Descripción de la Tecnica
ALL_PS_Suspicious_Obfuscation es una técnica de detección basada en el análisis de procesos relacionados con PowerShell en entornos de seguridad. Esta técnica se utiliza para identificar comportamientos sospechosos asociados a la ejecución de comandos obfuscados o maliciosos mediante herramientas como CrowdStrike Falcon. La detección se enfoca en procesos que utilizan PowerShell.exe y patrones de línea de comandos que sugieren actividades no autorizadas.
¿Cómo Funciona?
La técnica analiza procesos mediante consultas específicas (FQL) que identifican coincidencias en el nombre del archivo ejecutable (ImageFileName) y en los parámetros de la línea de comandos (CommandLine). Los patrones buscados incluyen comandos obfuscados como Select-String, FromBase64String o Join-String, que suelen ser utilizados por atacantes para ocultar actividades maliciosas. La detección se basa en la combinación de estos elementos y se registra en un tabulado con detalles como la hora del evento, el ID del proceso y los parámetros detectados.
Actores que la Utilizan
No hay información pública disponible sobre actores específicos asociados a esta técnica. La detección se centra en comportamientos maliciosos generalizados, no en grupos o entidades particulares.
Detección
La técnica utiliza el motor de detección CrowdStrike Falcon para identificar procesos sospechosos. La consulta FQL analiza eventos de tipo ProcessRollup2, filtrando procesos con ImageFileName igual a powerShell.exe y líneas de comandos que contienen patrones obfuscados. Los resultados se tabulan para análisis rápido.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación implica la implementación de herramientas de ciberseguridad avanzadas como CrowdStrike Falcon, la monitoreo continuo de actividades relacionadas con PowerShell y la actualización constante de reglas de detección. Además, se recomienda el control estricto de ejecuciones de scripts en entornos críticos para prevenir la explotación de vulnerabilidades asociadas a esta técnica.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*