Descripción de la Tecnica
Hide Artifacts es una técnica del MITRE ATT&CK (T1564) que permite a los adversarios ocultar artefactos asociados a sus actividades para evadir la detección. Este comportamiento se basa en la capacidad de los sistemas operativos para ocultar elementos críticos, como archivos, directorios o cuentas administrativas, para evitar alteraciones no intencionales por parte del usuario o la interrupción de tareas clave.
¿Cómo Funciona?
Los adversarios abusan de las características nativas de los sistemas operativos para ocultar rastros de sus actividades. Por ejemplo, pueden: - Ocultar archivos o directorios que no deberían existir en el sistema. - Crear cuentas de usuario no documentadas para ejecutar tareas administrativas sin ser detectados. - Modificar configuraciones del sistema para evitar que los usuarios o herramientas de seguridad identifiquen actividades anómalas.
Actores que la Utilizan
Esta técnica es ampliamente utilizada por grupos adversarios que buscan evadir mecanismos de detección. Ejemplos incluyen: - Grupos cibernéticos avanzados que operan en entornos corporativos o gubernamentales. - Atacantes con habilidades de escalada de privilegios que buscan mantener acceso sin ser rastreados.
Detección
La detección de Hide Artifacts requiere análisis de comportamiento anómalo, como:
- La presencia de archivos o directorios no registrados en el sistema.
- Cambios en la estructura de usuarios o permisos que no estén documentados.
- Uso inusual de funciones del sistema para ocultar actividades críticas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica: - Realizar auditorías periódicas del sistema para identificar artefactos no registrados. - Configurar monitoreo de perfiles de usuario y permisos con detección de cambios inusuales. - Implementar actualizaciones de firmware y sistemas operativos para cerrar vulnerabilidades que puedan ser explotadas por este tipo de ataques.