Principiantemitre-attacksocreferenciaframeworkdeteccion

MITRE ATT&CK Cheatsheet: Referencia Rápida para el SOC

Referencia rápida de MITRE ATT&CK para analistas SOC. Las 14 tácticas, las técnicas más frecuentes en malware, data sources clave y cómo mapear alertas a ATT&CK en segundos.

MalwareIntel Research··8 min lectura
Serie: Handbooks y Guías Gratuitas — Parte 3

Para que sirve ATT&CK en el SOC

MITRE ATT&CK resuelve un problema fundamental: cuando recibes una alerta en el SOC, necesitas contexto inmediato. No solo que paso, sino por que el atacante lo hizo, que viene despues y que mas deberias buscar.

ATT&CK proporciona ese contexto. Si una alerta indica que un proceso ejecuto PowerShell codificado en base64, ATT&CK te dice que eso corresponde a T1059.001 (Command and Scripting Interpreter: PowerShell), que pertenece a la tactica Execution, y que los adversarios que usan esta tecnica tipicamente la combinan con T1055 (Process Injection) para persistencia y T1071 (Application Layer Protocol) para comunicaciones C2.

Este cheatsheet condensa la informacion esencial de ATT&CK para que puedas usarla en tiempo real durante el triaje de alertas.

Las 14 tacticas de ATT&CK Enterprise

Las tacticas representan el objetivo del adversario en cada fase del ataque. Siguen un orden logico que refleja la progresion tipica de un ataque, aunque los adversarios reales no siempre siguen este orden linealmente.

Reconnaissance (TA0043)

El adversario recopila informacion sobre el objetivo antes del ataque. Incluye busqueda en fuentes abiertas (OSINT), escaneo de infraestructura y recopilacion de datos de empleados.

Tecnicas frecuentes en malware: Phishing for Information (T1598), Active Scanning (T1595), Search Open Technical Databases (T1596).

Data sources clave: logs de DNS, registros de acceso web, alertas de honeypots.

Resource Development (TA0042)

El adversario prepara la infraestructura de ataque: registra dominios, compromete servidores para C2, crea cuentas de email para phishing y desarrolla o adquiere malware.

Tecnicas frecuentes: Acquire Infrastructure (T1583), Develop Capabilities (T1587), Stage Capabilities (T1608).

Data sources clave: registros de dominios (WHOIS), certificate transparency logs.

Initial Access (TA0001)

El punto de entrada al entorno de la victima. Es la tactica mas visible en las alertas de email gateway y web proxy.

Tecnicas frecuentes en malware: Phishing (T1566), Exploit Public-Facing Application (T1190), Drive-by Compromise (T1189), Valid Accounts (T1078).

Data sources clave: logs de email gateway, web proxy, autenticacion, VPN.

Execution (TA0002)

El adversario ejecuta codigo en el sistema comprometido. Las alertas de EDR concentran una gran parte de sus detecciones en esta tactica.

Tecnicas frecuentes: Command and Scripting Interpreter (T1059), User Execution (T1204), Windows Management Instrumentation (T1047), Scheduled Task/Job (T1053).

Data sources clave: process creation events, script execution logs, WMI traces.

Persistence (TA0003)

El adversario establece mecanismos para sobrevivir a reinicios y cierres de sesion. Es una tactica critica porque indica que el compromiso no es transitorio.

Tecnicas frecuentes: Registry Run Keys (T1547.001), Scheduled Task (T1053.005), Create Account (T1136), Boot or Logon Autostart (T1547).

Data sources clave: registry modifications, scheduled tasks, startup folder, services.

Privilege Escalation (TA0004)

El adversario obtiene permisos mas elevados en el sistema o la red. Muchas tecnicas de esta tactica se solapan con Persistence.

Tecnicas frecuentes: Process Injection (T1055), Exploitation for Privilege Escalation (T1068), Valid Accounts (T1078), Access Token Manipulation (T1134).

Data sources clave: process creation con privilegios elevados, cambios de token, UAC bypass.

