Descripción de la Tecnica
CS Query: Detect Data Exfiltration via external storage devices es una técnica relacionada con el MITRE ATT&CK, específicamente bajo el grupo attack-pattern. Esta técnica se centra en la detección de actividades de exfiltración de datos a través de dispositivos de almacenamiento externo, como tarjetas USB o discos rigidos. La técnica utiliza un query de detección del CrowdStrike Falcon Discovery para identificar eventos críticos asociados al uso de dispositivos removibles.
¿Cómo Funciona?
El query analiza eventos de escritura de archivos en discos removibles (IsOnRemovableDisk = 1) y combina esta información con detalles del dispositivo físico conectado (como fabricante o modelo). La lógica detecta patrones que podrían indicar la transferencia no autorizada de datos a través de dispositivos externos. El análisis incluye:
#event_simpleName=/FileWritten/i and IsOnRemovableDisk = 1
| VolumeSessionUUID=*
| "Size (MB)" := Size/1024/1024
| format(format="%.2f", field=["Size (MB)"], as="Size (MB)")
| join(query={#event_simpleName=DcUsbDeviceConnected | rename(DeviceInstanceId, as="DiskParentDeviceInstanceId")}, mode=left, field=[DiskParentDeviceInstanceId], include=[DeviceManufacturer, DeviceProduct])
Este enfoque permite detectar actividades sospechosas asociadas a la exfiltración de datos mediante dispositivos físicos.
Actores que la Utilizan
Esta técnica está relacionada con actores que utilizan métodos físicos para exfiltrar información sensible. Esto incluye amenazas que aprovechan el acceso físico a dispositivos, como grupos de ciberdelincuentes o entornos corporativos con brechas de seguridad en la gestión de dispositivos removibles.
Detección
La detección se basa en la combinación de eventos de escritura en discos removibles y conexión de dispositivos USB. La técnica utiliza el CrowdStrike Falcon Discovery para monitorear estos patrones y generar alertas cuando se detectan actividades anómalas, como transferencias masivas de datos a través de dispositivos no autorizados.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, es recomendable:
- Monitoreo estricto de dispositivos removibles: Restringir el acceso físico a dispositivos USB y otros medios externos.
- Políticas de seguridad en endpoints: Implementar controles que bloqueen la escritura de archivos en discos removibles sin autorización.
- Control de versiones y auditoría: Registrar todas las operaciones con dispositivos externos para detectar actividades sospechosas.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*