Tema 14

14. Persistencia, escalada de privilegios y movimiento lateral desde la mirada defensiva

Después del acceso inicial, muchas amenazas intentan permanecer, obtener más privilegios y moverse hacia otros sistemas. Entender estas fases desde la defensa permite detectar señales tempranas, contener alcance y reducir impacto.

Objetivo Reconocer comportamiento post-compromiso desde evidencias defensivas
Enfoque Persistencia, privilegios, movimiento lateral, detección y contención
Resultado Relacionar hallazgos de malware con impacto operativo

14.1 Introducción

Una infección no termina cuando el malware se ejecuta por primera vez. En muchos incidentes, el acceso inicial es solo la puerta de entrada. Luego aparecen intentos de persistir, elevar privilegios, descubrir el entorno y moverse hacia otros sistemas.

Estas fases son críticas porque determinan el alcance real del incidente. Una muestra aislada en un equipo de laboratorio puede parecer limitada; en una red corporativa, la misma lógica puede permitir acceso a credenciales, servidores, recursos compartidos o sistemas críticos.

Este tema aborda persistencia, escalada y movimiento lateral desde la defensa: qué significan, qué evidencias dejan, cómo priorizar análisis y qué controles reducen riesgo.

14.2 Cadena post-compromiso

Después de ejecutar código en un sistema, una amenaza puede seguir varias rutas. No todas las muestras implementan todas las fases, pero comprenderlas ayuda a ordenar la investigación.

  1. Establecer ejecución inicial.
  2. Crear persistencia para sobrevivir reinicios.
  3. Recolectar información del sistema y usuario.
  4. Buscar credenciales, tokens o sesiones.
  5. Elevar privilegios si el contexto inicial es limitado.
  6. Descubrir red, recursos y sistemas vecinos.
  7. Moverse lateralmente hacia otros activos.
  8. Ejecutar acción final: robo, cifrado, espionaje o sabotaje.
La defensa debe pensar en alcance. Detectar el archivo inicial es útil, pero no alcanza si ya hubo credenciales robadas o movimiento lateral.

14.3 Persistencia

Persistencia es la capacidad de volver a ejecutarse después de reinicio, cierre de sesión, eliminación parcial o finalización del proceso. Puede ser simple o muy sofisticada.

Objetivos de la persistencia:

  • Mantener acceso después del primer compromiso.
  • Reinstalar componentes eliminados.
  • Ejecutarse bajo otro usuario o contexto.
  • Activarse por horario, evento o acción del usuario.
  • Dificultar erradicación completa.

14.4 Mecanismos comunes de persistencia

Los mecanismos de persistencia suelen abusar de funciones legítimas del sistema. Por eso, el análisis debe distinguir uso administrativo normal de cambios sospechosos por contexto.

Mecanismo Evidencia típica Qué revisar
Claves Run / RunOnce Valores nuevos apuntando a ejecutables o scripts Ruta, usuario, proceso creador y hora
Tareas programadas Tareas nuevas o modificadas Disparador, comando, cuenta y descripción
Servicios Servicio instalado con binario sospechoso Tipo de inicio, cuenta y ruta
Carpeta de inicio Acceso directo, script o ejecutable agregado Extensión real y destino
WMI o eventos Filtros y consumidores persistentes Condición de activación y comando
Extensiones o plugins Componentes cargados por aplicaciones Origen, firma y permisos

14.5 Persistencia en Linux y servicios

En Linux, la persistencia también usa mecanismos legítimos: servicios, cron, scripts de inicio, perfiles de shell, unidades systemd, claves SSH o modificaciones de binarios y bibliotecas.

Evidencias comunes:

  • Unidades systemd nuevas o alteradas.
  • Entradas cron de usuario o sistema.
  • Claves SSH agregadas sin autorización.
  • Modificaciones en perfiles de shell.
  • Bibliotecas cargadas mediante configuración del linker.
  • Binarios en rutas temporales o de escritura amplia.

El principio defensivo es el mismo: relacionar cambio, usuario, hora, proceso y justificación operativa.

14.6 Escalada de privilegios

Escalada de privilegios es pasar de un contexto con permisos limitados a otro con mayores capacidades. Puede ser local, cuando ocurre dentro del mismo host, o asociada a servicios y credenciales para acceder a otros sistemas.

Motivos para escalar:

  • Instalar servicios o drivers.
  • Acceder a credenciales de otros usuarios.
  • Desactivar controles de seguridad.
  • Modificar archivos protegidos.
  • Ejecutar acciones de movimiento lateral.
  • Persistir con mayor resistencia a limpieza.

14.7 Causas comunes de escalada

Desde la mirada defensiva, interesa identificar condiciones que permiten escalar y corregirlas.

