Descripción de la Tecnica
La técnica "Detect RTR High Risk Commands" es parte del framework MITRE ATT&CK y se enfoca en identificar comandos de alto riesgo asociados a actividades maliciosas. Este mecanismo está diseñado para detectar comportamientos anómalos dentro de un entorno de seguridad, particularmente aquellos que puedan indicar la presencia de una amenaza en la fase de recolección o manipulación de datos.
¿Cómo Funciona?
La técnica utiliza una consulta basada en el sistema de detección de CrowdStrike Falcon, que analiza eventos de auditoría relacionados con comandos específicos. Estos comandos incluyen operaciones como "get", "put", "memdump", "xmemdump", "run" y "put-and-run", los cuales suelen ser asociados con actividades maliciosas en entornos de seguridad. La consulta agrupa estos eventos y los agrega en un campo centralizado para facilitar la detección de patrones sospechosos.
Actores que la Utilizan
Esta técnica está relacionada con actores que operan en la fase de recolección o manipulación de datos, como amenazas que intentan extraer información sensible o modificar estados del sistema. No se especifica un actor particular en el contexto proporcionado, pero su uso es común en ataques de tipo compromiso de recursos.
Detección
La detección se basa en la identificación de comandos sospechosos dentro de los registros de auditoría. La consulta de CrowdStrike Falcon filtra eventos relacionados con estos comandos y agrega resultados para facilitar un análisis rápido. Los sistemas de seguridad deben configurarse para monitorear estas actividades y alertar sobre comportamientos no autorizados.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación implica restringir el acceso a comandos críticos y implementar monitoreo continuo en entornos de seguridad. Además, se recomienda actualizar los sistemas de detección para incluir patrones específicos de comportamiento malicioso. La colaboración entre equipos de ciberseguridad y análisis forense es clave para responder a incidentes relacionados con estas actividades.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*