Descripción de la Tecnica
Cs Fql: Win_Scheduledtasks_Abuse es un patrón de ataque del MITRE ATT&CK que detecta el abuso de tareas planificadas en sistemas Windows. Esta técnica se centra en la manipulación de procesos relacionados con schtasks.exe, una herramienta nativa de Windows utilizada para crear, ejecutar o administrar tareas planificadas.
Como Funciona
La técnica utiliza el lenguaje de consulta de CrowdStrike Falcon (FQL) para identificar actividades sospechosas. La regla se basa en eventos de ProcessRollup2, donde se filtran procesos con schtasks.exe y comandos específicos en la línea de comandos, como /create, /run, /change o /delete. Estos parámetros indican intentos de modificar o controlar tareas planificadas para actividades maliciosas.
Actores que la Utilizan
Esta técnica es utilizada por diversos actores cibernéticos, incluyendo grupos de amenaza cibernética y ataques APT (Advanced Persistent Threats). Los atacantes pueden aprovechar el mecanismo de tareas planificadas para ejecutar código malicioso en intervalos específicos o durante eventos críticos.
Detección
La detección se realiza mediante reglas de FQL que analizan los registros de procesos y actividades relacionadas con schtasks.exe. La regla filtra eventos donde el nombre del archivo es schtasks.exe y la línea de comandos incluye parámetros específicos para crear, ejecutar o modificar tareas planificadas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| ImageFileName | schtasks.exe | Proceso relacionado con tareas planificadas. |
| CommandLine | /create|/run|/change|/delete | Parámetros usados para manipular tareas planificadas. |
Mitigación
Para mitigar este tipo de amenazas, se recomienda actualizar las reglas de detección en CrowdStrike Falcon y monitorear actividades anómalas en tareas planificadas. También es crucial implementar controles de seguridad adicionales, como la audita de procesos y el uso de herramientas SIEM para analizar logs de sistemas en busca de patrones sospechosos.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*