¿Cómo investigar las Amenazas Avanzadas Persistentes? - Primera parte


Hemos visto como en el mundo se han ejecutado distintos tipos de #ciberataques que pueden afectar la integridad, disponibilidad y confidencialidad de la información de grandes industrias proveedoras de tecnología y relacionadas con infraestructuras críticas (vea el caso Solar Winds y Pipeline Oleoduct); en ese sentido, se han realizado diferentes análisis que evocan a profundas relaciones con Europa del Este y otras latitudes que pudieron estar involucradas con este tipo de ataques de gran superficie.


Sin duda que el inicio y relación de muchos de estos incidentes tienen que ver con alguna técnica de infección o de propagación; en este caso:


Ante cada uno de estos sucesos aparecen nuevos interrogantes sobre el ¿Qué?, ¿Cómo?, ¿Cuándo? y ¿Donde? tienen origen o razón este tipo de ciberataques; un fundamento inicial se radica en la importancia de vigilar y monitorizar las cadenas de suministro como se evidenció con el caso de Solarwinds, pero, ante las nuevas evidencias, es preciso tocar ciertas razones y criterios que impulsan a los investigadores de #ciberseguridad a realizar conjeturas técnicas sobre adelantar diferentes investigaciones que profundicen las razones descriptivas y tecnológicas de estos dos asuntos en mención.


Amenazas Avanzadas Persistentes: Pasado, presente y futuro


Cuando se habla de APT´s, descrita en inglés: Advanced Persistent Threat,exsiten varios trabajos de investigación cibernética asociados al análsis y descripción de este tipo de acciones; uno de estos concpetos se decribe como: "Las Amenazas Avanzadas Persistentes en la actualidad están relacionadas con grupos o países, basados en una clara intención de realizar alguna actividad de espionaje, afectación a la marca o reputación de un sector de la economía. Estos grupos generalmente están conformados por los mejores especialistas en cibercrimen, la mayoría de ellos son #ciberdelincuentes experimentados que realizan continuamente actividades de reconocimiento para poder encaminar posteriormente la explotación de vulnerabilidades. Es preciso relacionar una ontología que permita analizar las APT en un contexto cibercriminal para entender la problemática de cada una de ellas" (Tomado del articulo INVESTIGACIÓN CIBERNÉTICA: ONTOLOGÍA PARA LA INVESTIGACIÓN DE APT (AMENAZAS AVANZADAS PERSISTENTES) EN EL CONTEXTO CIBERCRIMINAL) (E.Ortiz 2020).


La amenaza avanzada persistente se logra definir como aquella que debidamente está estructurada y debidamente fundada, la cual posee elementos de intrusión, tácticas, técnicas y herramientas avanzadas y puede consecuentemente recibir instrucciones para poder avanzar respecto de un objetivo en específico.

De tal manera que, los elementos particulares de un APT están debidamente asociados a esa serie de herramientas y técnicas para poder ejecutar determinada labor en el objetivo (victima), en este caso un gobierno, un sistema, una infraestructura o algún elemento en específico que desee efectuar el cibercriminal.

La necesidad de estudiar por fases "el cómo se comporta un APT" es debidamente oportuna para poder ejecutar tareas de defensa, y de protección ante eventuales ataques derivados de una infección de malware ejecutada como una de las fases primarias para elevar las acciones de este tipo de amenazas.


Investigación cibernética avanzada: Principios y fundamentos


En materia de inteligencia cibernética de amenazas (ICA) es importante seguir un flujo de información para poder estructurar la investigación de una APT, esta misma está coordinada por medio de un orden específico para poder abordar las necesidades de recolección de información específicas, a saber:


  1. Planificación y Orientación

  2. Obtención de datos e Información

  3. Procesamiento de Datos

  4. Análisis de la Información

  5. Difusión

  6. Retroalimentación


Posterior a esto, Cada una de estas permite realizar un continuo manejo a los datos observados mediante la obtención de elementos o 5artefactos que permitan definir las siguientes etapas consecuentes al análisis que se debe llevar a cabo para poder ejecutar una descripción de la APT.

