Descripción de la Tecnica
Fileless Storage es una técnica utilizada por atacantes para almacenar datos en formatos no basados en archivos, evitando dejar rastros visibles en sistemas operativos tradicionales. Este método permite a los adversarios ocultar actividades maliciosas de defensas basadas en la detección de archivos.
En Windows, ejemplos incluyen el registro del sistema, logs de eventos o repositorios de WMI (Windows Management Instrumentation). En Linux, se utilizan directorios temporales como /dev/shm, /run/shm, y volátiles en dispositivos de red. Esta práctica es ampliamente documentada en el MITRE ATT&CK como T1027.011.
¿Cómo Funciona?
La técnica se basa en la manipulación de estructuras no persistentes o volátiles para almacenar información temporalmente sin crear archivos físicos. Por ejemplo, un atacante podría usar el registro de Windows para almacenar comandos maliciosos o credenciales. En sistemas Linux, se aprovechan directorios temporales que son reiniciados al reiniciar el sistema.
Este enfoque evita la detección mediante la ausencia de archivos, aunque puede ser rastreado por monitoreo proactivo en registros y logs. La técnica es especialmente efectiva en entornos con protección basada en la firma de archivos.
Actores que la Utilizan
La técnica se asocia comúnmente con amenazas avanzadas, como Advanced Persistent Threats (APTs), y grupos cybercriminals con capacidad para evadir sistemas de seguridad. Se documenta en el MITRE ATT&CK como una práctica recurrente en ataques de nivel alto.
Detección
La detección requiere monitoreo proactivo en estructuras no volátil y volátiles. Herramientas como sistemas SIEM (Security Information and Event Management) pueden analizar patrones anómalos en registros, logs de eventos o WMI. Por ejemplo, consultas en el registro del sistema para buscar cadenas repetidas o modificaciones inusuales.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda:
1. Implementar monitoreo proactivo en registros y logs críticos.
2. Utilizar herramientas de análisis de secuencias anómalas (como SIEM).
3. Realizar auditorías regulares de configuraciones de registro y WMI.
4. Limitar el acceso a estructuras no volátiles sensibles (ej.: /dev/shm en Linux).
5. Documentar cambios inesperados en registros o logs para detectar actividades maliciosas.