ATTPwn: herramienta de emulación de amenazas informáticas

Analizamos con ransomware las posibilidades que ofrece ATTPwn, una herramienta para emular a los oponentes.

Como muchos de vosotros sabéis, el ransomware dio mucho de qué hablar en 2020 y, hasta ahora, en 2021, los incidentes provocados por esta ciberamenaza siguen acaparando titulares. Se espera que esta amenaza, que como analizaron los expertos de ESET en el informe Cybersecurity Trends for 2021, mantenga una actividad significativa a lo largo de este año y continúe evolucionando en términos de complejidad y sofisticación, como lo ha hecho en el pasado.

En este contexto, las empresas y los expertos en seguridad deben encontrar formas de minimizar los riesgos y aprender más sobre esta amenaza y cómo se llevan a cabo los ataques. Entonces, esta vez hablaremos de ATTPwn, una herramienta de seguridad diseñada para emular varios ataques que se basa en las tácticas y técnicas del framework MITRE ATT & CK.

Esta herramienta fue presentada en 2020 en congresos de seguridad como Black Hat USA y Ekoparty o por el equipo de investigadores de Telefónica, Pablo Gonzáles y Francisco Ramírez Vicente,.

Sobre ATTPwn

ATTPwn se puede utilizar para emular ataques conocidos contra sistemas Windows, donde se explotan posibles vulnerabilidades del sistema que permiten, por ejemplo, escalado de privilegios, escaneo de red, recolección de credenciales, persistencia e incluso simular procesos criptográficos como los que ejecuta el popular ransomware WannaCry. La herramienta permite la implementación de una amplia variedad de scripts que se pueden personalizar y cargar, configurando un plan de ataque contra las diferentes amenazas con las que se pretende probar el sistema operativo de la víctima.

Para ayudar a los equipos Red Team y Blue Team a identificar vectores de ataque y defensa, así como probar las medidas de seguridad que debemos aplicar para hacer frente a ataques conocidos, usaremos TheZoo, un repositorio creado para el análisis de malware que contiene muestras de amenazas reales.

A los efectos de este artículo, hemos implementado ATTPwn emulando un tipo de ransomware en un entorno controlado. Los datos actuales existen únicamente con el fin de realizar la prueba.

Al clonar el repositorio ATTPwn o después de ejecutarlo en Docker, ejecutamos el comando: “python app.py”.

Imagen 1. Iniciando el servidor Flask para usar ATTPwn.

Al ingresar a la aplicación que se ejecuta en localhost: 5000, podemos acceder con el usuario y contraseña “root: toor”.

Imagen 2. Pantalla principal de ATTPwn

Una vez dentro de la aplicación, es necesario crear un “Guerrero”, es decir, una máquina donde haremos las pruebas. En este caso, accediendo al menú de Warriors e ingresando la dirección IP de la máquina host, obtendremos el payload con el que la máquina víctima se conectará a la aplicación, simulando el acceso del atacante.

Imagen 3. Creación de un “Guerrero” en ATTPwn

Para esta demostración, utilizamos un sistema virtual Windows 10 x64 y, como ejemplo, se muestra un documento PDF abierto en segundo plano.

Imagen 4. Documento PDF utilizado como ejemplo

Posteriormente, en el menú de herramientas seleccionamos la opción “Plan”, donde podemos ver las amenazas disponibles que podemos seleccionar para cada proyecto, dejando la opción de crear nuevos planes seleccionando diferentes tácticas y técnicas del framework MITRE ATT & CK.

En este caso, seleccionamos el ransomware “WannaCry” para un plan personalizado, junto con técnicas de MITRE Framework, además de los binarios de TheZoo, para poner la demostración al máximo.

Imagen 5. Opciones disponibles para crear un proyecto

Al hacer clic en la opción “Asignar plan”, puede ver las técnicas que se aplicarán a la máquina de la víctima.

Imagen 6. Detalle de la lista de acciones a realizar en la máquina de la víctima en función de la selección de la amenaza y las tácticas y técnicas de MITRE

Como se puede ver en la Imagen 7, al finalizar la ejecución de las técnicas, en la consola de la máquina de la víctima se pueden ver los logs de estos procesos, en los que se indica si se ejecutaron los scripts personalizados de PowerShell para la amenaza seleccionada.

Imagen 7. Detalle de los procesos ejecutados en la máquina de la víctima

Una vez que se completa el proceso, se puede verificar que la máquina de la víctima se ha visto afectada por el ransomware y cómo la información almacenada en la computadora se ha visto comprometida.

Imagen 8. Máquina víctima infectada por el ransomware WannaCry

Finalmente, también es recomendable echar un vistazo a otros proyectos que nos ayudan a comprender las amenazas, como Overlord (Red Team Automation), AutoRDPwn (The shadow Attack Framework), Dynamic Labs (Exploración de Windows y Active Directory), por nombrar algunos. .

Como explica Nicolás Raggi en su artículo Qué es la emulación adversaria y cuál es su propósito, “la emulación adversaria ofrece una nueva forma de evaluar de forma práctica y realista las tecnologías, procesos y personas involucradas en la seguridad corporativa de una organización con un enfoque holístico . Este tipo de ejercicio ofrece un gran valor añadido para las organizaciones con un nivel al menos moderadamente maduro en materia de seguridad ”.

Deja un comentario