Descripción de la Tecnica
CS Query: hunting EDR Freeze es una técnica relacionada con el grupo attack-pattern del MITRE ATT&CK. Esta técnica se centra en la detección de actividades sospechosas mediante consultas específicas en el sistema de seguridad CrowdStrike Falcon, enfocándose en procesos y comandos que podrían indicar un ataque a través del EDR (End-Point Detection and Response).
Como Funciona
La técnica utiliza una consulta FQL (Falcon Query Language) para identificar procesos relacionados con WerFaultSecure.exe, un archivo que puede estar asociado a actividades maliciosas. Además, analiza comandos de línea de ejecución en busca de patrones específicos, como la presencia de números en el formato /\.exe"?\s+\d+\s+\d+, lo cual podría indicar una invocación no estándard o maliciosa.
Actores que la Utilizan
No hay información sobre actores específicos disponibles. La técnica se describe en el contexto de CrowdStrike Falcon, pero no se proporcionan datos concretos sobre grupos o entidades que la utilicen en el campo.
Detección
La detección se basa en la identificación de procesos sospechosos y comandos anómalos. La consulta FQL permite mapear la jerarquía de procesos y detectar señales de actividad maliciosa, como la creación de procesos en un entorno no autorizado o el uso de parámetros inusuales en la línea de comandos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| File | WerFaultSecure.exe |
Detección en EDR de procesos relacionados con este archivo. |
| Command Line | /\.exe"?\s+\d+\s+\d+ |
Patrón de comandos en la línea de ejecución que podría indicar actividad no autorizada. |
Mitigación
No hay información sobre mitigaciones públicas disponibles. La técnica se enfoca en la detección y análisis de comportamientos anómalos, pero no se proporcionan pasos específicos para mitigar el impacto de un ataque relacionado con esta técnica.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*