2020-08-26 17:52:03
Matriz de Ataque de Mitre
Acceso inicial
El adversario está tratando de ingresar a su red.
El acceso inicial consiste en técnicas que utilizan varios vectores de entrada para obtener su punto de acceso inicial dentro de una red. Las técnicas utilizadas para establecerse incluyen el phishing y el ataque a servidores web. Los puntos de acceso obtenidos mediante el acceso inicial pueden permitir el acceso continuo, como cuentas válidas y el uso de servicios remotos externos, o pueden tener un uso limitado debido al cambio de contraseñas.
Ejecución
El adversario está intentando ejecutar código malicioso.
La ejecución consiste en técnicas que dan como resultado un código controlado por el adversario que se ejecuta en un sistema local o remoto. Las técnicas que ejecutan código malicioso a menudo se combinan con técnicas de todas las demás tácticas para lograr objetivos más amplios, como explorar una red o robar datos. Por ejemplo, un adversario podría usar una herramienta de acceso remoto para ejecutar una secuencia de comandos de PowerShell que realiza detección remota de sistemas dentro de la red.
Persistencia
El adversario está tratando de mantenerse en la red.
La persistencia consiste en técnicas que los adversarios utilizan para mantener el acceso a los sistemas a través de reinicios, credenciales modificadas y otras interrupciones que podrían bloquear su acceso. Las técnicas utilizadas para la persistencia incluyen cualquier cambio de acceso, acción o configuración que les permita mantener su posición en los sistemas.
Escalación de privilegios
El adversario está tratando de obtener permisos de mayor nivel.
La escalación de privilegios consiste en técnicas que los adversarios utilizan para obtener permisos de mayor nivel en un sistema o red. Los adversarios a menudo pueden ingresar y explorar una red con acceso sin privilegios, pero requieren permisos elevados para cumplir sus objetivos. Los enfoques comunes son aprovechar las debilidades del sistema, las configuraciones incorrectas y las vulnerabilidades.
Evasión de defensas
El adversario está tratando de evitar ser detectado.
La evasión de defensa consiste en técnicas que los adversarios utilizan para evitar ser detectados durante la intrusión. Las técnicas utilizadas para la evasión de la defensa incluyen la desinstalación o desactivación del software de seguridad o la ofuscación y cifrado de datos y scripts. Los adversarios también aprovechan y abusan de procesos confiables para ocultar y enmascarar su malware.
Acceso a credenciales
El adversario está tratando de robar nombres de cuenta y contraseñas.
Acceso a Credenciales consiste en técnicas para robar credenciales como nombres de cuenta y contraseñas. Las técnicas utilizadas para obtener credenciales incluyen el registro de claves o el volcado de credenciales. El uso de credenciales legítimas puede dar a los adversarios acceso a los sistemas, hacerlos más difíciles de detectar y brindar la oportunidad de crear más cuentas para ayudarlos a alcanzar sus objetivos.
Movimiento lateral
El adversario está tratando de moverse a través de la red.
El movimiento lateral consiste en técnicas que los adversarios usan para ingresar y controlar sistemas remotos en una red. Seguir adelante con su objetivo principal a menudo requiere explorar la red para encontrar su objetivo y, posteriormente, obtener acceso a él. Alcanzar su objetivo a menudo implica moverse a través de múltiples sistemas. Los adversarios pueden instalar sus propias herramientas de acceso remoto para lograr el Movimiento Lateral o usar credenciales legítimas con herramientas ya instaladas dentro del sistema operativo, lo cual las hace más sigilosas.
Descubrimiento
El adversario está tratando de descubrir el entorno de tu red.
El descubrimiento consiste en técnicas que un adversario puede usar para obtener conocimiento sobre el sistema y la red interna. Estas técnicas ayudan a los adversarios a observar el entorno y a orientarse antes de decidir cómo actuar. También exploran lo que pueden controlar y lo q
3.8K viewsAnon 32, 14:52