Descripción de la Tecnica
Archive via Utility es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, que describe cómo los atacantes pueden usar herramientas de sistema para comprimir o encriptar datos recopilados antes de su exfiltración. Esta práctica permite a los adversarios formatear y transmitir información de manera más eficiente o segura, especialmente en entornos donde la seguridad de los datos es crítica.
Los atacantes pueden aprovechar herramientas preinstaladas en sistemas operativos, como tar en Linux y macOS, o zip en Windows. En algunos casos, herramientas externas como diantz (relacionada con la técnica MITRE: T1560.001) también pueden ser utilizadas para este propósito.
Como Funciona
La técnica implica varios pasos clave: primero, los atacantes recopilan datos sensibles o críticos desde una red o sistema. Luego, usan herramientas de compresión o encriptación para preparar estos datos antes de su transferencia. Esto no solo reduce el tamaño del archivo, sino que también puede dificultar la detección por parte de sistemas de seguridad.
Las herramientas mencionadas (como tar, zip) son comunes en sistemas operativos y pueden ser abusadas para ocultar actividades maliciosas. Por ejemplo, un atacante podría crear un archivo comprimido con datos sensibles y exfiltrarlo a través de canales no monitoreados.
Actores que la Utilizan
No hay información pública específica sobre actores o grupos que utilicen esta técnica en particular. Sin embargo, se sabe que técnicas similares como T1560.001 (relacionada con el uso de herramientas para exfiltración) son empleadas por múltiples amenazas, incluyendo ciberdelincuentes y grupos maliciosos.
Detección
La detección de esta técnica requiere monitorear comportamientos anómalos en la utilización de herramientas de compresión o encriptación. Esto incluye identificar el uso inesperado de herramientas como tar, zip o diantz en contextos no relacionados con tareas legítimas, especialmente si se detectan actividades de exfiltración de datos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Utilizar encriptación robusta para datos sensibles. - Monitorear y auditar el uso de herramientas de compresión o encriptación en entornos críticos. - Actualizar sistemas operativos y aplicaciones para cerrar vulnerabilidades relacionadas con herramientas preinstaladas. - Implementar controles de acceso estrictos a datos sensibles y monitorear tráffo de red inusual.