En una entrada anterior de la presente bitácora se ha explicado el navegador ATT&CK de Mitre, implementado actualmente en la página de red del marco ATT&CK.
Dicho marco sirve para poder predecir y detectar Técnicas, tácticas y procedimientos (TTPs) de posibles ciberataques, permitiendo a los profesionales de seguridad mejorar sus capacidades de detección y prevención contra los mismos.
También se puede emplear en inteligencia de amenazas ("Threat Intelligence", en inglés), realizar evaluaciones de tecnología para identificar vulnerabilidades y brechas, y realizar simulaciones de adversarios para mejorar la preparación ante posibles ataques.
El navegador ATT&CK es una potente herramienta de este marco.
Inicialmente, Emotet era un troyano bancario; pero en la actualidad está considerado un troyano polimórfico, es decir, que cambia de forma cada cierto tiempo y permite realizar diferentes acciones maliciosas. Está diseñado contra sistemas operativos Windows.
Sus funciones más relevantes son:
- Robo de información.
- Envío de spam.
- Distribución de otras aplicaciones maliciosas.
- Realización de ataques de denegación de servicio a otros sistemas.
La distribución del soporte lógico malicioso se realiza principalmente mediante ficheros adjuntos o enlaces maliciosos en el correo electrónico, a través de campañas de spam (malspam).
Para desinfectar un equipo de este troyano es necesario desinstalar el programa malicioso por completo, ya que contiene técnicas evasivas para que no pueda ser bloqueado. Las principales firmas de antivirus contienen reglas para detectar y eliminar este soporte lógico malicioso, pero éste es capaz de acceder a los limpiadores ("cleaners", en inglés).
MOSTRAR COMPORTAMIENTO DE EMOTET
En el navegador ATT&CK se accede al menú de controles de selección y se pulsa en el botón "search & multiselect".
Puede verse que se seleccionan automáticamente las técnicas relacionadas con el ataque de este troyano.
Dentro del mismo, se pulsa sobre el botón del color y se selecciona uno de la paleta desplegada (en este ejemplo el rojo).
Naturalmente, pueden marcarse otras técnicas (preferentemente relacionadas con emotet) seleccionándolas con el botón izquierdo del ratón.
Por otra parte, si se necesitan conocer los detalles de alguna de las técnicas se pulsa sobre la que se desee con el botón derecho del ratón y, en el menú contextual, se elige la opción "view technique" (en este ejemplo, la técnica es "Reflective Code Loading").
Lo que hará que se navegue a una pantalla donde, como ya se ha indicado en una entrada anterior, pueden verse detalles como:
- Descripción de la técnica.
- Recuadro con número de identificación de la técnica y otras fuentes identificativas.
- Información de otros procedimientos que hacen uso de la técnica que se está analizando.
- Recomendaciones para su mitigación.
- Tecnología que puede ayudar a detectarla o debió detectar el comportamiento de los adversarios que estaban haciendo uso de la técnica.
- Referencias para profundizar más la investigación.
Finalmente, es posible exportar la tabla desde el menú de control de capas (botón "export") en formato JSON, hoja de cálculo o imagen SVG.
Aguardo que la presente entrada haya sido interesante para el lector. Si es así, espero que éste la comente y/o la comparta, por favor.








No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.