Defense Evasion (TA0005)

La tactica con mas tecnicas de todo el framework. El adversario intenta evitar deteccion por parte de herramientas de seguridad y analistas.

Tecnicas frecuentes: Obfuscated Files or Information (T1027), Masquerading (T1036), Process Injection (T1055), Indicator Removal (T1070), Disable or Modify Tools (T1562).

Data sources clave: process injection events, file modifications, security tool status.

Credential Access (TA0006)

El adversario roba credenciales para moverse lateralmente o acceder a recursos adicionales.

Tecnicas frecuentes: OS Credential Dumping (T1003), Input Capture (T1056), Brute Force (T1110), Steal Web Session Cookie (T1539).

Data sources clave: LSASS access, credential store access, authentication anomalies.

Discovery (TA0007)

El adversario explora el entorno comprometido para entender la red, los sistemas y los datos disponibles.

Tecnicas frecuentes: System Information Discovery (T1082), File and Directory Discovery (T1083), Network Service Discovery (T1046), Account Discovery (T1087).

Data sources clave: command execution logs, network scanning patterns.

Lateral Movement (TA0008)

El adversario se mueve de un sistema a otro dentro de la red comprometida. Es una senal clara de que el ataque ha progresado mas alla del compromiso inicial.

Tecnicas frecuentes: Remote Services (T1021), Lateral Tool Transfer (T1570), Internal Spearphishing (T1534).

Data sources clave: SMB traffic, RDP sessions, PSExec usage, WMI remote execution.

Collection (TA0009)

El adversario recopila los datos que son el objetivo del ataque: documentos, emails, bases de datos, credenciales.

Tecnicas frecuentes: Data from Local System (T1005), Data Staged (T1074), Archive Collected Data (T1560), Screen Capture (T1113).

Data sources clave: file access patterns, archive creation, clipboard access.

Command and Control (TA0011)

El adversario establece comunicacion con los sistemas comprometidos para enviar comandos y recibir datos. Es una de las tacticas mas detectables por analisis de trafico de red.

Tecnicas frecuentes: Application Layer Protocol (T1071), Encrypted Channel (T1573), Proxy (T1090), Ingress Tool Transfer (T1105).

Data sources clave: DNS queries, HTTP/HTTPS traffic patterns, beaconing detection.

Exfiltration (TA0010)

El adversario extrae datos del entorno comprometido. Puede usar el mismo canal C2 o canales alternativos.

Tecnicas frecuentes: Exfiltration Over C2 Channel (T1041), Exfiltration Over Web Service (T1567), Exfiltration Over Alternative Protocol (T1048).

Data sources clave: outbound data volume anomalies, uploads to cloud services.

Impact (TA0040)

El adversario ejecuta su objetivo final: destruccion de datos, cifrado (ransomware), denegacion de servicio o manipulacion de datos.

Tecnicas frecuentes: Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490), Service Stop (T1489), Defacement (T1491).

Data sources clave: mass file modifications, shadow copy deletion, service status changes.

Top 15 tecnicas mas usadas por malware

Basado en reportes de amenazas publicos y datos de MITRE ATT&CK, estas son las 15 tecnicas que aparecen con mas frecuencia en campanas de malware documentadas:

  1. T1059 Command and Scripting Interpreter: PowerShell, cmd, bash, Python
  2. T1055 Process Injection: DLL injection, process hollowing, APC injection
  3. T1027 Obfuscated Files or Information: packing, encoding, encryption
  4. T1566 Phishing: spearphishing attachment, link, service
  5. T1071 Application Layer Protocol: HTTP, HTTPS, DNS para C2
  6. T1053 Scheduled Task/Job: persistencia via tareas programadas
  7. T1547 Boot or Logon Autostart: Run keys, startup folder
  8. T1036 Masquerading: nombres de proceso y fichero legitimos
  9. T1105 Ingress Tool Transfer: descarga de herramientas adicionales
  10. T1070 Indicator Removal: borrado de logs, timestomping
  11. T1486 Data Encrypted for Impact: ransomware
  12. T1003 OS Credential Dumping: Mimikatz, LSASS dump
  13. T1082 System Information Discovery: reconocimiento del sistema
  14. T1078 Valid Accounts: uso de credenciales robadas
  15. T1204 User Execution: el usuario abre el adjunto malicioso

Como mapear alertas a ATT&CK en tiempo real

Paso 1: Identifica la accion observable

Cuando recibes una alerta, identifica la accion concreta que la genero. Por ejemplo: "powershell.exe ejecuto un script codificado en base64" o "svchost.exe creo una conexion a una IP externa en puerto 443".

