![Page 1: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/1.jpg)
#CyberCamp19
Emulación de adversarios: De entender
ATT&CK a construir tu propia emulación
Pablo González @pablogonzalezpe
![Page 2: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/2.jpg)
Whoami Ingeniero Informático & Máster Seguridad Informática 2009 – 2013 Informática 64 2013 - ?? Telefónica Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos libros (0xWord):
Metasploit para pentesters Pentesting con Kali Ethical Hacking Got Root Pentesting con Powershell
![Page 3: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/3.jpg)
Índice 1.Ejercicios de Red Team 2.Matriz ATT&CK 3.El plan de emulación 4.Herramientas. Caldera o Infection Monkey 5.Construcción de herramienta 6.Conclusiones
![Page 4: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/4.jpg)
#CyberCamp19
1. Ejercicios de Red Team
Empezando…
![Page 5: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/5.jpg)
Ejercicios de Red Team
Partiendo de la base de que un ejercicio de Red Team va a ser diferente en función de los activos objetivo
Se puede “extraer” unas pautas (en forma de metodología)
![Page 6: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/6.jpg)
Ejercicios de Red Team
1. Definición yplanificación depruebas
2. Reconocimiento externo yvectorde acceso
3. Compromiso inicial
4. Acceso interno alaorganización
5. Elevación deprivilegios
![Page 7: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/7.jpg)
Ejercicios de Red Team
6. Implantación de persistencia
7. Reconocimientointernoe identificación de activos
8. Movimiento lateral
9. Ejecución de pruebas
10. Documentación (Fin ejercicio)
![Page 8: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/8.jpg)
Ejercicios de Red Team
Proceso continuo
Ejecución puntual
Ejecución continua
Importante para la toma de decisiones
![Page 9: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/9.jpg)
Ejercicios de Red Team
Demostrar nivel exposición y riesgo
Demostrar impacto de negocio
Demostrar capacidades de prevención
Demostrar capacidades de detección
Demostrar capacidades de reacción o respuesta ante incidentes
![Page 10: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/10.jpg)
Ejercicios de Red Team
![Page 11: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/11.jpg)
#CyberCamp19
2. Matriz ATT&CK
Conceptos
![Page 12: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/12.jpg)
Matriz ATT&CK
MITRE ATT&CK es una base de conocimiento de acceso global de tácticas y técnicas adversarias basadas en observaciones del mundo real
La base de conocimientos de ATT&CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad
![Page 13: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/13.jpg)
Matriz ATT&CK
Las tácticas se utilizan para describir los pasos de ataque de alto nivel utilizados por un adversario
MITRE ATT&CK asume la brecha y por lo tanto la "primera" táctica es la intrusión inicial. Cualquier actividad realizada anteriormente está cubierta por el marco de PRE-ATT&CK.
![Page 14: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/14.jpg)
Matriz ATT&CK
La forma en que se ejecuta una determinada táctica se describe mediante una variedad de técnicas. Para cada técnica, MITRE ATT&CK incluye una descripción, recomendaciones de detección y prevención y actores de amenazas conocidos que utilizan la técnica.
https://mitre-attack.github.io/attack-navigator/enterprise/#
![Page 15: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/15.jpg)
Matriz ATT&CK
![Page 16: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/16.jpg)
Matriz ATT&CK
![Page 17: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/17.jpg)
#CyberCamp19
3. Plan emulación
Planificación
![Page 18: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/18.jpg)
APT3. Caso uso real
![Page 19: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/19.jpg)
APT3. Caso uso real
¿Cuánto tiempo y esfuerzo se dedicará durante el compromiso?
¿Qué actores en la amenaza (y técnicas adversarias relacionadas) son relevantes para la organización?
¿Qué técnicas cree la organización que están cubiertas por los controles de seguridad?
¿Qué técnicas cree la organización que se detectan mediante el seguimiento de los casos de uso?
![Page 20: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/20.jpg)
#CyberCamp19
4. Herramientas Caldera o Infection Monkey
![Page 21: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/21.jpg)
Herramientas
Herramienta para automatizar la emulación de adversarios
Existen otros, por ejemplo, Infection Monkey
Caldera
Infection Monkey
![Page 22: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/22.jpg)
Herramientas
Agentes que se lanzan en máquinas de la organización
Serán controlados desde la GUI de Caldera
No se recomienda desplegar más de 20
Se recomienda simular el dominio
![Page 23: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/23.jpg)
Herramientas
![Page 24: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/24.jpg)
Herramientas
![Page 25: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/25.jpg)
Herramientas
![Page 26: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/26.jpg)
Herramientas
![Page 27: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/27.jpg)
Herramientas
![Page 28: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/28.jpg)
#CyberCamp19
5. Construcción
A por ello
![Page 29: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/29.jpg)
Construyendo herramienta
![Page 30: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/30.jpg)
#CyberCamp19
6. Conclusiones
Fin
![Page 31: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/31.jpg)
Conclusiones
La emulación de adversarios ayuda a poner a prueba las protecciones y equipos de la organización
La idea es emular la amenaza real a través de un plan
Entorno controlado para realizarlo
Facilidad para incluir nuevas técnicas y tácticas en la matriz y en las herramientas
![Page 32: Emulación de adversarios: De entender ATT&CK a construir ... · Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos](https://reader033.vdocumento.com/reader033/viewer/2022060519/604d16bb96e49456ce7257ac/html5/thumbnails/32.jpg)
GRACIAS
@CybercampES
#CyberCamp19