En esta definición de contexto para este respectivo análisis, se debe orientar de acuerdo con su etapa previa de observación, estas características que permiten definir cada una de las fases antes citadas por Martin Lokheed (CKC-CyberKillChain), de la siguiente manera:



Figura 1 Tomada y complementada de Contexto de las fases típicas de un APT (Giura, Paul; Wei Wang, 2012) (E.Ortiz 2020)



Para entender estas fases, de manera relativa no se encuentra en orden de ejecución, por el contrario, se encuentran basadas en virtud del tiempo de forma ascendente, por tanto, lo que refiere (Giura, Paul; Wei Wang, 2012) en la gráfica para poder entender la generalidad de cada uno de los elementos de manera consecutiva.

  • Primera fase - Reconocimiento: Escaneo de la red, mapeo de la red, perfilación de empleados, búsqueda de 6día cero.

  • Segunda Fase – Liberar: Búsqueda de Emails, creación de malware (troyanos), creación de URL ́s maliciosas, envío de Phishing dirigido

  • Tercera fase - Explotación: Liberar el phishing dirigido, explotar la máquina del usuario (victima), obtener las credenciales del usuario, escanear la red interna.

  • Cuarta fase - Operación: Localizar los datos objetivo, localizar los usuarios con privilegios, elevar los privilegios de acceso, acceder a datos sensibles.

  • Quinta Fase – Colección de datos: Seleccionar servidores intermediarios, trasladar datos sensibles, empaquetar y comprimir los datos, encriptar los datos.

  • Sexta fase - Exfiltración: Seleccionar servidores de descarga, establecer canales extensos de Comando y Control, iniciar conexiones externas y extraer la información.


Las fases están enmarcadas en la gran diferencia de un ataque tradicional y uno establecido por medio de una Amenaza Avanzada Persistente, como se puede ver en la siguiente gráfica: .



Figura 2 Tomada de (Siddiqi & Naveed, 2016) sobre la diferencia de un ciberataque y una APT y complementada en el Artículo INVESTIGACIÓN CIBERNÉTICA: ONTOLOGÍA PARA LA INVESTIGACIÓN DE APT (AMENAZAS AVANZADAS PERSISTENTES) EN EL CONTEXTO CIBERCRIMINAL (E.Ortiz 2020)


Frente a estos escenarios se ha agregado la característica “motivación”, para poder ilustrar aquellos aspectos que nacen desde la psicología del atacante hasta la comisión del ataque, pensando en poder afectar o lograr con éxito cada uno de las intenciones de cada uno de los atacantes; encontrando que para la APT se encuentran enfocados en orientaciones establecidas durante el ciberataque a gran escala, con componentes que no se pueden establecer preliminarmente hasta poder analizarlo en su totalidad.

Trayendo el hilo de lo anterior, estas fases del ciberataque denominado “kill chain” traídas por Martin Lokheed y establecidas para poder ejecutar cada uno de los objetivos trazados por un APT deben encuadrarse en la teoría o metodología MITRE que puede aportar a la identificación de las características y aspectos más esenciales de la taxonomía de un ataque. Actualmente las organizaciones que trabajan en ciberseguridad están relacionadas con esta metodología que incluye las tácticas, técnicas y procedimientos que contienen información que ayuda a calcular los escenarios que involucran la línea de identificación categorizada por fases realizada por Martin Lokheed.


Relación existente entre las fases (Cyber kill chain - CKC) y las TTP ́s establecidas para identificar una APT


Para identificar una APT dentro de un (CKC) y las TTP ́s indicadas de un un ciberatataque, en primera medida se debe realizar comparaciones categóricas empleadas actualmente bajo la metodología MITRE, la cual permite asociar elementos (valores) respectivos a la clasificación de la amenaza y sus capacidades más determinadas.

