Descripción de la Tecnica
Disable or Modify Windows Event Log es una técnica de ciberseguridad descrita en el MITRE ATT&CK como un patrón de ataque. Los adversarios pueden deshabilitar o modificar los registros del evento de Windows para limitar la cantidad de datos disponibles para detectar y auditar actividades maliciosas. Los registros del evento capturan actividades críticas del sistema, como intentos de inicio de sesión y creación de procesos.
Este comportamiento es parte de una estrategia para evitar la detección por herramientas de seguridad y analistas. La técnica se asocia con el T1685.001 en el MITRE ATT&CK, que aborda la manipulación de registros del sistema para ocultar actividades no autorizadas.
Como Funciona
La técnica implica alterar los registros del evento de Windows para evitar que herramientas de seguridad o auditores identifiquen comportamientos anómalos. El servicio EventLog es responsable de recolectar eventos desde componentes del sistema y aplicaciones, y su configuración puede ser modificada para ocultar información crítica.
Los atacantes pueden deshabilitar el servicio o ajustar parámetros de auditoría para evitar que se registren actividades como procesos maliciosos o accesos no autorizados. Esto limita la capacidad de análisis post-incidente y dificulta la identificación de amenazas.
Actores que la Utilizan
No hay actores específicos mencionados en el contexto proporcionado. La técnica se describe como un patrón general de ataque, no vinculado a una lista específica de actores o grupos maliciosos. Sin embargo, su implementación puede ser utilizada por diversos tipos de amenazas, incluidos ciberataques de alto nivel.
Detección
La detección de esta técnica depende de la capacidad de herramientas de seguridad para identificar cambios anómalos en los registros del evento. Si se deshabilita o modifica el registro, podría indicar una actividad maliciosa. Sin embargo, la manipulación directa de logs puede dificultar la detección por parte de sistemas basados en reglas.
Analistas deben monitorear eventos críticos como "ProcessCreation" o "Logon" para detectar inconsistencias que puedan ser resultado de esta técnica.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
1. Habilitar y supervisar los registros del evento con herramientas como Windows Security Center o soluciones de SIEM.
2. Configurar alertas para eventos críticos que puedan ser alterados por atacantes.
3. Realizar auditorías periódicas para detectar configuraciones inusuales en el registro de eventos.
4. Limitar el acceso a la configuración del servicio EventLog y utilizar autenticación multi-factor para cambios críticos.