Get best of the week

Cómo los sistemas de análisis de tráfico detectan tácticas de piratas informáticos por MITER ATT & CK, Parte 4



En publicaciones anteriores ( primera , segunda y tercera parte), examinamos las técnicas de las siete tácticas de MITER ATT & CK:

  • acceso inicial
  • ejecución
  • consolidación (persistencia);
  • escalada de privilegios
  • prevención de detección (evasión de defensa);
  • obtener acceso de credenciales;
  • inteligencia (descubrimiento).

También mostramos cómo, con la ayuda de nuestra  solución NTA  , es posible reconocer actividades sospechosas en el tráfico de red. Ahora le mostraremos cómo funcionan nuestras tecnologías con movimientos laterales y técnicas de recolección.

Movimiento dentro del perímetro (movimiento lateral)


Los atacantes usan técnicas de movimiento perimetral para obtener acceso y controlar sistemas remotos en la red, instalar malware y expandir gradualmente su presencia en la infraestructura. El objetivo principal de los atacantes es identificar a los administradores en la red, sus computadoras, activos clave y datos para finalmente obtener el control total sobre la infraestructura. 
Las siguientes son descripciones de las técnicas de movimiento perimetral que se pueden detectar analizando el tráfico. Hay nueve de ellos.

1. T1175 : Modelo de objetos componentes y COM distribuido


Uso de tecnologías COM o DCOM para ejecutar código en sistemas locales o remotos cuando se mueve a través de una red.

Qué hace PT Network Attack Discovery (PT NAD) : cuando esta tecnología se utiliza para acceder a sistemas remotos, se puede detectar analizando el tráfico. PT NAD detecta llamadas sospechosas de DCOM que los ciberdelincuentes suelen utilizar para avanzar a través de la red.

2. T1210 : explotación de servicios remotos


Explotación de vulnerabilidades en los servicios de red para moverse por la red.

Lo que hace PT NAD : detecta la explotación de vulnerabilidades comunes. Entre ellos se encuentran las vulnerabilidades en los protocolos SMB (MS17-010) y Protocolo de impresión remota del sistema (MS-RPRN), en el DBMS de Redis, en el sistema de configuración del dispositivo de red rConfig.

3. T1075 : pasa el hash


Un método para autenticar a un usuario sin acceso a su contraseña en claro. Los atacantes omiten los pasos de autenticación estándar que requieren una contraseña y van directamente a esa parte de la autenticación que usa el hash de contraseña. Los atacantes obtendrán hashes por adelantado utilizando técnicas de adquisición de credenciales.

Lo que hace PT NAD : detecta varios signos de actividad de red de la utilidad hacker Mimikatz, que los atacantes usan para atacar sobrepasar el hash (desarrollando el paso del ataque hash).

4. T1097 : pasa el boleto


Método de autenticación en un sistema que utiliza tickets Kerberos sin acceso a una contraseña de cuenta. Los atacantes pueden usarlo como el primer paso para moverse por el perímetro a un sistema remoto.

Qué hace PT NAD : detecta la etapa preparatoria de la técnica de pase del ticket, revela la transferencia de archivos con tickets Kerberos exportados a través de la red.

5. T1076 : protocolo de escritorio remoto


Una técnica que permite a los atacantes acceder a un sistema remoto utilizando el protocolo de escritorio remoto RDP si se permite su uso en una red y permite a los usuarios conectarse a su computadora utilizando sus credenciales.

Qué hace PT NAD : en el programa, puede filtrar todas las sesiones guardadas por protocolos (por ejemplo, RDP) y analizar cada una sospechosa. Esta característica es útil para investigar y buscar amenazas de forma proactiva (búsqueda de amenazas).

6. T1021 : servicios remotos


Use cuentas válidas para iniciar sesión en un servicio diseñado para aceptar conexiones remotas, como Telnet, SSH o VNC. Después de eso, los atacantes podrán realizar acciones en nombre del usuario conectado.

Qué hace PT NAD : detecta automáticamente las conexiones VNC y la actividad del troyano EvilVNC. Este troyano instala secretamente un servidor VNC en el host de la víctima y lo inicia automáticamente. Para verificar la legitimidad de las conexiones remotas utilizando los protocolos SSH y TELNET, los usuarios de PT NAD pueden filtrar todas las sesiones con tales conexiones y analizar cada una sospechosa.

