Lanzamiento: MITRE ATT&CK v17.0, ahora con TTP de ataque ESXi

Acerca de MITRE ATT&CK

MITRE ATT&CK es una base de conocimiento pública que se actualiza periódicamente y que muestra el comportamiento de los actores de amenazas reales. También incluye grupos de actores de amenazas conocidos y documentados, malware y (algunas) campañas anteriores de alto perfil.

Los defensores cibernéticos y los proveedores lo utilizan para modelar amenazas y mejorar las defensas, crear reglas de detección, crear manuales para simular ataques, mapear las acciones de los atacantes con tácticas de ATT&CK, crear cronogramas de ataques, identificar brechas en la detección o respuesta, etc.

Las matrices de ATT&CK se dividen en tres grupos principales: Empresarial, Móvil e ICS (sistemas de control industrial).

MITRE ATT&CK v17.0

Hasta ahora, la matriz empresarial cubría las TTP previas al compromiso, así como aquellas relacionadas con ataques a Windows, macOS, Linux, servicios en la nube (paquetes ofimáticos, proveedores de identidad, plataformas SaaS e IaaS), dispositivos de red (antes denominados “plataforma de red”) y contenedores.

MITRE ATT&CK v17.0 ha agregado una nueva categoría dentro de las matrices Enterprise: ESXi.

“Si bien inicialmente consideramos crear una plataforma de hipervisor tipo 1 más amplia, los informes sobre adversarios en la práctica se han centrado en gran medida en ESXi ”, explicó Amy L. Robertson, ingeniera principal de inteligencia sobre amenazas cibernéticas en MITRE.

El panorama de la virtualización seguirá cambiando, y aunque el rol de ESXi podría cambiar, los atacantes han estado aprovechando activamente sus capacidades, especialmente en campañas de ransomware y acceso persistente. A medida que otros hipervisores atraigan a más adversarios, trabajaremos con la comunidad para garantizar que estos comportamientos se reflejen. Nuestro objetivo con esta actualización es proporcionar a los defensores las herramientas necesarias para detectar y mitigar las amenazas en los entornos que los adversarios atacan actualmente.

La nueva versión de ATT&CK incluye 34 técnicas existentes que se han adaptado al entorno ESXi y añade cuatro nuevas.

El alcance de la plataforma se centra en el sistema operativo principal del hipervisor ESXi, con especial atención al propio hipervisor, en lugar de vCenter Server, que administra los hosts ESXi. Las técnicas que involucran vCenter solo se incluyen cuando afectan directamente a ESXi, como usar vCenter para comprometer el hipervisor, señaló Robertson.

Otros cambios y adiciones al marco ATT&CK incluyen:

Nuevos comportamientos de los atacantes (como Copiar y Pegar Maliciosos , que reflejan la llegada de los llamados ataques Click-Fix ; Bombardeo de Correo Electrónico utilizado por los atacantes para preparar los objetivos de los ataques de vishing ; Integración de Aplicaciones en la Nube : los adversarios abusan de las integraciones de aplicaciones OAuth en las plataformas SaaS)
Técnicas de superposición fusionadas
Nuevos análisis “para ayudar a los defensores a implementar con mayor facilidad formas de identificar intrusiones con mayor anticipación, rastrear los pivotes del adversario con mayor eficacia y responder con mayor rapidez”
Mitigaciones con guía de implementación paso a paso, casos de uso del mundo real y herramientas de integración
La matriz móvil incluye nuevas técnicas y herramientas utilizadas por los atacantes
La sección Inteligencia sobre amenazas cibernéticas se ha actualizado con nuevos grupos de ataque y campañas.

Fuente y redacción: Zeljka Zorz / helpnetsecurity.com

Acerca de MITRE ATT&CK

MITRE ATT&CK v17.0

Hombre paquistaní sobornó a miembros de AT&T para plantar Malware y desbloquear 2 millones de teléfonos

Un servidor gubernamental sin protección expone años de investigaciones del FBI

Ciberdelincuentes ocultan Malware detrás de Captcha para evitar las puertas de enlace de correo electrónico seguro