Mantener el acceso a un sistema comprometido de forma prolongada en el tiempo. Ese es el objetivo de la táctica “Persistencia”, utilizada por los cibercriminales para continuar su actividad maliciosa, aunque se produzcan reinicios, cambios de credenciales o escaneos de seguridad, para aumentar sus posibilidades de robar datos o moverse lateralmente dentro de la red.
Para lograr este fin, pueden utilizar hasta 23 tipos diferentes de técnicas de persistencia documentadas en la matriz MITRE ATT&CK. Conocerlas a fondo puede servir de gran ayuda a la hora de detectar y eliminar estas amenazas persistentes de forma temprana, que pueden infiltrarse en las carpetas de inicio, en las tareas programadas o en los servicios del sistema para añadir un malware a la rutina de inicio de un ordenador o modificar su configuración para que se ejecute de forma automática.
Los métodos empleados por los atacantes son múltiples y diversos. Desde manipular claves de ejecución del registro y dominios hasta abusar de cuentas válidas con privilegios administrativos o implantar puertas traseras en el firmware o en los hipervisores de máquinas virtuales para sobrevivir a la reinstalación del sistema operativo.
Supervisar los cambios inusuales de los mecanismos legítimos de inicio automático o los archivos binarios recién introducidos en los directorios clave es fundamental. Busca tareas programadas de baja frecuencia o scripts de inicio de sesión específicos que se desvíen de los patrones de comportamiento habitual en tu rutina de control.
Puedes reducir la tasa de éxito de estos ataques:
- Utilizando la autenticación multifactor (MFA) para cuentas privilegiadas y de usuarios.
- Configurando controles de acceso y firewalls para limitar el acceso a sistemas críticos y controladores de dominio.
- Restringiendo el acceso a archivos potencialmente sensibles relativos a autorizaciones y/o autenticaciones.
