Descripción de la Tecnica
T1543 (Create or Modify System Process) es una técnica de ciberseguridad relacionada con el MITRE ATT&CK que describe cómo los actores maliciosos pueden crear o modificar procesos del sistema para mantener una persistencia. Este método permite a los atacantes ejecutar cargas de trabajo maliciosas repetidamente, incluso después de reiniciar el sistema.
Los sistemas operativos modernos, como Windows, Linux y macOS, están diseñados para iniciar procesos en segundo plano durante el arranque. Estos procesos, conocidos como servicios en Windows o systemd units en Linux, son esenciales para funciones críticas del sistema. Sin embargo, pueden ser explotados por actores maliciosos para ocultar actividades no autorizadas.
Como Funciona
La técnica se basa en la manipulación de procesos del sistema para garantizar que un payload malicioso se ejecute automáticamente al iniciar el sistema. En Windows, esto se logra mediante la configuración de servicios. En Linux, se utiliza systemd para definir unidades de servicio. En macOS, se emplean los Launch Daemon y Launch Agent, que son procesos de inicio automatizados.
Mecanismo: El atacante crea un proceso en el sistema con permisos elevados o modifica uno existente. Este proceso puede ejecutar un script malicioso, un servicio, o una aplicación no autorizada. La persistencia se mantiene incluso si el proceso original es terminado.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores maliciosos, incluyendo pero no limitado a: APTs (Advanced Persistent Threats), grupos de ciberdelincuencia, y amenazas de ransomware. Los atacantes suelen aprovechar la complejidad del sistema para evitar detección por parte de sistemas antivirus o monitores de seguridad.
Detección
La detección se basa en la identificación de procesos no conocidos, servicios inusuales, o cambios en las configuraciones de inicio. Los sistemas operativos modernos ofrecen herramientas para monitorear procesos y servicios, como el uso de logs de sistema, herramientas de análisis de comportamiento, y software de seguridad empresarial.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, es fundamental: 1. Mantener actualizadas las actualizaciones del sistema operativo y los software. 2. Implementar monitoreo de procesos y servicios en tiempo real. 3. Utilizar sistemas de detección basados en comportamiento, como herramientas de análisis forense y auditoría de seguridad.