Descripción de la Tecnica
La técnica ALL_CredentialDumping_Strings corresponde al patrón de ataque attack-pattern en el framework MITRE ATT&CK. Este mecanismo está diseñado para detectar actividades relacionadas con la extracción de credenciales (credencial dumping) durante la fase de descubrimiento en un entorno informático. El objetivo principal es identificar y monitorear procesos que generen comandos de línea con parámetros asociados a herramientas de extracción de credenciales, como sekurlsa, mimikatz o lsadump.Como Funciona
La técnica opera mediante la detección de eventos relacionados con el proceso ProcessRollup2 en CrowdStrike Falcon. Este mecanismo analiza los argumentos de los comandos ejecutados por procesos para identificar patrones asociados a herramientas de extracción de credenciales. Las expresiones regulares definidas en la consulta detectan cadenas clave como /sekurlsa, /kerberos, /lsadump, /ts::logon o /sam/i, que suelen estar relacionadas con actividades maliciosas de extracción de credenciales.Actores que la Utilizan
No hay indicadores publicados que asocian esta técnica a actores específicos. La detección se basa en patrones de comportamiento y no en identidad de amenazas conocidas.Detección
La detección se realiza mediante una consulta FQL (Falcon Query Language) que filtra eventos de ProcessRollup2 donde los argumentos de la línea de comandos incluyan cadenas asociadas a herramientas de extracción de credenciales. El resultado incluye campos como [@timestamp], aid, ImageFileName y CommandLine, lo que permite correlacionar eventos con actividades sospechosas.Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
Command Line |
/sekurlsa::logon |
Proceso que extrae credenciales de logon |
Command Line |
mimikatz |
Herramienta maliciosa para extracción de credenciales |
Command Line |
Invoke-?Mimikatz |
Powershell que ejecuta Mimikatz |
Command Line |
privilege::debug |
Permiso de depuración malicioso |
Mitigación
Para mitigar riesgos asociados a esta técnica, se recomienda:- Monitorear procesos con permisos elevados y comandos sospechosos.
- Restringir el acceso a herramientas críticas como mimikatz o sekurlsa en entornos de producción.
- Implementar políicas de seguridad que limiten la ejecución de scripts maliciosos (ej: PowerShell).
- Utilizar sistemas de gestión de seguridad (SIEM) para correlacionar eventos sospechosos con patrones de ataque.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*