Descripcion de la Tecnica
Boot or Logon Autostart Execution es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, catalogada como un attack-pattern. Esta técnica permite a los atacantes configurar sistemas para que se ejecuten programas automáticamente durante el arranque del sistema o la autenticación de una cuenta. El objetivo principal es mantener la persistencia en sistemas comprometidos o obtener privilegios más altos. Los mecanismos operativos de los sistemas operativos permiten la ejecución automática de programas durante el inicio o la logon, según mecanismos como Microsoft Run Key, Authentication Packages, TimeProvider y otros.
Como Funciona
La técnica se basa en la configuración de puntos de inicio o logon que permitan a un programa ser ejecutado al iniciar el sistema o al autenticarse una cuenta. En sistemas Windows, esto puede incluir entradas en la Registry, carpetas de inicio (Startup), o mecanismos como TimeProvider. En Linux, se pueden utilizar archivos en el directorio /etc/rc.local o scripts en /etc/init.d/. Estos mecanismos son aprovechados por adversarios para garantizar que un malware o un proceso malicioso se inicie automaticamente incluso después de reiniciar el sistema.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores, incluyendo grupos de ransomware, ciberdelincuentes, y entidades con intereses maliciosos. Aunque no se especifican actores particulares en el contexto proporcionado, su uso es común en ataques de persistencia para garantizar que un proceso malicioso permanezca activo incluso después de la detección inicial.
Deteccion
La detección de esta técnica requiere monitorear cambios en archivos de inicio, registros del sistema, y configuraciones de autenticación. Es esencial revisar las entradas en Registry, carpetas de inicio, o scripts automatizados para identificar anomalias o ejecuciones no autorizadas. Herramientas de análisis de comportamiento y monitoreo de procesos son clave para detectar actividades sospechosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar este tipo de amenazas, se recomienda: - Configurar sistemas con restricciones estrictas en la autenticación y el inicio. - Utilizar actualizaciones de seguridad constantes para cerrar vulnerabilidades. - Implementar monitoreo continuo de procesos y configuraciones críticas. - Evitar la ejecución automática de programas no verificados o desconocidos.