Descripción de la Tecnica
Automated Collection es una técnica de ciberseguridad definida en el MITRE ATT&CK como parte del grupo attack-pattern. Una vez que un atacante ha establecido acceso a un sistema o red, puede utilizar técnicas automatizadas para recopilar datos internos. Este método implica la utilización de herramientas como Command and Scripting Interpreter (T1059) para buscar y copiar información que cumpla criterios específicos, como tipo de archivo, ubicación o nombre, en intervalos de tiempo definidos.
¿Cómo Funciona?
La técnica se basa en la automatización de procesos de recopilación de datos. En entornos basados en la nube, los atacantes pueden emplear APIs de la nube, pipelines de datos, interfaces de línea de comandos o herramientas que extraigan información de fuentes no esperadas. La automática permite a los adversarios ejecutar tareas repetitivas sin intervención manual, lo que aumenta la eficiencia y dificulta su detección.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores cibernéticos, incluyendo grupos de ciberdelincuencia y entidades maliciosas. Aunque no se especifica un actor particular en el contexto proporcionado, se asocia con amenazas que buscan exfiltrar información sensible o realizar análisis de datos para actividades maliciosas.
Detección
La detección de Automated Collection requiere monitoreo continuo de actividades anómalas, como el acceso inusual a recursos, la ejecución frecuente de scripts o la extracción de datos de fuentes no autorizadas. Herramientas como sistemas informáticos de seguridad (SIEM) y análisis de logs pueden ayudar a identificar patrones que indican la presencia de una actividad automatizada.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a Automated Collection, se recomienda: - Revisar y restringir el acceso a APIs y servicios críticos. - Implementar políticas de control de scripts y ejecuciones automatizadas. - Centrarse en la seguridad de las perfiles de usuarios con privilegios elevados. - Realizar auditorías periódicas de los sistemas y monitoreo de actividades inusuales.