Detecte ataques de archivos ocultos que utilizan attrib.exe

 
  • Introducción
  • ¿Qué es attrib.exe?
  • ¿Por qué los atacantes utilizan attrib.exe para ocultar archivos?
  • Ejemplo de ataque en el mundo real:
  • Qué monitorear:
  • Cómo detecta Log360 el uso de attrib.exe en ataques con archivos ocultos
 

Monitoree y detecte el uso sospechoso de attrib.exe para evitar el comportamiento sigiloso del malware

Los atacantes pueden aprovechar las herramientas nativas de Windows para evadir la detección y mezclarse con la actividad legítima del sistema. Una de estas herramientas es attrib.exe, que se utiliza para modificar atributos de archivos como la visibilidad y el acceso de solo lectura. Cuando se utiliza de forma indebida, puede ocultar malware, herramientas o cargas útiles a plena vista, simplemente marcándolos como ocultos.

Las reglas de correlación de Log360 ayudan a detectar estos intentos de forma temprana mediante el monitoreo del uso anormal o no autorizado de attrib.exe en los endpoints.

¿Qué es attrib.exe?

Attrib.exe es una herramienta legítima de la línea de comandos de Windows que utilizan los administradores del sistema para ver o modificar los atributos de archivos y carpetas. Con attrib.exe, los usuarios pueden asignar o eliminar propiedades de archivos, como ocultos, de solo lectura, del sistema y almacenarlos. Por ejemplo:

attrib +h +s C:\example\file.exe

Este comando hace que un archivo sea oculto y esté protegido por el sistema, lo que lo oculta de forma efectiva de las vistas predeterminadas en el Explorador de archivos de Windows.

Aunque es útil para fines legítimos, attrib.exe también suele ser objeto de abuso por parte de los atacantes. Dado que se trata de un binario nativo de Windows y está firmado digitalmente por Microsoft, su ejecución suele pasar desapercibida para las herramientas antivirus tradicionales. Esto lo convierte en un binario que se aprovecha de vivir de la tierra, una herramienta legítima que se utiliza de forma indebida con fines maliciosos.

¿Por qué los atacantes utilizan attrib.exe para ocultar archivos?

Aunque attrib.exe es una herramienta de línea de comandos legítima que utilizan los administradores para cambiar los atributos de archivos o carpetas, los atacantes la utilizan para:

  • Ocultar cargas útiles antes o después de la ejecución.
  • Ocultar scripts o binarios maliciosos de las revisiones rutinarias.
  • Evitar ser detectado por las herramientas básicas de monitoreo del sistema de archivos.
  • Mantener la persistencia en los equipos infectados.

Como binario nativo, las organizaciones deben realizar un monitoreo específico de los usos maliciosos de attrib.exe.

Ejemplo de ataque en el mundo real:

Un agente malicioso descarga una carga maliciosa y ejecuta el siguiente comando:

attrib +h +s C:\Users\Public\payload.exe

Este comando oculta el archivo y lo convierte en un archivo de sistema, lo que lo oculta de forma efectiva de las vistas predeterminadas del Explorador de Windows y de las inspecciones rutinarias. A menudo se utiliza como paso previo a la ejecución o preparación de un ataque.

Qué monitorear:

No basta con el monitoreo solo de attrib.exe; es el contexto el que revela el comportamiento sospechoso. Busque:

  • Ejecución de attrib.exe con +h, +s o ambos.
  • Actividad de ocultación de archivos que se produce poco después de la creación o descarga de los archivos.
  • Actividad repetida de ocultación en múltiples endpoints.
  • Usuarios sin privilegios de administrador que ejecutan attrib.exe en rutas confidenciales.
  • attrib.exe utilizado en scripts o ejecutado desde carpetas temporales.

Estos comportamientos pueden indicar el malware sigiloso que se implementa, el abuso de privilegios o intentos de preparación de datos.

Cómo detecta Log360 el uso de attrib.exe en ataques con archivos ocultos

Log360 incluye reglas de correlación que detectan el uso inusual de attrib.exe mediante la evaluación del contexto de ejecución, el rol del usuario, los argumentos de la línea de comandos y los patrones de ruta de archivo.

Lógica de detección:

("Process name" es "attrib.exe")
Y
("Command line" contiene "+h" O "+s")
Y
("File path" coincide con directorios sospechosos como "\Users\Public", "\Temp", o "\AppData")

Esta regla genera una alerta cuando se utiliza attrib.exe para ocultar archivos en ubicaciones que suelen ser objeto de abuso. Al correlacionar esta actividad con el comportamiento de los usuarios y los eventos de archivos, Log360 ayuda a detectar amenazas ocultas que, de otro modo, pasarían desapercibidas.

Para obtener más información sobre cómo funciona esta regla, visite nuestra Biblioteca de reglas de correlación.

Páginas relacionadas

¿Qué es un agente de seguridad de acceso a la nube (CASB)?Cómo mejorar la seguridad en la nube en el sector sanitario con CASBGuía completa sobre Amazon VPC
Descargue ManageEngine Log360, una solución SIEM unificada.  

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Solución integral para la gestión de registros y la auditoría de Active Directory
Productos relacionados