Causa Ejemplo defensivo Mitigación
Software vulnerable Servicio local con falla conocida Parcheo y reducción de exposición
Permisos débiles Directorio de servicio escribible por usuarios comunes Revisar ACL y mínimos privilegios
Credenciales expuestas Contraseñas en scripts o archivos de configuración Gestión de secretos y rotación
Servicios mal configurados Binario reemplazable o ruta insegura Endurecimiento y validación de rutas
Privilegios excesivos Usuarios con permisos administrativos innecesarios Revisión de roles y acceso mínimo

14.8 Evidencias de escalada

Una escalada puede dejar rastros directos o indirectos. El analista debe comparar el contexto original con el contexto posterior.

  • Proceso que cambia de usuario o privilegio.
  • Creación de cuentas o grupos administrativos.
  • Ejecución de comandos que requieren privilegios elevados.
  • Instalación de servicios o drivers.
  • Acceso a archivos protegidos.
  • Eventos de autenticación, UAC, sudo o cambios de permisos.

No toda elevación es maliciosa. La clave es verificar proceso iniciador, usuario, tiempo, comando y relación con la muestra o incidente.

14.9 Robo y abuso de credenciales

Las credenciales son una vía frecuente para expansión. Un atacante puede buscar contraseñas, hashes, tokens, cookies, claves SSH, tickets o secretos de aplicaciones.

Fuentes sensibles:

  • Navegadores y gestores de credenciales.
  • Archivos de configuración y scripts.
  • Memoria de procesos y sesiones activas.
  • Variables de entorno y secretos de aplicaciones.
  • Carpetas de herramientas administrativas.
  • Clientes VPN, correo, FTP, nube o repositorios.
Si se sospecha robo de credenciales, limpiar malware no alcanza. Hay que rotar secretos y revisar accesos posteriores.

14.10 Movimiento lateral

Movimiento lateral es el desplazamiento desde un sistema comprometido hacia otros dentro del entorno. Puede usar credenciales válidas, servicios remotos, herramientas administrativas, recursos compartidos o explotación de vulnerabilidades.

Objetivos habituales:

  • Alcanzar servidores con datos críticos.
  • Expandir control a más endpoints.
  • Buscar controladores de dominio o sistemas de identidad.
  • Preparar despliegue de ransomware o herramientas adicionales.
  • Acceder a backups, repositorios o recursos compartidos.

14.11 Señales de movimiento lateral

El movimiento lateral suele verse mejor al correlacionar endpoint, red y autenticación.

Fuente Señal Interpretación posible
Autenticación Logons remotos inusuales Uso de credenciales desde host no habitual
Endpoint Creación remota de procesos Ejecución administrativa o abuso de herramientas
Red Conexiones a muchos hosts internos Reconocimiento o propagación
Archivos compartidos Copias de binarios o scripts a shares Preparación de ejecución remota
Servicios Servicios creados temporalmente Ejecución lateral o despliegue

14.12 Reconocimiento interno

Antes de moverse, muchas amenazas hacen reconocimiento: usuarios, grupos, dominios, recursos compartidos, segmentos, procesos, software instalado y permisos.

Evidencias posibles:

  • Comandos de enumeración de usuarios, grupos o sesiones.
  • Consultas a servicios de directorio.
  • Escaneo de puertos internos.
  • Listado de shares y unidades de red.
  • Inventario de procesos, antivirus o herramientas de administración.
  • Lectura de archivos de configuración con datos de conexión.

14.13 Uso de herramientas legítimas

Muchas fases post-compromiso abusan de herramientas legítimas ya presentes en el sistema. Esto dificulta la detección porque la herramienta no es maliciosa por sí misma; el contexto lo es.

Indicadores de abuso:

  • Herramientas administrativas iniciadas por procesos no habituales.
  • Líneas de comandos largas, codificadas u ofuscadas.
  • Ejecución desde documentos, scripts descargados o directorios temporales.
  • Conexiones remotas fuera de patrones normales.
  • Creación de tareas, servicios o reglas con nombres engañosos.

14.14 Relación con malware

El malware puede implementar directamente persistencia, robo de credenciales o movimiento lateral, o puede actuar como facilitador para que un operador o componente posterior lo haga.

Durante el análisis de una muestra, conviene identificar:

  • Si crea persistencia local.
  • Si enumera usuarios, red o recursos compartidos.
  • Si busca credenciales o tokens.
  • Si intenta ejecutar comandos remotos.
  • Si descarga módulos de expansión.
  • Si contiene funciones que solo se activan por comando C2.

14.15 Priorización defensiva

Cuando aparecen señales post-compromiso, la prioridad defensiva debe ampliarse desde "eliminar archivo" hacia "determinar alcance".

  1. Identificar host inicial y hora probable de compromiso.
  2. Buscar mecanismos de persistencia.
  3. Revisar credenciales expuestas o usadas.
  4. Correlacionar autenticaciones remotas posteriores.
  5. Buscar ejecución similar en otros hosts.
  6. Contener sistemas con señales múltiples.
  7. Rotar credenciales y cerrar accesos abusados.

