Windows Service

Descripcion de la Tecnica

Windows Service es un patrón de ataque del MITRE ATT&CK que describe cómo los adversarios pueden crear o modificar servicios de Windows para ejecutar cargas maliciosas repetidamente, logrando persistencia en el sistema. Los servicios de Windows son programas o aplicaciones que operan en segundo plano durante el arranque del sistema y están configurados en la Windows Registry. Este método es comúnmente utilizado por amenazas para mantener un acceso prolongado a una red o sistema.

Como Funciona

Los adversarios configuran un servicio de Windows con una ejecutable maliciosa o comandos de recuperación. Durante el arranque del sistema, este servicio se inicia automáticamente, permitiendo que la carga maliciosa se ejecute sin intervención directa del usuario. La configuración del servicio, incluido la ruta de acceso a la ejecutable y las opciones de reinicio, se almacena en la Windows Registry, lo que facilita su modificación o eliminación por parte de un atacante.

Actores que la Utilizan

Threat actors asociados con el MITRE ATT&CK T1543.003 incluyen grupos cibernéticos, amenazas APT (Advanced Persistent Threats) y otros actores que buscan mantener acceso a sistemas o redes por períodos prolongados. Este patrón es ampliamente utilizado en ataques de tipo malware, ransomware y comprometimiento de credenciales.

Deteccion

La detección de este patrón implica monitorear cambios en la configuración de servicios de Windows, especialmente en las claves de la Windows Registry. Se deben buscar: - Servicios con rutas de acceso sospechosas. - Comandos o programas no estándar en la sección HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. - Servicios que se inician automáticamente durante el arranque del sistema. - Uso de herramientas de seguridad como Windows Security Center o sistemas SIEM para alertar sobre comportamientos anómalos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigacion

Para mitigar el riesgo asociado a este patrón, se recomienda: - Actualizar regularmente los sistemas operativos y aplicaciones. - Configurar políticas de seguridad para restringir la creación o modificación de servicios no autorizados. - Utilizar herramientas de detección basadas en comportamiento (por ejemplo, Windows Defender o SIEM). - Realizar auditorías periódicas de los servicios activos y verificar sus configuraciones.