Detecció: alertes per escaneigs massius, consultes DNS inusuals, banner grabbing repetit des d'IPs externes.
- Mitigació: minimitzar informació pública, aplicar rate limiting a serveis exposats, ocultar o modificar banners (on sigui segur fer-ho), aplicar patching i MFA, monitoritzar Shodan/alerts d'exposició.
- Ètica / legal: fer sempre aquestes activitats en entorns controlats o amb autorització explícita (pentest autoritzat / laboratori). L'activitat sense permís és il·legal.