Descripción de la Tecnica
La técnica MITRE ATT&CK CS FQL: 28. Detect locally disabled RTR es un patrón de ataque relacionado con el uso de la Falcon Query Language (FQL), un lenguaje de consulta desarrollado por CrowdStrike para detectar actividades maliciosas en entornos de seguridad. Esta regla de detección se centra en identificar cuando un "Remote Targeting Rule" (RTR) está desactivado localmente, lo que podría indicar una modificación no autorizada del sistema o la intentón de ocultar actividades maliciosas.Como Funciona
La regla utiliza el lenguaje FQL para analizar eventos en los registros de seguridad del sistema. Cuando un RTR (una regla de detección de amenazas) es desactivada localmente, el sistema puede detectar cambios anómalos en la configuración de seguridad. Esto podría ser una señal de que un atacante está intentando evitar la detección al deshabilitar reglas críticas o alterar comportamientos normalmente monitoreados.Actores que la Utilizan
Esta técnica es parte del marco MITRE ATT&CK, y se asocia con actores que emplean estrategias de evasión de detección o modificación de configuraciones de seguridad. Ejemplos incluyen amenazas avanzadas persistentes (APTs) o grupos maliciosos que intentan operar en entornos con protección robusta, como los sistemas vigilados por CrowdStrike Falcon.Deteccion
La detección se realiza mediante la evaluación de eventos en los registros de seguridad del sistema. Si un RTR está desactivado localmente, el sistema generará una alerta. Esto puede ser indicativo de un ataque que intenta alterar las reglas de detección para evitar ser identificado. La FQL permite a los administradores monitorear estos cambios en tiempo real y responder rápidamente a actividades sospechosas.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.Mitigacion
Para mitigar el riesgo asociado con esta técnica, es fundamental:- Monitorear cambios en las reglas de detección y configuraciones de seguridad.
- Asegurar que cualquier deshabilitación de RTRs sea autorizada y documentada.
- Actualizar regularmente los sistemas de seguridad y mantener actualizadas las reglas de detección (FQL).
- Implementar controles estrictos sobre el acceso a configuraciones críticas del sistema.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*