Ejemplo teorico
Exploraremos dos tácticas, técnicas y procedimientos para comprender cómo se manifiestan en escenarios de ciberseguridad.
Tácticas
Initial Access (Acceso Inicial)
Definición: Describe las formas en que los adversarios intentan obtener un punto de apoyo dentro de una red, red de endpoints o un sistema.
Impact (Impacto)
Definición: Se refiere a las tácticas que los atacantes utilizan para desbaratar la operación normal y/o destruir sistemas y datos.
Técnicas
Spearphishing Attachment (T1193)
Pertenece a la Táctica: Initial Access.
Definición: Se refiere al uso de emails dirigidos que incluyen archivos maliciosos adjuntos.
Mitigación: Formación de usuarios en conciencia de seguridad y filtrado de correos electrónicos para eliminar los que contienen adjuntos sospechosos.
Pertenece a la Táctica: Impact.
Definición: Los adversarios destruyen datos y/o archivos de sistemas de red para causar impacto a las operaciones del negocio y a la disponibilidad de los datos.
Mitigación: Implementar copias de seguridad regulares y robustas para recuperar los datos en caso de destrucción.
Procedimientos
Uso de Documentos con Macros para Acceso Inicial
Técnica Relacionada: Spearphishing Attachment (T1193).
Procedimiento: Los adversarios pueden enviar correos electrónicos que contengan documentos maliciosos que, al abrirlos, ejecutan macros diseñadas para descargar e instalar malware.
Ejemplo de un comando que podría ser utilizado en una macro para descargar malware:
Ransomware que Sobrescribe el MBR
Técnica Relacionada: Data Destruction (T1485).
Procedimiento: Los atacantes podrían utilizar ransomware que, en lugar de cifrar archivos individuales, sobrescribe el Master Boot Record (MBR) del sistema comprometido, haciéndolo inaccesible.
Un ejemplo infame de esto es el ransomware "Petya", que reemplazó el MBR con su propia carga útil, forzando un reinicio del sistema y mostrando una pantalla de rescate en lugar de permitir que el sistema operativo se cargara.
Última actualización