Descripción de la Tecnica
Print Processors es una técnica de ciberseguridad relacionada con el ataque-pattern T1547.012, que permite a los adversarios aprovechar el servicio de impresión del sistema para ejecutar archivos DLL maliciosos durante el arranque, con el objetivo de mantener persistencia y escalada de privilegios. Este método utiliza los procesadores de impresión, que son bibliotecas dinámicas (DLLs) cargadas por el servicio spoolsv.exe, durante el proceso de inicialización del sistema.
Como Funciona
Los adversarios pueden instalar procesadores de impresión maliciosos mediante la llamada API AddPrintProcessor, lo que permite a estos procesadores cargar DLLs no autorizados al inicio del sistema. Al ser cargados durante el arranque, los archivos maliciosos pueden aprovechar vulnerabilidades en el servicio de impresión para obtener privilegios elevados o mantener una presencia persistente en la máquina afectada.
Actores que la Utilizan
No hay información pública sobre actores específicos que utilicen esta técnica. Sin embargo, técnicas como estas son comúnmente utilizadas por amenazas de alto nivel para aprovechar brechas en sistemas operativos y servicios críticos.
Detección
La detección de esta técnica implica monitorear cambios no autorizados en los procesadores de impresión, identificar DLLs sospechosos en la carpeta del servicio de impresión (C:\Windows\System32\spool) y revisar llamadas API como AddPrintProcessor realizadas con cuentas que tengan permisos elevados. Además, se pueden observar comportamientos anómalos durante el inicio del sistema.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este riesgo, es recomendable: - Configurar adecuadamente el servicio de impresión, asegurando que solo procesadores autorizados estén registrados. - Realizar auditorías periódicas del sistema para detectar modificaciones no autorizadas en el registro o en la carpeta de spool. - Aplicar actualizaciones de seguridad del sistema operativo, ya que Microsoft menciona en su documento introductorio sobre print processors que este servicio puede ser un punto débil.