Ziberkriminalek gehien erabiltzen dituzten 10 teknikak

Oraingoz, MITREk lau matritzetan sailkatu ditu TTP horiek, honako arloei begira: enpresen aurkako mehatxuak, mugikorren aurkakoak, industriako kontrol-sistemen aurkakoak eta PRE-ATT&CK. Azken hori desberdina da, eraso baten aurreko fasak jasotzen ditu eta. Matrize horietako bakoitza hainbat taktika, teknika eta prozedurari lotuta dago, eta matrizeak ulertzeko garrantzitsua da kontzeptu hauek definitzea:    

Taktikatzat har dezakegu ziberkriminalen lortu nahi duten helburua. Honako hauek sar daitezke multzo horretan: 

• Lehenbiziko sarrera: Aurkaria sarean sartzen saiatzen ari da.
• Exekuzioa: Aurkaria kode gaizto bat exekutatzen saiatzen ari da.
• Irautea: Aurkaria bere posizioari eusten saiatzen ari da.
• Pribilegioen areagotzea: Aurkaria goi-mailako baimenak lortzen saiatzen ari da.
• Defentsa saihestea: Aurkaria atzeman dezaten eragozten saiatzen ari da. 
• Egiaztagirietara sarbidea: Aurkaria kontuen izenak eta pasahitzak ebasten saiatzen ari da.
• Aurkitzea: Aurkaria bere ingurua nolakoa den jakiten saiatzen ari da. 
• Alboko mugimendua: Aurkaria bere inguruan barrena mugitzen saiatzen ari da.
• Bilketa: Aurkaria bere helburua lortzeko intereseko datuak biltzen saiatzen ari da. 
• Komandoa eta kontrola: Aurkaria arriskuan jarritako sistemekin  harremanetan jartzen saiatzen ari da, haiek kontrolatzeko.
• Irteera: Aurkaria datuak ebasten saiatzen ari da.
• Inpaktua: Aurkaria bere sistemak eta datuak manipulatzen, eteten edo deuseztatzen saiatzen ari da. 

Bestalde, teknikek eta azpi-teknikek helburua lortzeko modua adierazten dute, eta azkenik, prozedurak teknika eta azpi-teknikak gauzatzeko erabiltzen den inplementazio espezifikoa dira.  

Matrize horiek oso erabilgarriak dira, inpaktu esanguratsua izaten ari den mehatxu bat aztertzen den bakoitzean analistek mehatxu horren jokabidea erkatu dezaketelako dagokion matrizearekin, eta hala, nola diharduen behatu eta informazio hori partekatu dezaketelako. Oraingoz, 100 talde kriminal baino gehiago eta 350 programa gaizto baino gehiago daude erregistraturik.   

Artikulu honetan, 12 taktika, 156 teknika eta 272 azpi-tenika dituen "Enterprise" enpresaren matrizea nabarmendu dugu. Ondoren, eta arestian aipatutako analisiak oinarri hartuta, enpresa bati erasotzeko ziberkriminalek gehien erabiltzen dituzten 10 teknikak laburbilduko ditugu: 

1. SpearPhising erantsia. Erasoaldi baten hasiera fitxa fitxategi gaizto bat erantsita duten e-mailak bidaltzean datza, isilpeko informazioa lortzeko edo sistema kolokan jartzeko. Trend Micro konpainiak egin berri duen  azterketa baten arabera, beren produktuek 2020ko lehen erdian blokeatu zituzten mehatxuen %93 posta elektroniko bidez transmititu ziren.
2. Fitxategi gaiztoak. Aurreko teknikarekin zuzeneko harremana du, eta haren helburua da erasoaren jomuga den gailuan erabiltzaileak fitxategi gaizto bat irekitzea. Luzapen ohikoenak .doc, .pdf, .xls, .rtf eta .exe dira.
3. Itsututako fitxategiak. Teknika honen helburua antibirusak eta gisa horretako babes-sistemak saihestea da; izan ere, fitxategi gaiztoak zifratzean datza, kodea ezin erraz analizatzeko. Ondorioz, exekutatu arte ezin da ebatzi gaiztoa den ala ez. 
4. Powershell. Administratzaileek erabili ohi duten sistemaren konfigurazio- eta kontrol-lanabes honen oinarria komandoen eta script-en erabilera intentsiboa da. PowerShell berariaz dago sartuta Windows sistema eragilean, eta erasotzaileek hainbat ekintza egiteko, informazioa bilatzeko eta kodea exekutatzeko erabil dezakete, baita Internetetik fitxategiak deskargatzeko eta exekutatzeko ere, diskoan eta memorian. Gero eta sarriago, ziberkriminalek, oharkabean aritu nahian, sistemak berezkoak dituen tresnak erabiltzen dituzte. 
5. Windowsen komandoak (Windows Command Shell). Aurreko teknikaren ildo beretik, Windowsen komandoen shell delakoa (cmd.exe izena ere badu) sarri erabiltzen dute sistemen administratzaileek, garatzaileek eta erabiltzaile aurreratuek, eta erasoetan ere maiz erabili ohi da.   
6. Sarbide-tresnen transferentzia. Teknika honen bidez, erasotzaileek tresnak edo bestelako artxiboak transferitzen dituzte komando- eta kontrol-kanala baliatuta, edo FTPa eta halako protokoloak erabilita.
7. Erregistroaren hasierako sarrerak / Hasierako karpeta. Oinarria sisteman irautea da, hasierako karpeta bati programa bat gehituz edo haren aipamena eginez Erregistroaren exekuzio-gako baten bidez.
8. Web-protokoloak. Ziberkriminalak erasandako sistemekin harremanetan jartzen dira web-trafikoari lotutako geruza-protokoloak erabiliz, web-trafikoan nahasita egoteari esker detektatuak edo iragaziak ez izateko. 
9. Fitxategiak ezabatzea. Teknika honen funtsa erasoa agerian uzten duten fitxategiak ezabatzea da. Malwareak, erabilitako tresnek eta eraso baten ondoren sistema batean sortzen diren beste fitxategi ez-jatorrizko batzuek aztarna utzi eta sarean zer eta nola egin den adieraz dezakete. Horregatik, fitxategi horiek erasandako sisteman sartzeko unean bertan edo horren ostean ezabatu ohi dira, ahalik eta arrastorik txikiena uzteko.   
10. Programatutako zereginak. Erasotzaileak Windowsen Zereginen Programatzailea erabiltzen du, sistema abiaraztean exekutatuko den kode gaiztoko zeregin bat kokatzeko, bertan irauteko edo errepikaria izateko.    

ATT&CKn jasotako teknika bakoitzari loturik, hura erabiltzen ari ote den atzeman ahal izateko mekanismoak daude erregistratuta, baita arazoa arintzeko edota konpontzeko zenbait neurri ere. Halaber, DETT&CT-en gisako tresna gehigarriak erabiliz gure azpiegituraren zein ikuspegi dugun neurtu dezakegu, baita mehatxu zehatzen aurrean zer detekzio-ahalmen dugun ere, eta hori oso erabilgarria da.    

Kontuan izan beharra dago zibererasoak eta zibermehatxuak etengabe eboluzionatzen ari direla, eta horrenbestez, Diamond Model, Cyberkill Chain, MITRE ATT&CK eta halako framework-ak erabiliz haien jokabidea aztertzea zeharo onuragarria da komunitatearentzat, eta oztopo handiak jartzen dizkie ziberkriminalen eragiketei, erabiltzen dituzten teknikei lotutako babes-neurriak inplementatuz gero behartuta baitaude beren jarduteko eran aldaketa handiak egiteko, arrakasta izaten jarraituko badute.