Descripción de la Tecnica
CS FQL: 31. Find Hidden Scheduled Tasks es una técnica de detección basada en el CrowdStrike Falcon Query Language (FQL), perteneciente al grupo attack-pattern de MITRE ATT&CK. Esta regla se enfoca en identificar tareas planificadas ocultas que podrían indicar actividades maliciosas, como la ejecución de código malicioso o la mantenimiento de persistencia por parte de un atacante.
Como Funciona
La técnica utiliza el lenguaje de consulta FQL para analizar registros de sistemas operativos y tareas planificadas. El objetivo es detectar patrones anómalos en la creación, actualización o ejecución de tareas programadas, especialmente aquellas que no cumplen con los criterios normales de seguridad. Por ejemplo, tareas ejecutadas sin permisos adecuados, con parámetros inusuales o asociadas a procesos no identificados.
Actores que la Utilizan
Esta técnica es relevante para actores que buscan mantener acceso a un sistema a largo plazo. Ejemplos incluyen grupos de ciberdelincuencia (como ransomware) y actores Estado que utilizan técnicas de persistencia como tareas planificadas para asegurar su presencia en sistemas objetivo. Los atacantes pueden aprovechar estas tareas para ejecutar payloads maliciosos sin ser detectados.
Detección
La detección se basa en la análisis de registros de tareas programadas mediante consultas específicas del FQL. Las reglas de detección están diseñadas para identificar actividades que no deberían ocurrir, como tareas asociadas a procesos no autorizados o ejecutadas fuera del horario normal. La herramienta CrowdStrike Falcon utiliza estos registros para alertar sobre posibles incidentes de seguridad.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: 1. Monitorear y auditar las tareas planificadas con herramientas de seguridad avanzadas. 2. Configurar alertas basadas en comportamiento anómalos en sistemas operativos. 3. Actualizar reglas de detección para adaptarse a nuevas amenazas. 4. Limitar el acceso a funciones críticas como la creación de tareas planificadas, solo para usuarios con autorización verificada.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*