Descripción de la Tecnica
Active Setup es una técnica de persistencia en el marco de MITRE ATT&CK (T1547.014) que permite a los atacantes mantener acceso a un sistema mediante la modificación del registro de Windows. Esta técnica aprovecha mecanismos internos de Windows para ejecutar programas cuando un usuario inicia sesión, garantizando que las acciones se realicen bajo el contexto del usuario y con sus permisos asociados.
Como Funciona
La técnica implica agregar una clave en el registro de Active Setup, que luego se ejecuta automáticamente al iniciar sesión. Este mecanismo está diseñado para instalar aplicaciones o configurar entornos cuando un usuario inicia su sesión. Al alterar esta función, los atacantes pueden garantizar que código malicioso se ejecute en el sistema sin ser detectado durante la autenticación.
Actores que la Utilizan
No se proporcionaron detalles sobre actores específicos. La técnica MITRE T1547.014 no incluye información sobre actores o grupos concretos asociados a esta práctica, aunque es ampliamente utilizada por amenazas de ciberseguridad en general.
Detección
La detección de esta técnica requiere monitoreo continuo del registro de Windows y análisis de actividades anómalas. Por ejemplo, la presencia de claves inesperadas en HKEY_CURRENT_USER\Software\Microsoft\Active Setup\StoredPrograms puede indicar un intento de persistencia. El contexto proporcionado menciona una fecha de 2026-05-26, pero no se detallan otros síntomas específicos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles. No se proporcionaron valores concretos de registro, dominios o IP asociados a esta técnica en el contexto dado. La detección debe basarse en análisis comportamentales y monitoreo del registro.
Mitigación
No se proporcionaron detalles sobre mitigación. No se incluyen recomendaciones específicas de acción para prevenir o mitigar el uso de esta técnica en el contexto suministrado. Se recomienda mantener actualizaciones de sistemas y monitoreo continuo del registro de Windows.