Descripción de la Tecnica
T1564.012 es una técnica del MITRE ATT&CK que describe cómo los actores maliciosos intentan ocultar artefactos basados en archivos al escribirlos en carpetas o nombres de archivo excluidos de la escaneo por antivirus (AV) y otras capacidades defensivas. Estas exclusiones suelen ser parte de configuraciones predeterminadas para optimizar el rendimiento del sistema, facilitar la instalación de aplicaciones legítimas, o reducir la carga computacional durante escaneos masivos.
Como Funciona
Los atacantes aprovechan las exclusiones predefinidas por sistemas de seguridad para evitar que archivos maliciosos sean detectados. Por ejemplo, pueden crear archivos en ubicaciones designadas como "excluidas" (como la carpeta %APPDATA% o directorios de software legítimo), donde los escaneos automatizados no se activan. Este método es efectivo cuando las exclusiones son hardcoded (configuradas en código) o contextualmente limitadas a eventos específicos.
Actores que la Utilizan
No se especifican actores concretos en el contexto proporcionado. La técnica no está asociada a un grupo específico de amenazas, pero puede ser utilizada por diversos tipos de atacantes que buscan evadir controles de seguridad basados en archivos.
Detección
La detección implica monitorear cambios anómalos en directorios excluidos y analizar comportamientos inusuales, como la creación de archivos en ubicaciones no típicas. Herramientas de análisis de comportamiento y logs de sistema pueden ayudar a identificar actividades sospechosas. Además, revisiones periódicas de listas de exclusiones de antivirus son críticas para descubrir configuraciones maliciosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este riesgo, se recomienda: - Actualización constante de definiciones de antivirus para asegurar que las exclusiones sean revisadas periódicamente. - Revisión crítica de listas de exclusiones por parte de administradores de seguridad. - Implementación de herramientas de detección de endpoint que monitoren actividades en directorios no escaneados. - Control de acceso a ubicaciones críticas para evitar la creación accidental o maliciosa de archivos en áreas protegidas.