jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Match Legitimate Resource Name or Location

Match Legitimate Resource Name or Location

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
Software
Confianza
medium

Key Points

  • Falsificación de nombres de archivos: Crear ejecutables con nombres similares a programas legítimos.
  • Copiado de rutas de acceso: Colocar malware en directorios como C:\Windows\System32, que son comúnmente confiados.
  • Reproducción de claves del registro: Crear claves similares a las utilizadas por programas legítimos, pero con modificaciones suaves para evitar alertas.
  • Análisis de nombres de archivos: Verificar si los nombres parecen legítimos pero contienen anomalías.
  • Monitoreo de cambios en el registro: Identificar claves que se asemejan a las del sistema pero con modificaciones inusuales.

Match Legitimate Resource Name or Location

Descripcion de la Tecnica

Match Legitimate Resource Name or Location es una técnica de ataque asociada al MITRE ATT&CK, perteneciente al grupo attack-pattern. Este método consiste en que los adversarios intentan imitar o aproximar el nombre y la ubicación de recursos legítimos, como archivos, claves del registro o otros elementos del sistema, para evitar ser detectados por sistemas de seguridad o mecanismos de observación.

El objetivo principal es engañar a los sistemas de protección mediante una aparente normalidad. Por ejemplo, un atacante podría colocar un archivo malicioso en una ubicación conocida como System32, o renombrarlo para parecer un programa legítimo como svchost.exe.

Como Funciona

La técnica se basa en la imitación de elementos que los sistemas operativos y usuarios consideran confiables. Algunos métodos incluyen:

  • Falsificación de nombres de archivos: Crear ejecutables con nombres similares a programas legítimos.
  • Copiado de rutas de acceso: Colocar malware en directorios como C:\Windows\System32, que son comúnmente confiados.
  • Reproducción de claves del registro: Crear claves similares a las utilizadas por programas legítimos, pero con modificaciones suaves para evitar alertas.

Actores que la Utilizan

Esta técnica es utilizada por diversos actores cibernéticos que buscan evadir sistemas de detección. Aunque no se especifican actores particulares en el contexto proporcionado, es común que grupos de hackers, ransomware o amenazas APT (Advanced Persistent Threats) la empleen para operaciones críticas.

Deteccion

La detección de esta técnica requiere un análisis de comportamiento y una comparación con patrones conocidos. Algunos métodos incluyen:

  • Análisis de nombres de archivos: Verificar si los nombres parecen legítimos pero contienen anomalías.
  • Monitoreo de cambios en el registro: Identificar claves que se asemejan a las del sistema pero con modificaciones inusuales.
  • Revisión de rutas de acceso: Verificar si los archivos se encuentran en ubicaciones no comunes o con permisos sospechosos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigacion

Para mitigar el impacto de esta técnica, se recomiendan las siguientes acciones:

  • Auditoria regular: Revisar archivos y claves del registro para detectar anomalías.
  • Actualización de sistemas: Mantener software y sistemas actualizados para corregir vulnerabilidades.
  • Captura de comportamiento: Utilizar herramientas de seguridad que monitoren el entorno y alerten sobre actividades sospechosas.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable