Descripción de la Tecnica
La técnica MITRE ATT&CK CS FQL: 18. ALL_CredentialDumping_Strings es un patrón de ataque detectado por CrowdStrike Falcon que identifica actividades de extracción de credenciales en entornos Windows. Esta regla está diseñada para analizar registros de procesos y comandos de línea de comandos relacionados con la enumeración de credenciales, como herramientas de tipo sekurlsa, mimikatz o lsadump.
¿Cómo Funciona?
La regla utiliza el lenguaje de consulta FQL (CrowdStrike Falcon Query Language) para analizar eventos de procesos en tiempo real. Busca comandos específicos en la línea de comandos de procesos sospechosos, como /sekurlsa, /kerberos o /ts::logon, que están asociados a técnicas de extracción de credenciales. La regla también filtra eventos relacionados con ProcessRollup2, un evento de Falcon que rastrea procesos en ejecución.
Actores que la Utilizan
Esta técnica es utilizada por actores cibernéticos y grupos maliciosos que buscan obtener acceso a sistemas mediante la enumeración de credenciales. Ejemplos incluyen operaciones de tipo credential dumping, donde atacantes extraen información almacenada en variables de entorno, hashes de contraseña o tokens de seguridad.
Detección
La regla de detección se basa en la identificación de procesos que ejecutan comandos sospechosos para extracción de credenciales. Al detectar estos patrones, Falcon genera alertas automatizadas para investigadores de ciberseguridad, permitiendo una respuesta rápida ante actividades maliciosas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| CommandLine | /sekurlsa::logon | Proceso relacionado con la enumeración de credenciales |
| CommandLine | /mimikatz | Ejecución de herramientas de extracción de credenciales |
| CommandLine | /ts::logon | Acceso a información de autenticación del sistema |
| CommandLine | /privilege::debug | Uso de privilegios elevados para enumerar credenciales |
Mitigación
Para mitigar la vulnerabilidad, es fundamental implementar políticas de seguridad que limiten el acceso a herramientas críticas como mimikatz o sekurlsa. Se recomienda:
- Actualizar sistemas operativos y software con parches de seguridad.
- Monitorear eventos de procesos sospechosos en tiempo real.
- Utilizar herramientas de detección basadas en comportamiento (SIEM) para identificar patrones anómalos.
- Limitar el uso de privilegios como
privilege::debugen entornos críticos.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*