Ciberamenazas avanzadas, analítica de mecanismos y vínculos sociopolíticos II

Enero 31, 2022 - 14:00

Ciberamenazas avanzadas, analítica de mecanismos y vínculos sociopolíticos II

Tiempo de lectura estimado: 7 minutos

Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es comprender qué son y qué tipos de APTs existen, así como sus vínculos con la geopolítica actual. Si quieres leer la primera parte haz click aquí.

APT: distintos puntos de vista

Perspectiva técnica

Es obligatorio mencionar a MITRE ATT&CK, una base de datos en la que se introducen técnicas y tácticas utilizadas en los ciberataques. Con tácticas nos referimos a los objetivos de los atacantes, no solo acceder a cierto conocimiento, puede ser tomar el control de un sistema, ejecutarse o persisitir.

Para llevar a cabo estas tácticas utilizan diferentes técnicas. Por ejemplo, en la fase de reconocimiento podemos hacer un escaneo de puertos. Se analizan APT de 11 grupos y 7 países (283 informantes de 2001 a 2009)

Se han analizado qué técnicas son exclusivas de cada uno de los grupos. No es un estudio completo, pero es nos permite identificar si se podría conseguir algún tipo de atribución.

Una técnica no es en sí un ataque, un ataque lo componen diferentes técnicas. También se analizaron los sectores de cada país que sufrieron más ataques:

Una vez se han analizado estas técnicas, se han seleccionado algunas en las que habría que poner especial interés y otras que no conviene priorizar. Algunas a técnicas a las que hay que prestar atención:

T1027 (Ofuscación de ficheros o información): Uso de IDS y sistemas de filtrado en gateways, identificar datos cifrados y comprimidos.
T1107 (eliminación de ficheros), T1070 (Indicador de eliminación en host) y T1485 (Destrucción de datos): Monitorizar sistemas de ficheros y comandos asociados a la eliminación.
T1082 (Descubrimiento de información del sistema), T1083 (Descubrimiento de ficheros y directorios), T1005 (Datos del sistema local) y T1003 (Volcado de credenciales). Rastreo de procesos, comandos y ficheros del sistema, e.g. credenciales.
T1105 (Copia de fichero remoto), T1071 (Protocolo – Standard Application Layer) y T1041 (Exfiltración por canal de comando y control). Monitorización de procesos con conexiones externas y con flujos de datos distintos a los habituales.

Algunas técnicas menos prioritarias son:

T1190 (Explotar aplicación de acceso público) Spear phishing común en APT, aplicaciones no sólo en el punto de entrada.
T1052 (Exfiltración sobre un medio físico) y T1091 (Replicación a través de medios extraerles). Exfiltración con USB no es común actualmente.
T1039 (Datos de un medio de red compartido) y T1115 (Datos en clipboard). Hay otras fuentes de datos más interesantes para los atacantes.
T1110 (Fuerza bruta) Ingeniería social y volcado de credenciales más común.

Perspectiva geopolítica

Para establecer los vínculos entre la perspectiva técnica y geopolítica se han considerado: eventos estratégicos (conflictos y acuerdos entre países), económicos (PIB, HDI) y militares (gasto). El objetivo es descubrir si existe alguna relación geopolítica entre los orígenes de las APT y las víctimas, y por otro lado, si es posible vincular las capacidades de ciberataque más probables a tenor de una circunstancia política concreta.

Para estudiar la correlación entre eventos y ataques se ha utilizad un modelo de regresión lineal múltiple. Se establecen dependencias entra las variables y en forma de función matemática. Una variable se representa en función de otras, donde R²es el coeficiente de determinación.

Conclusiones

Las APTs son una amenaza latente que va en aumento.
Análisis a nivel técnico: Hay técnicas que facilitan atribución y técnicas más y menos utilizadas.
Análisis a nivel geopolítico: Variables EEcM consideradas y posibilidad de establecer relaciones.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.