Descripción de la Tecnica
Cs Query: User Logon Details (Time, Type, Location, Last Password Change) es una técnica perteneciente al marco MITRE ATT&CK, específicamente bajo el grupo attack-pattern. Esta técnica se centra en la recopilación de detalles sobre los eventos de inicio de sesión de usuarios, incluyendo la hora del evento, el tipo de autenticación, la ubicación geográfica y la fecha de cambios de contraseña. Es un método de descubrimiento utilizado por actores maliciosos para mapear actividades de usuarios y detectar posibles compromisos en sistemas.
Como Funciona
La técnica analiza eventos de inicio de sesión (Logon) filtrando por tipos específicos, como Interactive (valor 2) o Network (valor 10). Utiliza la función ipLocation(aip) para obtener datos geográficos asociados al evento. Además, determina si el usuario tiene permisos de administrador (UserIsAdmin). Este análisis permite a los atacantes identificar patrones de actividad, incluir cambios frecuentes en contraseñas o acceso no autorizado a cuentas de administrador.
Actores que la Utilizan
Esta técnica es parte del marco MITRE ATT&CK y se aplica a actores que buscan mapear actividades de usuarios durante una operación cibernética. Aunque no se especifican actores particulares en el contexto proporcionado, es comúnmente utilizada por amenazas avanzadas que buscan explotar vulnerabilidades relacionadas con autenticación y permisos.
Detección
La detección implica monitorear eventos de inicio de sesión para identificar anomalías. Analistas deben buscar patrones inusuales, como logones desde ubicaciones geográficas desconocidas, frecuentes cambios de contraseña o acceso a cuentas de administrador sin justificación. Herramientas de análisis de secuencias (sequence analysis) y correlación de eventos pueden ayudar en la identificación de comportamientos sospechosos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Implementar controles estrictos de acceso y verificar permisos de administrador.
- Monitorear eventos de inicio de sesión para detectar actividades anómalas.
- Establecer políticas de cambio de contraseña seguras y limitar su frecuencia.
- Utilizar autenticación de múltiples factores (MFA) para proteger cuentas críticas.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*