Descripción de la Tecnica
Indicator Removal es una técnica relacionada con el MITRE ATT&CK, perteneciente al grupo attack-pattern. Esta técnica permite a los atacantes eliminar o modificar artefactos generados durante una operación para reducir las señales de su presencia y mezclarse con actividades legítimas. En lugar de remover evidencia en masse, los adversarios pueden enfocarse en artefactos anómalos o probablesmente sospechosos, mientras mantienen suficiente datos para preservar la apariencia de comportamiento normal.
Como Funciona
Los atacantes utilizan esta técnica para ocultar actividades maliciosas al alterar registros, entradas de log o metadatos de archivos. Por ejemplo, podrían modificar historias de comandos o ajustar timestamps de archivos para que se alineen con patrones esperados del usuario o sistema (MITRE: T1070). Este enfoque evita alertas innecesarias mientras mantiene la apariencia de una operación legítima.
Actores que la Utilizan
Esta técnica es empleada por actores con objetivos de longa duración, como APT groups o cibercriminales. Estos grupos buscan evadir detección mediante la manipulación de artefactos digitales, lo que refleja un enfoque estratégico para mantener el control durante operaciones críticas.
Detección
La detección de esta técnica requiere monitoreo atento a anomalías en registros de sistema y metadatos. Por ejemplo, cambios inesperados en historias de comandos o timestamps de archivos pueden indicar una intervención maliciosa. Herramientas de análisis forense y correlación de eventos son clave para identificar patrones que no se alinean con comportamientos normales.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, es fundamental implementar políticas de auditoría estrictas, monitorizar registros críticos y educar a los usuarios sobre comportamientos anómalos. Además, la automatización de análisis de secuencias de comandos y metadatos puede ayudar a detectar actividades sospechosas temprano en la fase de infección.