Description de la Tecnica
T1590.005 es una técnica del marco MITRE ATT&CK que se enfoca en la recolección de direcciones IP de victimas para ser utilizadas en operaciones de ciberataque. Los atacantes pueden obtener información sobre las redes públicas de una organización, incluyendo detalles como el tamaño organizacional, la ubicación física, el proveedor de servicios Internet (ISP) y otros datos relacionados con la infraestructura de red.
Esta técnica se utiliza para mapear el entorno de una organización, permitiendo a los adversarios identificar puntos de acceso vulnerables o recursos que puedan ser explotados en fases posteriores del ataque.
Como Funciona
Los adversarios pueden utilizar herramientas y técnicas para recopilar direcciones IP públicas asignadas a una organización. Estas IPs suelen estar organizadas por bloques o rangos secuenciales, lo que permite a los atacantes analizar patrones de uso y extraer información adicional.
El proceso incluye la identificación de IPs en uso, el análisis de registros DNS, la enumeración de dispositivos en la red y la extracción de datos como la ubicación geográfica o el ISP. Este tipo de recolección puede ser parte de una estrategia más amplia de reconocimiento activo durante un ataque.
Actores que la Utilizan
No se proporcionan datos específicos sobre actores o grupos que utilizan esta técnica. Sin embargo, es parte del marco MITRE ATT&CK, lo que sugiere que puede ser empleada por una amplia gama de amenazas, incluyendo TTPs (Tactics, Techniques, and Procedural) de múltiples actor.
La técnica no está limitada a un tipo específico de atacante, y su implementación depende del contexto y los objetivos del adversario.
Deteccion
La detección de esta técnica requiere monitoreo continuo de tráfico red y análisis de patrones anómalos. Se pueden identificar actividades como consultas DNS no autorizadas, escaneos de red o solicitudes a bases de datos de IP públicas.
Se recomienda la implementación de herramientas de seguridad que permitan la detección de enumeration en redes y la vigilancia de cambios inusuales en el uso de direcciones IP dentro de una organización.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Las organizaciones deben implementar medidas para proteger su infraestructura de red, como el uso de firewalls para bloquear acceso no autorizado a bases de datos de IP públicas, la auditoría regular de dispositivos en la red y la educación de usuarios sobre la privacidad de información.
Además, se recomienda la configuración de políticas de seguridad que limiten la exposición de direcciones IP sensibles y la monitorización continua de actividades anómalas en el entorno de red.