Descubrimiento (Táctica MITRE)
¿Qué es Descubrimiento (Táctica MITRE)?
Descubrimiento (Táctica MITRE)Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso.
Descubrimiento (táctica MITRE ATT&CK TA0007) describe el reconocimiento interno que realiza el adversario una vez establecido su foothold. Incluye enumeración de cuentas, descubrimiento de configuración de sistema y red, enumeración de confianzas de dominio, listado de ficheros y directorios, inspección de marcadores y almacenes de contraseñas del navegador, descubrimiento de servicios cloud y software de seguridad, y el uso de herramientas como BloodHound para mapear rutas de ataque en Active Directory. Es una actividad mayoritariamente de solo lectura, difícil de bloquear pero rica en patrones de línea de comandos y API. Los defensores se apoyan en EDR, auditoría de líneas de comandos, decepción (cuentas/archivos señuelo) y detecciones específicas para BloodHound, AdFind o barridos con net.exe.
● Ejemplos
- 01
Ejecutar el recolector SharpHound de BloodHound para mapear caminos de privilegio hasta Domain Admin.
- 02
Ejecutar net group "Domain Admins" /domain para listar cuentas privilegiadas.
● Preguntas frecuentes
¿Qué es Descubrimiento (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Descubrimiento (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso.
¿Cómo funciona Descubrimiento (Táctica MITRE)?
Descubrimiento (táctica MITRE ATT&CK TA0007) describe el reconocimiento interno que realiza el adversario una vez establecido su foothold. Incluye enumeración de cuentas, descubrimiento de configuración de sistema y red, enumeración de confianzas de dominio, listado de ficheros y directorios, inspección de marcadores y almacenes de contraseñas del navegador, descubrimiento de servicios cloud y software de seguridad, y el uso de herramientas como BloodHound para mapear rutas de ataque en Active Directory. Es una actividad mayoritariamente de solo lectura, difícil de bloquear pero rica en patrones de línea de comandos y API. Los defensores se apoyan en EDR, auditoría de líneas de comandos, decepción (cuentas/archivos señuelo) y detecciones específicas para BloodHound, AdFind o barridos con net.exe.
¿Cómo defenderse de Descubrimiento (Táctica MITRE)?
Las defensas contra Descubrimiento (Táctica MITRE) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Descubrimiento (Táctica MITRE)?
Nombres alternativos comunes: Reconocimiento interno, TA0007.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 107
BloodHound
Herramienta de codigo abierto que usa teoria de grafos para mapear y analizar rutas de ataque en Active Directory y Azure AD hacia activos criticos como Domain Admin.
- defense-ops№ 905
Reconocimiento
Primera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión.
- defense-ops№ 606
Movimiento Lateral
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.