Descripción de la Tecnica
PowerShell Profile es una técnica relacionada con el PowerShell que permite a los atacantes mantener persistencia y obtener privilegios elevados al ejecutar contenido malicioso mediante perfiles de PowerShell. Los perfiles de PowerShell (profile.ps1) se cargan automáticamente cuando PowerShell inicia, lo que los convierte en una herramienta potencial para personalizar entornos de usuario o sistema.
Como Funciona
Un perfil de PowerShell es un script que se ejecuta al iniciar la sesión. Los atacantes pueden aprovechar esta funcionalidad para: - Inyectar código malicioso: Al modificar el perfil, se puede incluir código que se ejecute automáticamente al iniciar PowerShell. - Obtener privilegios elevados: El perfil puede utilizarse para ejecutar comandos de administrador o configuraciones de alto nivel. - Crear persistencia: Algunas técnicas como MITRE: T1546.013 dependen de perfiles para mantener acceso a largo plazo.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos que buscan controlar sistemas mediante PowerShell. Aunque no se especifican actores concretos en el contexto proporcionado, se asocia con amenazas de alto nivel que priorizan la persistencia y la escalabilidad de privilegios.
Detección
La detección implica:
- Monitoreo de cambios en perfiles: Buscar modificaciones no autorizadas en archivos como $PROFILE.
- Análisis de scripts: Verificar que los scripts ejecutados no estén relacionados con actividades maliciosas.
- EDR/UEBA: Herramientas de detección de amenazas pueden alertar sobre ejecuciones inusuales de PowerShell.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo: - Auditoría regular: Revisar perfiles de PowerShell para asegurar que no estén modificados sin autorización. - Principio de mínima privilegio: Limitar el acceso a scripts y configuraciones críticas. - Uso de EDR: Implementar soluciones de detección de amenazas para monitorear actividades anómalas en PowerShell.