Paso 2: Busca la tecnica

Usa el buscador de attack.mitre.org o el ATT&CK Navigator para encontrar la tecnica correspondiente. Con experiencia, este paso se vuelve automatico para las tecnicas mas comunes.

Paso 3: Identifica la tactica

La tecnica te dice la tactica. Si es T1059.001 (PowerShell), la tactica es Execution. Si es T1547.001 (Registry Run Keys), es Persistence. Algunas tecnicas aparecen en multiples tacticas.

Paso 4: Anticipa las tecnicas relacionadas

ATT&CK documenta que tecnicas suelen usarse juntas. Si detectas Execution, busca evidencia de Persistence y Defense Evasion. Si detectas Lateral Movement, busca Credential Access previo.

Paso 5: Documenta en la alerta

Anade el ID de tecnica ATT&CK a la alerta en tu SIEM o ticketing system. Esto permite analisis posterior de cobertura y tendencias.

Data sources prioritarios por tactica

No todos los data sources tienen el mismo valor. Esta tabla resume los logs mas criticos para detectar cada tactica:

Initial Access: email gateway logs, web proxy, WAF, VPN authentication. Execution: process creation (Sysmon Event 1), script block logging (Event 4104), WMI traces. Persistence: registry modifications (Sysmon Event 13), scheduled tasks, service creation (Event 7045). Defense Evasion: process access (Sysmon Event 10), image loads (Event 7), file creation. Credential Access: LSASS access (Sysmon Event 10), authentication failures (Event 4625). Lateral Movement: network connections (Sysmon Event 3), SMB traffic, RDP sessions (Event 4624 Type 10). C2: DNS queries (Sysmon Event 22), proxy logs, netflow. Exfiltration: DLP alerts, outbound data volume, cloud storage uploads.

Herramientas complementarias

ATT&CK Navigator

Herramienta web gratuita de MITRE que permite crear capas de visualizacion sobre la matriz ATT&CK. Puedes colorear las tecnicas segun tu cobertura de deteccion, las tecnicas usadas por un actor especifico o las tecnicas observadas en un incidente.

DeTT&CT

Framework de codigo abierto para mapear tu visibilidad de datos y cobertura de deteccion contra ATT&CK. Genera scores de cobertura por tecnica y visualizaciones que identifican tus puntos ciegos.

ATT&CK Powered Suit

Extension de navegador que anade contexto ATT&CK a cualquier pagina web. Cuando lees un reporte de amenazas, resalta automaticamente las referencias a tecnicas ATT&CK y permite navegar directamente a la documentacion.

Conclusion

MITRE ATT&CK no es un producto que instalas. Es un lenguaje y un framework de pensamiento que mejora la calidad de tu analisis. Este cheatsheet te da la referencia rapida para empezar a usarlo hoy mismo en tu SOC. La clave es la practica: cada alerta que mapeas a ATT&CK te hace mas rapido en la siguiente.

Preguntas frecuentes

Libros recomendados

MITRE ATT&CK for Dummies

Amazon (enlace afiliado)

Crafting the InfoSec Playbook (Jeff Bollinger)

Amazon (enlace afiliado)

Artículos relacionados

Handbooks y Guías GratuitasPrincipiante

Top 20 Cheatsheets de Análisis de Malware

Handbooks y Guías GratuitasIntermedio

YARA y Sigma Cheatsheet: Sintaxis y Ejemplos Rápidos

Handbooks y Guías GratuitasIntermedio

IR Playbook: Template Gratuito y Personalizable

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.