El mundo de la ciberseguridad cada vez se vuelve más complejo y desafiante. Con cada nueva amenaza, desde capacidades dañinas como malware o 0 days, hasta los cambios en las infraestructuras, habiendo pasado de entornos on-premise a híbridos o full-cloud, surge la urgente necesidad de esquemas y metodologías que ayuden a enfrentar estas adversidades. No solo buscamos minimizar el impacto de cualquier amenaza, sino también de alcanzar un nivel de detección y neutralización con el que nos sintamos confiados, aunque a menudo esto puede dar una sensación de falsa seguridad.

Hoy día encontramos diversos esquemas que nos ayudan a entender y contextualizar el modus operandi de los actores hostiles. Desde el ampliamente reconocido MITRE hasta el Malware Behavior Catalogue (MBC), pasando por Microsoft Attack Kill Chain y Lockheed Cyber Kill Chain, estas herramientas nos ofrecen una guía para comprender y enfrentar las tácticas, técnicas y procedimientos (TTPs) utilizados por los adversarios. Dentro de este panorama MITRE ATT&CK el esquema más reconocido. Su matriz desglosa las distintas técnicas, tácticas y procedimientos (TTPs) utilizados por los actores hostiles.

En este artículo vamos a aprender sobre la clusterización de amenazas llevada a cabo por los equipos de Threat Hunting. Pero, antes de nada, vamos a definir algunos términos.

En primer lugar, Threat Hunting se refiere al arte de buscar y detectar de manera proactiva amenazas de ciberseguridad ocultas en un entorno. Es un enfoque dinámico y estratégico que permite a los defensores descubrir y neutralizar posibles peligros antes de que escalen, convirtiéndose en una habilidad esencial en el actual panorama de ciberseguridad.

En segundo lugar, los analistas de Threat Hunting, también llamados Threat Hunters, necesitan técnicas para identificar y rastrear a las APT y sus actividades. APT se refiere a una amenaza avanzada y persistente que opera de manera encubierta y con intenciones maliciosas durante un período prolongado de tiempo. Para llevar a cabo sus objetivos, las APT utilizan técnicas, tácticas y procedimientos (TTP) sofisticados para acceder a redes y sistemas de información de alto valor, como los sistemas gubernamentales, financieros y militares, entre otros.

Hace unos años, la arquitectura de red convencional incluía un Directorio Activo y algunos servicios importantes como: correo electrónico, aplicaciones, servicios compartidos, etc. Sin embargo, como todos estamos viendo a diario, ese modelo ya forma parte de la prehistoria informática. Ahora, lo que más nos encontramos son entornos Cloud. Ambos permiten a los usuarios acceder a los recursos corporativos desde cualquier parte del mundo y desde cualquier dispositivo, evitando la necesidad de tener que pasar por la VPN y reduciendo así los costes que conlleva mantener estos servicios. ¡Lo que tampoco viene nada mal, ¿no?!

Entre los componentes que forman parte del escenario híbrido, debemos tener en cuenta un agente conocido como ADConnect, ya que es el que permite que se sincronicen ciertos recursos locales con los servicios SaaS de Microsoft 365, como por ejemplo el correo electrónico. 

Por tanto, si recapitulamos, hemos pasado de tener un servicio crítico, que era el Directorio Activo de la organización, a tres servicios críticos: Directorio Activo local u On-Premise, Directorio Activo en Azure y servicios de Microsoft 365. Sin embargo, obviamente todos estos cambios en los entornos han afectado a otros ámbitos de la ciberseguridad:

1. La seguridad perimetral conocida hasta ahora se ha tenido que adaptar. La perpetua herramienta de monitorización y prevención de ataques, nuestro querido SNORT (NIDS) y la monitorización de conexiones basadas en direcciones IP, se echan a un lado para dar paso a una nueva era basada en la geolocalización y las identidades de los usuarios.
2. Los atacantes se han visto obligados a cambiar las técnicas que utilizaban hasta ahora para poder enfrentarse a sus nuevos y desconocidos objetivos, y precisamente eso es lo que hemos venido a aprender aquí: una técnica de ataque basada en la cadena de suministros (Supply Chain Attack) para un entorno de Microsoft Azure.

Para ello, vamos a detallar la taxonomía del ataque, elaborada a partir de MITRE | ATT&CK, y que habrá que adaptar en función de la arquitectura de cada organización: