Descripción de la Tecnica
CS Query: ROKRAT Malware APT37 es una técnica clasificada como attack-pattern en el framework MITRE ATT&CK. Esta categoría se utiliza para describir patrones específicos de actividad maliciosas detectados por herramientas de ciberseguridad, como el sistema de detección CrowdStrike Falcon.
La técnica está asociada al grupo APT37, conocido por su actividad de ciberataques dirigidos a organizaciones críticas. En este contexto, se refiere a la detección de comportamientos maliciosos mediante consultas realizadas por sistemas de seguridad como CrowdStrike Falcon.
Como Funciona
La técnica implica el uso de herramientas de detección de amenazas para identificar actividades sospechosas en una red. En este caso, se centra en la detección de malware como ROKRAT mediante consultas automatizadas que analizan patrones de comportamiento y tráfico de red.
Estos procesos son parte del flujo de trabajo de detección proactiva, donde los sistemas de seguridad monitorean activamente las actividades para identificar amenazas antes de que causen daño.
Actores que la Utilizan
El grupo APT37 es el principal actor asociado a esta técnica. Este grupo se ha vinculado con ataques cibernéticos dirigidos a sectores críticos, utilizando técnicas de ingeniería social y malware como ROKRAT para comprometer sistemas de infraestructura crítica.
Detección
La detección de esta técnica se basa en la capacidad del sistema CrowdStrike Falcon para identificar actividades anómalas. Esto incluye la análisis de comportamientos no normales, como consultas a servidores maliciosos o el uso de técnicas de evasión de seguridad.
Los sistemas de detección analizan los registros de actividad y comparan sus resultados con bases de datos de amenazas actualizadas para identificar posibles incidentes.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación implica la implementación de medidas de seguridad robustas, incluyendo actualizaciones constantes de sistemas de detección, monitoreo continuo de redes y la aplicación de parches de seguridad. Además, se recomienda la formación continua de los equipos de ciberseguridad para identificar y responder a amenazas emergentes.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*