Publicada la presentación de nuestra conferencia Red (S)Team #RedTeam

Buenas a todos, en el artículo de hoy hemos querido compartir con todos vosotros la presentación que utilizamos mi compañero Diego León y yo durante nuestra intervención en el congreso HoneySec y en la que hablamos sobre Red Team.

La charla, titulada Red (S)Team (Vapor Rojo), parodiando el humo que muchos proveedores ofrecen para camuflar servicios de pentesting tradicional bajo el "novedoso" término de Red Team, tenía como objetivo ilustrar lo que realmente contempla un proceso de Red Teaming, tal y como alguna vez ya os hemos presentado en artículos como Red Teaming: terreno de pasiones, mitos y fantasías. Bajo una perspectiva constructiva, tratamos de aterrizar a la audiencia conceptos que no son conocidos por todos los interlocutores habituales del mundo ciber, como son el modelo de compromiso asumido, los TTPs (Tácticas, Técnicas y Procedimientos) o la matriz ATT&CK del MITRE, una base de datos de tácticas y técnicas detectadas en ataques realizados por adversarios reales.

La presentación podréis descargarla gratuitamente desde el siguiente enlace, o desde la página de recursos de Zerolynx:

https://www.zerolynx.com/downloads/Red%20Teaming%20-%20HoneyCON.pdf

¡Saludos!

TTPs y la Pirámide del Dolor

En el anterior artículo hablábamos de la importancia del concepto TTP (Tácticas, Técnicas y Procedimientos) a la hora de evaluar nuestra capacidad de detección y respuesta ante amenazas. En este artículo vamos a ahondar en otro de los motivos por los que la utilización de TTPs es crucial, y no es otro que la famosa Pirámide del Dolor.

La Pirámide del Dolor refleja la relación entre diferentes tipos de indicadores que pueden llegar a utilizarse para detectar a un adversario, frente al potencial daño que denegar dichos indicadores puede provocar a los atacantes. También refleja la dificultad de conseguir dicha inteligencia para poder usarla contra el adversario. 

En el nivel más bajo tenemos los hashes, como por ejemplo podría ser el SHA1 de un conocido fichero malicioso. Como todos sabemos, los hashes nos permiten identificar con total exactitud una muestra concreta pero su utilidad es más bien nula, ya que la modificación del hash de un fichero es trivial. Por tanto, su utilidad para un equipo de detección y respuesta es muy limitada. 

En el siguiente nivel tenemos las direcciones IP. Parecido al anterior concepto, cambiar de dirección IP es prácticamente trivial gracias a Tor, proxies, a la utilización de otros sistemas comprometidos, etc. 

Prácticamente igual de sencillo de modificar son los dominios. El mayor problema está en el registro, pero entre dominios comprometidos, los servicios de DNS dinámico, y otras diversas posibilidades un atacante puede modificar sus dominios con relativa facilidad. 

Un piso más arriba están los artefactos de red y host. Aquí entramos en un terreno que empieza a suponer un reto para los atacantes, ya que es prácticamente imposible realizar una actividad realmente significativa sin dejar rastro en los logs. A nivel de host podríamos hablar de ficheros, entradas de registro, cadenas en memoria, etc., y a nivel de red tenemos ejemplos en cadenas de user-agent concretas, patrones de URI que se repiten, tamaños de petición y/o respuesta, y otros. Muchos de estos elementos se pueden modificar, pero comienzan a ser muchos los parámetros que deben ser tenidos en cuenta para ocultar su presencia en nuestros sistemas y redes. 

Denegar el acceso a herramientas es otro paso más en la pirámide del dolor. Observar una y otra vez la misma herramienta te ayuda a generar reglas que te permiten detectarla, aunque el atacante intente realizar cambios sobre ella, modificando su hash e incluso eliminando las firmas para tu propio antivirus. En última instancia, forzamos al atacante a investigar nuevas herramientas o desarrollar una nueva. 

Finalmente, arriba del todo de la pirámide están las Tácticas, Técnicas y Procedimientos. Como hablamos en nuestra anterior entrada, a este nivel estamos definiendo a alto nivel el comportamiento del adversario. Cuando nuestra capacidad y respuesta está a este nivel, hemos sobrepasado el nivel de las herramientas. Como sabemos que el atacante utiliza técnicas de Pass-The-Hash, ya no detectamos herramientas concretas, sino que impedimos por completo el uso de esta técnica y la detectamos de forma automatizada. Ya no nos interesa si el atacante utiliza una muestra de Mimikatz con un hash u otro, si ejecuta Mimikatz en memoria con Powershell, o una herramienta propia que él mismo ha creado. Ahora somos capaces de detectar que un proceso no identificado y no firmado digitalmente por Microsoft ha interactuado con el proceso lsass.exe de una forma no esperada. 

Como vemos, cuanto más alto estemos en la Pirámide del Dolor, más efectivas serán nuestras medidas de cara a crear un entorno altamente hostil para el atacante.

Threat Emulation y TTPs

Una parte crucial de la Simulación de Adversarios en ciberseguridad es la utilización de TTP’s que usan los actores maliciosos reales. 

El concepto de TTP origina en la doctrina militar, y es acrónico de Tácticas, Técnicas y Procedimientos. Sin entrar en una descripción concreta de cada uno de los términos, sí que es importante entender a alto nivel dos conceptos clave:

• Las TTP sirven para caracterizar el modus operandi de un determinado adversario en el plano cyber, y para ello, describen qué es lo que hace y cómo lo hace. 

• Todos son descriptivos en su naturaleza, pero el nivel de especificación aumenta progresivamente. Así, las Tácticas son menos específicas que las Técnicas, y estas a su vez son menos específicas que los Procedimientos. En cierto modo, se comportan como una pirámide en la que cada nivel sirve para soportar al que tiene justo encima de él. 

Por ejemplo, una Táctica podría ser la obtención de un acceso inicial a la organización sin explotación de vulnerabilidades. Como vemos, es un concepto bastante genérico. Bajando un poco de nivel nos encontraríamos las Técnicas, que describen métodos de conseguir ese objetivo. En nuestro ejemplo, una técnica podría ser el uso de ataques de Spearphishing. Finalmente nos encontramos con los Procedimientos, que describen cómo el actor malicioso realiza la técnica paso a paso. Por ejemplo, el procedimiento podría ser recopilar información del sujeto a atacar, registrar un dominio parecido al de la organización, y mandar un email incluyendo un enlace que lleva a un clon de un portal corporativo con el objetivo de robar credenciales en claro que posteriormente se usarán para el acceso a la organización. 

Una parte esencial de la Simulación de Adversarios consiste en replicar con la mayor precisión posible a un actor malicioso concreto, y esto nos fuerza a conocer sus TTPs y nos restringe dentro de ese comportamiento. Utilizando estos conceptos podemos simular amenazas avanzadas dentro de nuestra organización y evaluar nuestras capacidades de detección y respuesta. 

En próximas entradas haremos hincapié en otro motivo por el cual es tan importante hacer uso de TTPs para afinar nuestros procedimientos de detección y respuesta ante amenazas.