Descripción de la Tecnica
CS Query: Find Hidden Scheduled Tasks es una técnica perteneciente al grupo attack-pattern del MITRE ATT&CK. Esta técnica se utiliza para identificar tareas planificadas ocultas en sistemas operativos, lo que puede indicar la presencia de actividades maliciosas. La técnica está relacionada con la detección de procesos y tareas en entornos Windows, donde las tareas ocultas suelen ser una parte de ataques de tipo exploitation o initial access.
Como Funciona
La técnica utiliza un script de consulta (FQL) para analizar el registro de eventos relacionados con la creación de tareas planificadas (ScheduledTaskRegistered). El script parsea el XML de la tarea y verifica si el atributo Hidden está configurado en true. Esto permite identificar tareas que no se muestran en herramientas de administración standard, lo que podría indicar una actividad maliciosa. La consulta devuelve los primeros 1000 resultados con información detallada sobre la tarea y su contexto.
Actores que la Utilizan
Esta técnica está clasificada como parte del grupo attack-pattern, lo que sugiere que puede ser utilizada por actores con conocimiento avanzado de sistemas operativos y administración de tareas. No se especifican actores particulares en el contexto proporcionado, pero su uso implica la implementación de ataques que buscan ocultar actividades maliciosas en entornos Windows.
Detección
La detección de esta técnica depende de la capacidad del sistema para identificar tareas planificadas con el atributo Hidden activado. Herramientas como CrowdStrike Falcon utilizan consultas específicas (como la proporcionada) para monitorear y alertar sobre actividades sospechosas. La detección efectiva requiere un análisis detallado de los registros de sistema y la comparación con patrones maliciosos conocidos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Revisar regularmente las tareas planificadas en sistemas Windows con herramientas de seguridad o administradores de tareas.
- Agregar reglas de detección en sistemas de seguridad para identificar tareas con el atributo Hidden activado.
- Limitar el acceso a cuentas de administrador y utilizar principios de mínimo privilegio para reducir oportunidades de ataque.
- Monitorear cambios en los registros del sistema y aplicar políticas de auditoría para detectar actividades anómalas.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*