Descripción de la Tecnica
Device Driver Discovery es una técnica del MITRE ATT&CK que describe cómo los atacantes pueden intentar enumerar los controladores de dispositivos locales en un sistema vulnerable. Esta acción permite a los adversarios obtener información valiosa sobre el entorno del host, como su propósito funcional, la presencia de herramientas de seguridad (por ejemplo, Security Software Discovery) o defensas potenciales (como Virtualization/Sandbox Evasion), así como vulnerabilidades explotables (por ejemplo, Exploitation for Privilege). La enumeración de controladores puede ser un paso inicial en la fase de recolección de información durante una operación de ataque.
Como Funciona
Este atacante utiliza técnicas para identificar y extrar información sobre los controladores de dispositivos instalados en un sistema. Esto puede incluir el uso de comandos o herramientas específicas que interactúan con el sistema operativo o el núcleo del sistema para recuperar detalles como nombres, versiones, rutas de acceso o funciones asociadas a cada controlador. Esta información puede ser utilizada para planificar futuras acciones, como la explotación de vulnerabilidades o la evasión de mecanismos de seguridad.
Actores que la Utilizan
No hay actores específicos mencionados en el contexto proporcionado.
Detección
La detección de esta técnica implica monitorear actividades anómalas relacionadas con la enumeración de controladores de dispositivos. Esto puede incluir la identificación de accesos no autorizados a registros de sistema, comportamientos inusuales en el uso de herramientas de administración de dispositivos o la detección de patrones de actividad que se alinean con los pasos descritos en la técnica MITRE ATT&CK.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Actualización constante de sistemas y software para cerrar vulnerabilidades conocidas. - Monitoreo continuo de actividades en el sistema, especialmente relacionadas con la enumeración de dispositivos o controladores. - Control estricto sobre las herramientas y permisos que pueden interactuar con el sistema operativo o el núcleo del sistema. - Implementación de defensas avanzadas, como sistemas de detección basados en comportamiento (EDR) para identificar actividades anómalas.