Nombra las formas comunes en que el malware persiste en un host Windows entre reinicios, y cómo las cazarías.
Respuesta breve
La persistencia es cómo el malware sobrevive a reinicios y cierres de sesión. Los básicos en Windows son las claves Run/RunOnce del registro (HKLM y HKCU), las tareas programadas y los servicios de Windows, además de las carpetas de inicio, las suscripciones a eventos WMI y el secuestro de DLL. Los cazas con autoruns/Sysinternals, Sysmon y los registros de eventos, buscando binarios sin firmar, rutas extrañas como %AppData% y entradas creadas justo tras el compromiso inicial.
La persistencia es la respuesta del atacante a «¿qué pasa cuando la máquina se reinicia?». Si el implante no sobrevive a un reinicio o cierre de sesión, la intrusión muere. Los entrevistadores preguntan esto para ver si sabes dónde se esconden los atacantes y, igual de importante, dónde buscarías durante una caza o respuesta a incidentes.
Los mecanismos básicos
- Claves Run del registro:
...\CurrentVersion\RunyRunOncebajo HKLM (se ejecuta para cada usuario, requiere admin) y HKCU (se ejecuta al iniciar sesión ese usuario). Simples, comunes y fáciles de inspeccionar. - Tareas programadas: creadas con
schtaskso el Programador de tareas; pueden ejecutarse al iniciar sesión, por temporizador o por evento, a menudo bajo SYSTEM. Almacenadas enC:\Windows\System32\Tasks. - Servicios de Windows: registrados bajo
...\Services; los servicios de inicio automático arrancan al boot con privilegios altos, lo que los hace atractivos para puntos de apoyo duraderos.
Más allá de estos, vigila la carpeta de Inicio, las suscripciones permanentes a eventos WMI (sin archivo y sigilosas), el secuestro del orden de búsqueda de DLL y los «image hijacks» de accesibilidad/IFEO. MITRE ATT&CK cataloga decenas bajo la táctica de Persistencia.
Cómo cazar
Establece la línea base de lo que debería arrancar automáticamente y luego busca desviaciones. Sysinternals Autoruns enumera prácticamente cada ubicación de autoarranque y marca las entradas sin firmar. Sysmon registra la creación de procesos, las modificaciones del registro y las instalaciones de servicios; correlaciónalo con los registros Security/System (p. ej. los eventos de instalación de servicio). Señales de alerta: binarios ejecutándose desde %AppData%, %Temp% o C:\Users\Public, nombres de archivo aleatorios, ejecutables sin firmar y entradas creadas en la misma ventana que el compromiso inicial.
Por qué importa
Una respuesta sólida enumera los tres grandes (claves Run, tareas programadas, servicios), señala la diferencia de privilegio/alcance HKLM vs HKCU, menciona opciones más sigilosas como WMI y explica el enfoque de caza. Eso demuestra que sabes tanto encontrar un punto de apoyo como razonar sobre cómo piensa un atacante en la durabilidad.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia de alcance entre una clave Run de HKLM y una de HKCU?
- ¿Por qué las suscripciones a eventos WMI son un método de persistencia más sigiloso?
- ¿Qué IDs de evento de Sysmon ayudan a detectar nuevos servicios o tareas programadas?