14.16 Contención

La contención busca detener expansión y preservar evidencia. Debe equilibrar rapidez y visibilidad: aislar demasiado pronto puede cortar actividad, pero también impedir ver alcance; esperar demasiado puede permitir daño.

Acción Cuándo aporta Cuidado
Aislar endpoint Cuando hay actividad activa o expansión Preservar memoria y logs si es posible
Deshabilitar credenciales Si hay evidencia de robo o abuso Coordinar impacto operativo
Bloquear IOCs Con indicadores confiables Evaluar falsos positivos
Cerrar rutas laterales Servicios, shares o accesos abusados No destruir evidencia sin registro
Detener tareas o servicios Persistencia confirmada Guardar configuración antes de eliminar

14.17 Erradicación y recuperación

Erradicar implica eliminar mecanismos de persistencia, componentes maliciosos, cuentas indebidas, configuraciones alteradas y causas raíz. Recuperar implica devolver sistemas a operación confiable.

Acciones típicas:

  • Eliminar persistencia confirmada.
  • Restaurar configuraciones de seguridad alteradas.
  • Aplicar parches y corregir permisos.
  • Rotar credenciales y secretos expuestos.
  • Reinstalar o reconstruir sistemas cuando no hay confianza.
  • Validar que no reaparecen servicios, tareas o conexiones.

14.18 Detecciones útiles

Las detecciones deben enfocarse en combinaciones de comportamiento y contexto.

  • Creación de tarea programada por proceso no habitual.
  • Servicio nuevo con binario en ruta de usuario o temporal.
  • Uso de credenciales administrativas desde host no habitual.
  • Conexiones internas masivas desde un endpoint común.
  • Ejecución de herramientas administrativas por documentos o scripts.
  • Acceso a perfiles de navegador seguido de conexión externa.
  • Cambios de grupo o creación de usuarios durante una ventana anómala.

14.19 Mitigaciones preventivas

La prevención reduce oportunidades de persistencia, escalada y movimiento lateral.

  • Aplicar mínimo privilegio en usuarios y servicios.
  • Eliminar administradores locales innecesarios.
  • Gestionar contraseñas locales de forma única y rotada.
  • Segmentar redes y restringir administración remota.
  • Proteger credenciales, tokens y secretos de aplicaciones.
  • Aplicar parches en sistemas y software expuesto.
  • Monitorear creación de persistencia y uso de herramientas administrativas.

14.20 Relación con MITRE ATT&CK

MITRE ATT&CK ofrece una taxonomía útil para mapear técnicas de adversarios. Puede ayudar a comunicar hallazgos, comparar cobertura defensiva y organizar detecciones.

Para este tema, las tácticas más relacionadas son:

  • Persistence.
  • Privilege Escalation.
  • Credential Access.
  • Discovery.
  • Lateral Movement.
  • Defense Evasion.

El mapeo debe hacerse con evidencia. No conviene asignar técnicas por similitud superficial.

14.21 Checklist de investigación

  1. Identificar proceso inicial, usuario y hora de ejecución.
  2. Buscar persistencia en registro, tareas, servicios y rutas de inicio.
  3. Revisar cambios de privilegios, grupos y cuentas.
  4. Buscar acceso a credenciales, tokens o secretos.
  5. Analizar autenticaciones remotas posteriores.
  6. Revisar conexiones internas y recursos compartidos.
  7. Correlacionar actividad en otros hosts.
  8. Preservar evidencia antes de eliminar mecanismos.
  9. Documentar alcance, contención y acciones correctivas.

14.22 Errores frecuentes

  • Eliminar el archivo inicial sin revisar persistencia.
  • No rotar credenciales después de un posible robo.
  • Analizar solo el host infectado e ignorar autenticaciones remotas.
  • Confundir uso legítimo de herramientas administrativas con benignidad automática.
  • Borrar tareas o servicios sin guardar evidencia.
  • No revisar si el mecanismo reaparece después de reinicio.
  • Asumir que no hubo movimiento lateral porque no hay malware en otros hosts.

14.23 Qué debes recordar de este tema

  • Persistencia mantiene acceso; escalada aumenta capacidades; movimiento lateral expande alcance.
  • Las evidencias deben correlacionar proceso, usuario, tiempo, host y comando.
  • El robo de credenciales obliga a investigar accesos posteriores y rotar secretos.
  • Muchas técnicas abusan de mecanismos legítimos, por lo que el contexto es decisivo.
  • La respuesta debe determinar alcance, no solo eliminar el binario inicial.

14.24 Conclusión

Persistencia, escalada de privilegios y movimiento lateral conectan el análisis de una muestra con el riesgo real para una organización. Comprender estas fases permite pasar de indicadores aislados a una investigación de alcance y respuesta.

En el próximo tema analizaremos comunicaciones: C2, DNS, HTTP, TLS, beaconing y exfiltración, para entender cómo una amenaza se coordina, recibe órdenes y mueve datos.

Volver al índice