Blue Team Lab · SOC / Incident Response

MITRE ATT&CK explicado “para torpes”: de una alerta EDR a mapear T1059 y ampliar el incidente

MITRE ATT&CK EDR Incident Response T1059

Este post explica paso a paso qué significa la matriz MITRE ATT&CK (tácticas, técnicas y sub-técnicas) usando un ejemplo realista: una alerta del EDR por PowerShell (técnica T1059) y cómo se gestiona el caso en un SOC (triage → contención → IoCs → búsqueda global → rescoping).

Autor: Olinformatico (olinformatico.org) · Proyecto: olinformatico.org

Objetivo del artículo

Entender ATT&CK sin memorizar.
Mapear una alerta EDR a una técnica (T1059).
Aprender “qué viene después” en IR.
Aplicarlo a un HomeLab y a portfolio SOC.

Índice rápido

1) ATT&CK en 60 segundos 2) Cómo leer la matriz (imagen) 3) T1059 (Execution) 4) Mini-incidente guiado 5) IoCs vs comportamiento Referencias (APA 7)

1) MITRE ATT&CK explicado en 60 segundos

ATT&CK se define como una base de conocimiento curada sobre el comportamiento de adversarios y las fases del ciclo de ataque, y se organiza en:

Tácticas: el por qué (objetivo del atacante en esa fase).
Técnicas: el cómo (acción concreta para lograr ese objetivo).
Sub-técnicas: variantes específicas (por ejemplo, PowerShell dentro de T1059).

En un SOC, esta taxonomía se usa para convertir alertas sueltas en “historia del ataque” y mejorar detecciones de forma medible.

MITRE ATT&CK – Enterprise Matrix (Versión Conceptual Simplificada)


[1] Initial Access
    ├─ Phishing
    ├─ Valid Accounts
    └─ Exploit Public-Facing Application

[2] Execution
    └─ Command and Scripting Interpreter (T1059)
        ├─ PowerShell
        ├─ Windows Command Shell (cmd)
        ├─ Unix Shell (bash)
        ├─ Python
        └─ JavaScript

[3] Persistence
    ├─ Registry Run Keys / Startup Folder
    ├─ Account Manipulation
    └─ Scheduled Task / Job

[4] Privilege Escalation
    ├─ Exploitation for Privilege Escalation
    └─ Token Impersonation

[5] Defense Evasion
    ├─ Obfuscated Files or Information
    └─ Disable Security Tools

[6] Credential Access
    └─ OS Credential Dumping (T1003)
        └─ LSASS Memory

[7] Discovery
    ├─ Account Discovery
    └─ Network Service Scanning

[8] Lateral Movement
    └─ Remote Services (SMB / RDP)

[9] Command and Control
    ├─ Web Protocols
    └─ Encrypted Channel

[10] Impact
    ├─ Data Encryption for Impact (Ransomware)
    └─ Data Destruction

La matriz ATT&CK organiza el comportamiento del adversario en tácticas (objetivos) y técnicas (acciones concretas). Esta versión es conceptual y educativa. La matriz completa puede consultarse en la web oficial de MITRE ATT&CK.

2) Cómo se lee la matriz de la imagen (paso a paso)

Las columnas grandes (Execution, Persistence, etc.) son tácticas.
Dentro de una táctica aparecen técnicas (ej.: Command and Scripting Interpreter).
Al lado aparece un código Txxxx (ej.: T1059), que es el identificador global de la técnica.
En la técnica se listan sub-técnicas (ej.: PowerShell, Windows Command Shell, Unix Shell, Python, etc.).

Idea clave: la imagen muestra que el atacante puede “ejecutar” cosas (Execution) usando intérpretes legítimos (T1059), y también puede intentar “quedarse” (Persistence) con técnicas como claves de inicio o manipulación de cuentas.

3) T1059: por qué PowerShell, cmd, bash o Python aparecen tanto

T1059 (Command and Scripting Interpreter) se usa cuando el adversario ejecuta comandos o scripts con herramientas existentes del sistema. Es frecuente porque:

Ya viene instalado (PowerShell/cmd/bash).
Permite automatizar acciones (descargar, ejecutar, enumerar, moverse lateralmente).
Reduce la necesidad de “meter” binarios nuevos (menos fricción inicial).

