jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Fileless Storage

Fileless Storage

Threat-actor 2 min lectura
Fecha
26 May 2026
Actor
-
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium
41
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

1IOCs
0TTPs
N/DActor
United StatesPais

Fileless Storage

Descripción de la Tecnica

Fileless Storage es una técnica utilizada por atacantes para almacenar datos en formatos no basados en archivos, evitando dejar rastros visibles en sistemas operativos tradicionales. Este método permite a los adversarios ocultar actividades maliciosas de defensas basadas en la detección de archivos.

En Windows, ejemplos incluyen el registro del sistema, logs de eventos o repositorios de WMI (Windows Management Instrumentation). En Linux, se utilizan directorios temporales como /dev/shm, /run/shm, y volátiles en dispositivos de red. Esta práctica es ampliamente documentada en el MITRE ATT&CK como T1027.011.

¿Cómo Funciona?

La técnica se basa en la manipulación de estructuras no persistentes o volátiles para almacenar información temporalmente sin crear archivos físicos. Por ejemplo, un atacante podría usar el registro de Windows para almacenar comandos maliciosos o credenciales. En sistemas Linux, se aprovechan directorios temporales que son reiniciados al reiniciar el sistema.

Este enfoque evita la detección mediante la ausencia de archivos, aunque puede ser rastreado por monitoreo proactivo en registros y logs. La técnica es especialmente efectiva en entornos con protección basada en la firma de archivos.

Actores que la Utilizan

La técnica se asocia comúnmente con amenazas avanzadas, como Advanced Persistent Threats (APTs), y grupos cybercriminals con capacidad para evadir sistemas de seguridad. Se documenta en el MITRE ATT&CK como una práctica recurrente en ataques de nivel alto.

Detección

La detección requiere monitoreo proactivo en estructuras no volátil y volátiles. Herramientas como sistemas SIEM (Security Information and Event Management) pueden analizar patrones anómalos en registros, logs de eventos o WMI. Por ejemplo, consultas en el registro del sistema para buscar cadenas repetidas o modificaciones inusuales.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo, se recomienda: 1. Implementar monitoreo proactivo en registros y logs críticos. 2. Utilizar herramientas de análisis de secuencias anómalas (como SIEM). 3. Realizar auditorías regulares de configuraciones de registro y WMI. 4. Limitar el acceso a estructuras no volátiles sensibles (ej.: /dev/shm en Linux). 5. Documentar cambios inesperados en registros o logs para detectar actividades maliciosas.

Diamond Model

Adversary
No atribuido
Victim
Fileless Storage
attack.mitre.org
United States
Capability
Threat-actor
Infrastructure
attack.mitre.org

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Domain attack.mitre.org Dominio victima VT OffSec SOCRadar

Referencias y enlaces

→ Mas incidentes en United States → Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom