Descripción de la Tecnica
Boot or Logon Initialization Scripts es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, específicamente bajo el grupo attack-pattern. Esta técnica permite a los adversarios establecer persistencia en un sistema mediante la ejecución automatizada de scripts durante el proceso de inicialización del sistema o al iniciar sesión. Los scripts pueden ser utilizados para realizar funciones administrativas, ejecutar programas adicionales o enviar información a servidores de registro interno.
¿Cómo Funciona?
Los scripts de inicialización se activan automáticamente al arrancar el sistema operativo o durante la autenticación de usuario. Los adversarios aprovechan este mecanismo para mantener acceso persistente, incluso después de reinicios. Estos scripts pueden modificar configuraciones del sistema, instalar componentes maliciosos o comunicarse con servidores remotos sin ser detectados por sistemas de seguridad tradicionales.
Actores que la Utilizan
Esta técnica ha sido asociada con actores avancados como APT29, un grupo de ciberdelincuentes conocido por su actividad de espionaje y ataque a redes críticas. También se ha observado en amenazas de tipo Rocke, que utilizan scripts para mantener persistencia en entornos corporativos.
Detección
La detección de esta técnica requiere monitorear scripts no autorizados en ubicaciones de inicialización del sistema (por ejemplo, archivos .sh, .bat o PowerShell). Se deben buscar patrones de comportamiento inusuales, como la ejecución de programas sin permisos de administrador o la comunicación con IPs no registradas. Herramientas de seguridad como SIEM y EDR pueden ayudar a identificar estas actividades.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Actualización regular de sistemas y aplicaciones para cerrar vulnerabilidades.
- Revisión periódica de scripts en directorios de inicialización (por ejemplo, /etc/rc.local en Linux o %APPDATA% en Windows).
- Uso de endpoint detection and response (EDR) para monitorear actividades anómalas.
- Implementación de políticas de acceso estrictas y auditoría continua de cambios en sistemas críticos.