Las APT generalmente poseen características muy similares que permiten determinar su radio de acción y esenciales como su (carga útil) o Payload en inglés, que permite determinar otras características de tamaño, hash, capacidades de propagación, de explotación y de comunicación como (C&C). Todas estas asociadas en modelado de amenazas, término que se acuñó para la investigación cibernética y que se recoge mediante este estudio.

De la misma manera, todos estos modelos específicos que permiten relacionar un ciberataque frente a las fases (CKC) y TTP ́s específicos por medio de la metodología MITRE, algunos aspectos ya se encuentran asociados mediante un diagrama que permite determinar este tipo de escenarios, permitiendo que la ingeniería pueda utilizar “frameworks” en español marcos de trabajo como CALDERA que permite simular un ataque adversarial para poder determinar aspectos que puedan afectar a una organización ante un eventual amenaza cibernética o ataque cibernético.


Por otro lado, se encuentran las matrices que ha diseñado MITRE para poder enfocar una metodología para poder asociar las TTP ́s, diseñadas en un principio para para sistemas de control industrial y las diferentes características comentadas; las cuales podemos observar mediante la siguiente imagen capturada:



Figura 3 obtenida de: https://attack.mitre.org/matrices/enterprise/


En este caso puntual se trata de la matriz Enterprise, utilizada para distintas plataformas: Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network, para realizar comparaciones determinadas y enfocadas en el análisis específico sobre estas tecnologías. En otro sentido cualquiera de estas matrices está enfocada en tecnologías que permiten limitar algunos ambientes de desarrollo como Android y IOS, los cuales permiten extender las TTP ́s mencionadas en la base de conocimiento descrita en inglés como ATT&CK iniciado desde 2013 con 1264 técnicas para sistemas operativos Windows, posteriormente definiendo la estructura frente a la matriz Enterprise definida así por los contenidos de las fases post- explotación y el ciclo de vida en los tres sistemas operativos más importantes (Windows, Mac y Linux), seguido, la matriz PRE- ATT&CK la cual contiene las fases pre-explotación dentro del ciclo de vida y sus fases; y por ultimo Mobile ATT&CK que contiene los aspectos pre y post explotación de los sistemas operativos IOS y Android.


Estas líneas permiten a los investigadores de ciberseguridad poder tomar las fases del ciclo de vida de un ciberataque y poder determinar un antes, durante y después de poder entender lo mencionado por (Ortiz Ruiz , Metodología Aproximada para realizar Inteligencia Cibernética, 2020) dentro de las TTP ́s , en donde se define cada una de ellas para poder realizar análisis dentro de la pirámide del dolor.



Figura 4 Obtenida de elaboración propia: Describe la aplicabilidad del análisis para poder analizar los diferentes aspectos para poder correlacionar información obtenida del análisis de un ciberataque.



Indicando lo anterior, por una parte se está complementando las diferentes matrices MITRE ATT&CK , la metodología de la pirámide del dolor para poder enfocar los tipos de ciberataques, la perfilación de cada uno de ellos y las motivaciones del cibercriminal para poder efectuar cualquier reconocimiento.


Mediante las buenas prácticas realizadas, la investigación cibernética cobra un gran valor para efectuar otras fases en las que se debe combinar diferentes herramientas de analítica en la que se aborde otras facetas del cibercrimen para poder "eficientizar" los elementos de conexión de atributos relacionados con el actor de la amenaza. En la segunda y tercera parte de este artículo se podrá observar lo siguiente:


  • Componente de emulación adversarial desde el enfoque cibercriminal

  • El modelo agnóstico orientado a infraestructuras críticas y vulnerables

  • Complementariedad de fases para identificar una APT

  • Cadena de ejecución del cibercrimen (Fusión de atributos)

  • Estructura de la ontología única para identificar una APT en el contexto cibercriminal.

  • Aplicabilidad y testing en casos de uso





51 vistas0 comentarios

Entradas Recientes

Ver todo