7. T1072 : software de terceros


La técnica mediante la cual los atacantes obtienen acceso al software de administración de red (software de terceros y sistemas de implementación de software) y lo utilizan para lanzar código malicioso. Ejemplos de software de terceros: SCCM, VNC, HBSS, Altiris. En caso de obtener acceso a dichos sistemas, el adversario puede ejecutar remotamente el código en todos los nodos conectados al sistema de implementación, monitoreo o administración de software.

Qué hace PT NAD : detecta automáticamente el funcionamiento de dicho software en la red. Por ejemplo, las reglas funcionan sobre los hechos de conexión a través del protocolo VNC y la actividad del troyano EvilVNC, que instala secretamente el servidor VNC en el host de la víctima e inicia automáticamente este servidor.

8. T1077 : Recursos compartidos de administrador de Windows


Utilizando carpetas de red ocultas accesibles solo para administradores, por ejemplo C $, ADMIN $, IPC $. Proporcionan la capacidad de copiar de forma remota archivos y otras funciones administrativas.

Qué hace PT NAD: el ejemplo de

descubrimiento de PT NAD detectó la ejecución remota de comandos a través de SCM (Service Control Manager). Esto solo es posible con acceso a los recursos compartidos administrativos de Windows Admin Shares.



Detección de la aplicación de la técnica T1077: recursos compartidos de administración de Windows

Si abre una sesión, puede ver que la regla para la herramienta Impacket funcionó en ella. Utiliza el acceso de red a C $ para obtener resultados de ejecución de comandos.



Tarjeta de sesión que muestra los archivos descargados de la carpeta de red del administrador

9. T1028 : Administración remota de Windows


Usando el servicio y protocolo de Windows, que permite al usuario interactuar con sistemas remotos.

Lo que hace PT NAD : ve las conexiones de red establecidas mediante la Administración remota de Windows. Dichas sesiones son detectadas automáticamente por las reglas.

Recopilación de datos


Los atacantes usan tácticas de recopilación para recopilar información que luego planean robar utilizando técnicas de exfiltración de datos. Las fuentes de datos típicas incluyen diferentes tipos de unidades, navegadores, audio, video y correo electrónico.

El análisis de tráfico puede indicar el uso de dos técnicas de recopilación de datos en la red.

1. T1039 : datos del disco compartido de red


Recopile datos de sistemas remotos que tienen unidades de red públicas.

Qué hace PT NAD: un ejemplo de detección

La transferencia de archivos desde unidades de red es visible por el tráfico, las sesiones de transferencia de archivos se pueden estudiar en detalle en PT NAD.

Verifiquemos la hipótesis de que los atacantes usaron la técnica T1039 y pudieron acceder al servidor de archivos del departamento financiero de la compañía. Para hacer esto, filtramos todas las sesiones en función de la actividad desde la dirección IP del almacenamiento de archivos y encontramos entre ellas las conexiones en las que se descargaron los archivos. Después de ingresar la tarjeta de una de esas sesiones, vemos que el archivo TopSecretReport_2020 se ha descargado.



Después de descargar y mirar el archivo, entendemos qué información específica lograron obtener los atacantes.

2. T1185 : hombre en el navegador


Una técnica mediante la cual un atacante aprovecha la vulnerabilidad del navegador de una víctima y cambia el contenido web e intercepta la información. Un ejemplo: un atacante inyecta software en el navegador que le permite interceptar cookies, sesiones HTTP, certificados SSL del cliente y usar el navegador para autenticarse e ir a la intranet.

Qué hace PT NAD : Detecta automáticamente a un hombre en el ataque del navegador basado en la introducción de scripts maliciosos en páginas web descargables. PT NAD detecta tales ataques de dos maneras: mediante certificados comprometidos que se utilizaron previamente en dichos ataques y mediante la actividad característica de la red de programas maliciosos destinados a inyectar código en el navegador (por ejemplo, Zeus).

En lugar de una conclusión


Le recordamos que el mapeo completo de PT NAD a la matriz MITER ATT & CK se publica en Habré .

En los siguientes artículos, hablaremos sobre otras tácticas y técnicas de los piratas informáticos y cómo el sistema NTA de PT Network Attack Discovery ayuda a identificarlos. ¡Quédate con nosotros!

autores :

  • Anton Kutepov, especialista, PT Expert Security Center Positive Technologies
  • Natalia Kazankova, comercializadora de productos Positive Technologies

More articles:


All Articles