// INFORME: Gestión de Persistencia y Auditoría de ASEPs
// PROYECTO: Sysinternals Deep Dive - Módulo 2
// HERRAMIENTA: Autoruns v14.xx
// ESTADO: Auditoría de Línea Base Finalizada
0x01: El Concepto de Persistencia en Endpoints
En mis experimentos de Hardening de Sistemas y Respuesta a Incidentes, la persistencia es el vector crítico a neutralizar.
Se define como la capacidad de un software, ya sea legítimo o malicioso, para sobrevivir a un reinicio del sistema operativo.
Mientras que el Administrador de Tareas tradicional solo muestra una fracción de estos elementos, la auditoría exhaustiva de los Puntos de Extensibilidad de Auto-Arranque (ASEPs) requiere herramientas de nivel forense.
0x02: Metodología de Auditoría de Línea Base
Para que un análisis de persistencia sea efectivo, he aplicado una metodología de reducción de ruido orientada a aislar el software de terceros del núcleo del sistema operativo.
Este enfoque permite identificar anomalías sin la interferencia de los miles de componentes nativos de Windows.
Parámetros de Configuración Críticos
- Privilegios Elevados: Ejecución obligatoria como Administrador para acceder a las ramas de registro de HKLM y servicios protegidos
- Filtros de Exclusión: Activación de Hide Microsoft Entries y Hide Windows Entries.
- Esto reduce el volumen de datos en un 90%, dejando expuesto únicamente el software instalado por el usuario o vectores de ataque externos.
- Validación Criptográfica: Habilitación de Verify Code Signatures para certificar que los binarios en disco coinciden con la identidad del publicador declarado.
0x03: Análisis de la Pestaña Logon (Registro)
He procedido a auditar las colmenas de registro HKCU\...\Run y HKLM\...\Run, donde reside la mayoría de la persistencia a nivel de usuario.
HALLAZGO TÉCNICO: ENTRADAS HUÉRFANAS
He detectado una entrada marcada como File not found perteneciente a electron.app.DeepAgent Listener.
Tras el análisis, confirmo que es un residuo de una desinstalación incompleta.
Aunque no representa una amenaza inmediata, estas entradas ensucian el registro y deben ser eliminadas para mantener la higiene del sistema.
En contraste, he verificado la presencia de agentes de seguridad y virtualización legítimos como Malwarebytes, VMware y Tailscale, todos con firmas digitales válidas y correctamente asimilados en el sistema.
0x04: Auditoría de Tareas Programadas
Esta sección es habitualmente utilizada para la persistencia silenciosa.
Mi análisis ha revelado alertas de integridad (resaltadas en rojo) que han requerido un análisis manual profundo.
>> Evaluación de Falsos Positivos
// REVISIÓN DE SCRIPTS NO FIRMADOS
1) Vemos la tarea \Copia SSD D a E
Estado Not Verified debido a que el archivo objetivo es un script .bat
Falso positivo !!
- Los archivos de procesamiento por lotes no soportan firmas digitales incrustadas, por lo que Autoruns siempre los marcará como riesgo potencial, requiriendo validación humana del código fuente.
- Básicamente .bat no le mola a Win11, .exe ya viene (supuesta mente firmado) ya veremos como esto es absurdo.
2) Entradas Huérfanas de Sistema (System Debris) osea basura de windows.
- Se detectaron tareas programadas apuntando a `LocationNotificationWindows.exe` y `MusNotification.exe` con estado "File not found".
- Se identifican como remanentes de actualizaciones de Windows (Windows Update).
El sistema operativo eliminó los ejecutables obsoletos pero no limpió las definiciones de las tareas.
Falso Positivo (no malicioso).
Se procede a su eliminación para sanear la tabla de tareas programadas, ya que Autoruns las muestra al no poder verificar la firma digital de un archivo inexistente.
He identificado un patrón similar en la tarea \npcapwatchdog.
A pesar de ser un componente legítimo de la librería Npcap, su uso de scripts .bat para el monitoreo de estado dispara las alertas de integridad de la herramienta.
0x05: Integridad de Servicios y Drivers
He finalizado la auditoría revisando la pestaña Services, centrada en controladores de terceros y agentes de fondo.
El resultado arroja una integridad total del sistema en esta capa.
Todos los servicios analizados (publicados por Adobe, Brave, Intel y HP) presentan firmas digitales válidas verificadas por sus respectivas Autoridades Certificadoras (CA).
No he detectado presencia de drivers maliciosos (rootkits) ni servicios sin firmar operando en el kernel.
0x06: Conclusiones Operativas
La auditoría mediante Autoruns me ha permitido certificar tres pilares fundamentales de la seguridad del endpoint:
- Saneamiento de registros obsoletos y eliminación de residuos de software (DeepAgent).
- Validación de scripts administrativos y diferenciación de amenazas reales frente a tareas programadas legítimas.
- Certificación de la cadena de confianza en todos los servicios residentes en memoria.
"Security is not a product, it's a mindset."
[ EOF ]