Módulo 2: Gestión de Persistencia y Auditoría de ASEPs
Herramienta: Sysinternals Autoruns v14.xx
Perfil: Hardening de Sistemas / Respuesta a Incidentes
1. Introducción
La persistencia es la técnica utilizada por software (tanto legítimo como malicioso) para sobrevivir al reinicio del sistema.
La herramienta Autoruns permite auditar exhaustivamente los “Puntos de Extensibilidad de Auto-Arranque” (ASEPs), identificando configuraciones que escapan al Administrador de Tareas tradicional.
{width=“6.267716535433071in”
height=“3.236111111111111in”}
2. Metodología de Análisis
Se procedió a realizar una auditoría de “Línea Base” bajo los siguientes parámetros de reducción de ruido:
-
Privilegios: Ejecución como Administrador.
-
Filtros: Se activaron `Hide Microsoft Entries` y `Hide Windows Entries` para aislar el software de terceros.
-
Verificación: Se activó `Verify Code Signatures` para validar la autenticidad de los binarios.
3. Hallazgos Técnicos
3.1 Auditoría de Inicio de Sesión (Logon Tab)
Se inspeccionaron las claves de registro `HKCU\…\Run` y `HKLM\…\Run`.
-
Observación: Se detectó una entrada huérfana (File not found) correspondiente a `electron.app.DeepAgent Listener`.
-
Acción: Se identifica como residuo de una desinstalación incompleta. Se recomienda su eliminación para sanear el registro de eventos.
-
Software Legítimo: Se validó la presencia de agentes de seguridad y virtualización (Malwarebytes, VMware, Tailscale) correctamente firmados.
{width=“6.267716535433071in”
height=“1.0277777777777777in”}
3.2 Auditoría de Tareas Programadas (Scheduled Tasks)
Esta sección reveló alertas de integridad (Color Rojo) que requirieron análisis manual.
Alerta 1: Tarea `\Copia SSD D a E` apuntando a un script `backup_d_to_e.bat`.
Análisis: La alerta “Not Verified” se debe a la naturaleza del archivo (Script Batch) que no soporta firmas digitales incrustadas. Se confirma como script de mantenimiento creado por el usuario (Falso Positivo).
Alerta 2: Tarea `\npcapwatchdog` asociada a la librería de captura de paquetes Npcap.
Análisis: El fabricante utiliza un script `.bat` para monitoreo de estado. Aunque es legítimo, se marca como no verificado por la falta de firma en el script.
Entradas Huérfanas: Se detectaron tareas de actualización de Windows obsoletas (Amarillo) que no impactan en la seguridad pero ensucian la configuración.
{width=“6.267716535433071in”
height=“3.138888888888889in”}
3.3 Auditoría de Servicios (Services Tab)
Se revisaron los servicios de terceros (Drivers y Agentes de Fondo).
Estado: Integridad Total.
Evidencia: Todos los servicios listados (Adobe, Brave, Intel, HP) presentan la firma digital válida y verificada por su respectiva CA (Autoridad Certificadora). No se detectaron drivers maliciosos (Rootkits) ni servicios sin firma.
{width=“6.267716535433071in”
height=“3.3055555555555554in”}
4. Conclusión del Módulo
La auditoría con Autoruns ha permitido:
1. Identificar Residuos: Localización de entradas de registro obsoletas (DeepAgent).
2. Validar Scripts: Diferenciación entre “No Firmado” (Riesgo potencial) y scripts de administración legítimos (`.bat`).
3. Certificar Confianza: Confirmación de que todo el software residente en memoria (Servicios) posee una cadena de confianza válida.