Traducción para principiantes: si un atacante entra, casi siempre usa “la consola” o “scripts” para operar rápido. Por eso T1059 suele aparecer pronto en la cadena del ataque.

Ejemplo conceptual

Si el EDR detecta que se ejecuta powershell.exe con parámetros extraños (por ejemplo, ofuscación o “encoded command”), se mapea a la táctica Execution y a la técnica T1059 (sub-técnica PowerShell).

4) Mini-incidente guiado (SOC realista, muy simple)

En este ejemplo se simula un caso típico: el EDR alerta por ejecución sospechosa de PowerShell. Se clasifica con ATT&CK y se gestiona con respuesta a incidentes.

Paso 1. Salta la alerta del EDR

El EDR genera una alerta: PowerShell se ejecuta con comportamiento anómalo. En SOC, esto se trata como posible ejecución de payload.

Mapa ATT&CK: Táctica Execution → Técnica T1059 (PowerShell como sub-técnica).

Paso 2. Se hace triage (clasificación rápida)

Se verifica si el usuario es legítimo.
Se revisa si el comando es normal o está ofuscado.
Se comprueba si hay conexión de red sospechosa posterior.

Paso 3. Se escala a Incident Handler si es alto impacto

Si se observa actividad interactiva del atacante o riesgo alto, el caso se escala para ejecutar contención coordinada. Este rol decide acciones de contención/erradicación según el plan IR.

Paso 4. Se contiene el endpoint (aislamiento)

Se aísla el equipo para cortar movimiento lateral. El endpoint mantiene comunicación mínima con el servicio del EDR para permitir gestión.

Paso 5. Se recolectan evidencias y se extraen IoCs

Se recolecta información (comando, usuario, procesos hijos, conexiones, archivos creados) y se generan IoCs (hashes, dominios, rutas, usuarios).

Paso 6. Se busca en toda la empresa (sweep)

Se usan los IoCs para buscar en EDR/SIEM si otros equipos muestran el mismo patrón. Si aparece, el incidente se amplía (rescoping) y se contienen más endpoints.

Regla mental simple: 1 equipo comprometido casi nunca es “solo 1 equipo”. Se contiene 1, se extraen IoCs, se busca en todos, y el alcance se ajusta según evidencias.

5) IoCs vs comportamiento (lo que más se usa en SOC)

IoCs (indicadores)

Hash
IP / dominio
Nombre de archivo
Ruta

Son útiles, pero cambian rápido. Un atacante puede rotar infraestructura y evadir IoCs.

Comportamiento (técnicas ATT&CK)

Uso anómalo de intérpretes (T1059)
Acceso a credenciales (p. ej., dumping)
Persistencia (inicio automático)

Es más estable. Por eso ATT&CK se usa para construir detecciones accionables basadas en conductas observadas.

Aplicación a HomeLab / Portfolio (olinformatico.org)

Para documentar un caso de laboratorio de forma empleable, se registra siempre:

Alerta inicial (qué detecta el EDR/SIEM).
Mapa ATT&CK (táctica, técnica, sub-técnica).
Evidencias mínimas (procesos, usuario, red, archivos).
Acción (contención).
IoCs extraídos.
Búsqueda global (sweep) y rescoping si aplica.
Mejoras: nueva regla de detección / hardening.

Referencias (formato APA 7)

MITRE. (s. f.). MITRE ATT&CK®. MITRE ATT&CK. https://attack.mitre.org/
Strom, B. E., Applebaum, A., Miller, D. P., Nickels, K. C., Pennington, A. G., & Thomas, C. B. (2020). MITRE ATT&CK®: Design and philosophy. MITRE. https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
National Institute of Standards and Technology. (2012). Computer Security Incident Handling Guide (SP 800-61 Rev. 2). https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
MITRE. (s. f.). Command and Scripting Interpreter (T1059). MITRE ATT&CK. https://attack.mitre.org/techniques/T1059/

Nota: Este contenido se redacta en presente y se orienta a formación Blue Team/SOC. Se citan fuentes primarias (MITRE y NIST) en APA 7.

8086jef3

Administrator

Visit Website View All Posts