TTPs y la Pirámide del Dolor

En el anterior artículo hablábamos de la importancia del concepto TTP (Tácticas, Técnicas y Procedimientos) a la hora de evaluar nuestra capacidad de detección y respuesta ante amenazas. En este artículo vamos a ahondar en otro de los motivos por los que la utilización de TTPs es crucial, y no es otro que la famosa Pirámide del Dolor.



La Pirámide del Dolor refleja la relación entre diferentes tipos de indicadores que pueden llegar a utilizarse para detectar a un adversario, frente al potencial daño que denegar dichos indicadores puede provocar a los atacantes. También refleja la dificultad de conseguir dicha inteligencia para poder usarla contra el adversario. 

En el nivel más bajo tenemos los hashes, como por ejemplo podría ser el SHA1 de un conocido fichero malicioso. Como todos sabemos, los hashes nos permiten identificar con total exactitud una muestra concreta pero su utilidad es más bien nula, ya que la modificación del hash de un fichero es trivial. Por tanto, su utilidad para un equipo de detección y respuesta es muy limitada. 

En el siguiente nivel tenemos las direcciones IP. Parecido al anterior concepto, cambiar de dirección IP es prácticamente trivial gracias a Tor, proxies, a la utilización de otros sistemas comprometidos, etc. 

Prácticamente igual de sencillo de modificar son los dominios. El mayor problema está en el registro, pero entre dominios comprometidos, los servicios de DNS dinámico, y otras diversas posibilidades un atacante puede modificar sus dominios con relativa facilidad. 

Un piso más arriba están los artefactos de red y host. Aquí entramos en un terreno que empieza a suponer un reto para los atacantes, ya que es prácticamente imposible realizar una actividad realmente significativa sin dejar rastro en los logs. A nivel de host podríamos hablar de ficheros, entradas de registro, cadenas en memoria, etc., y a nivel de red tenemos ejemplos en cadenas de user-agent concretas, patrones de URI que se repiten, tamaños de petición y/o respuesta, y otros. Muchos de estos elementos se pueden modificar, pero comienzan a ser muchos los parámetros que deben ser tenidos en cuenta para ocultar su presencia en nuestros sistemas y redes. 

Denegar el acceso a herramientas es otro paso más en la pirámide del dolor. Observar una y otra vez la misma herramienta te ayuda a generar reglas que te permiten detectarla, aunque el atacante intente realizar cambios sobre ella, modificando su hash e incluso eliminando las firmas para tu propio antivirus. En última instancia, forzamos al atacante a investigar nuevas herramientas o desarrollar una nueva. 

Finalmente, arriba del todo de la pirámide están las Tácticas, Técnicas y Procedimientos. Como hablamos en nuestra anterior entrada, a este nivel estamos definiendo a alto nivel el comportamiento del adversario. Cuando nuestra capacidad y respuesta está a este nivel, hemos sobrepasado el nivel de las herramientas. Como sabemos que el atacante utiliza técnicas de Pass-The-Hash, ya no detectamos herramientas concretas, sino que impedimos por completo el uso de esta técnica y la detectamos de forma automatizada. Ya no nos interesa si el atacante utiliza una muestra de Mimikatz con un hash u otro, si ejecuta Mimikatz en memoria con Powershell, o una herramienta propia que él mismo ha creado. Ahora somos capaces de detectar que un proceso no identificado y no firmado digitalmente por Microsoft ha interactuado con el proceso lsass.exe de una forma no esperada. 

Como vemos, cuanto más alto estemos en la Pirámide del Dolor, más efectivas serán nuestras medidas de cara a crear un entorno altamente hostil para el atacante.

No hay comentarios:

Publicar un comentario