Descripción de la Tecnica
Keylogging es un patrón de ataque en el framework MITRE ATT&CK que describe la práctica de interceptar las teclas presionadas por un usuario para obtener credenciales sensibles. Este método se utiliza cuando otros métodos, como OS Credential Dumping (T1003), no son efectivos. La técnica requiere un tiempo prolongado para capturar datos confidenciales y está asociada al MITRE: T1056.001.
Como Funciona
Un atacante puede implementar un software malicioso (keylogger) que se instala en un sistema para registrar cada tecla presionada. Esto incluye contraseñas, códigos de acceso y otros datos sensibles. Los keyloggers pueden operar en el nivel del kernel o como procesos maliciosos, capturando entradas en tiempo real. La técnica es efectiva cuando se combina con otras tácticas para maximizar la obtención de credenciales.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados y grupos cibernéticos que buscan comprometer sistemas críticos. No hay datos específicos sobre actores particulares en el contexto proporcionado, pero se asocia con amenazas de alto nivel que priorizan la obtención de credenciales para acceso posterior.
Detección
La detección de keylogging implica monitorear comportamientos anómalos, como procesos no identificados, actividad en perfiles de usuario inusuales o accesos a archivos sensibles. Herramientas de seguridad pueden detectar patrones de teclado que no coinciden con el uso normal del sistema.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Las mitigaciones incluyen educar a los usuarios sobre riesgos de software no autorizado, implementar protección en endpoints contra malware y realizar auditorías regulares. También es crucial monitorear actividades de entrada en sistemas críticos y limitar el acceso a credenciales sensibles.