Descripción de la Tecnica
La técnica MITRE ATT&CK CS Query: ALL_FILENAME_Search es un patrón de ataque que permite a los actores maliciosos detectar y analizar procesos mediante el análisis de nombres de archivos en eventos de proceso. Esta técnica se basa en la captura de eventos relacionados con la creación o renombrado de ejecutables, lo que puede ayudar a identificar comportamientos anómalos asociados a actividades maliciosas.
¿Cómo Funciona?
Esta técnica utiliza consultas específicas en el sistema de detección de CrowdStrike Falcon para filtrar eventos basados en el campo ImageFileName, que contiene el nombre del archivo ejecutable asociado a un proceso. Los actores maliciosos pueden aprovechar esta funcionalidad para ocultar su actividad al buscar patrones específicos en los nombres de archivos, como extensiones o cadenas de caracteres sospechosas.
El query incluye eventos como ProcessRollup2, NewExecutableRenamed y DnsRequest, lo que permite a los atacantes analizar cómo se comportan procesos en tiempo real, incluso si estos no están directamente relacionados con actividades maliciosas.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos que buscan evitar la detección mediante el análisis de nombres de archivos. Pueden incluir grupos de ataque avanzados (APT), ransomware o ciberdelincuentes que intentan aprovechar brechas en sistemas para ejecutar código malicioso sin ser rastreados.
Detección
La técnica se detecta mediante la implementación de consultas específicas en CrowdStrike Falcon, que analizan los eventos relacionados con procesos y archivos. Los sistemas deben monitorear anomalías en el uso de nombres de archivos, especialmente cuando estos no coinciden con las aplicaciones legítimas o no están registradas en bases de datos de software autorizado.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación implica la actualización constante del sistema con las últimas firmas de amenza y el uso de herramientas de detección basadas en comportamiento, como CrowdStrike Falcon. Además, se recomienda monitorear procesos no autorizados y verificar que los nombres de archivos no estén relacionados con actividades maliciosas, especialmente en entornos críticos o con acceso elevado.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*