Descripción de la Tecnica
WIN_BCDEDIT_SafeModeEvasion es una técnica relacionada con el MITRE ATT&CK que se centra en la evasión del modo seguro durante el arranque del sistema Windows. Esta técnica utiliza el comando bcdedit.exe, una herramienta integrada de Windows para modificar la configuración de arranque, con el objetivo de mantener una presencia persistente o evitar detección por parte de mecanismos de seguridad.
Como Funciona
El atacante explota la capacidad de bcdedit.exe para alterar parámetros críticos del sistema de arranque, lo que puede permitirle ejecutar código malicioso incluso en entornos donde el modo seguro está activado. Este método se basa en la manipulación de archivos de configuración de arranque (como ntldr o win.ini) para lograr que un proceso malicioso se inicie sin ser detectado por antivirus o herramientas de seguridad.
Actores que la Utilizan
Esta técnica es común en ataques de persistencia y evasión, utilizada por actores con objetivos como:
- Mantenimiento de acceso a largo plazo: Asegurar que un malware se ejecute incluso tras reinicios.
- Evasión de mecanismos de seguridad: Evitar detección por parte de soluciones de ciberseguridad basadas en firma o comportamiento.
- Ataques de ransomware: Garantizar que el malware se active incluso en modos seguros del sistema.
Deteccion
La detección se basa en la identificación de actividades sospechosas relacionadas con bcdedit.exe, especialmente cuando se usan parámetros no estándar o se modifican archivos críticos del sistema. Herramientas como CrowdStrike Falcon utilizan consultas específicas para detectar patrones de comportamiento anómalo, como:
#event_simpleName=ProcessRollup2 event_platform=Win (ImageFileName=/\\bcdedit\.exe/i OR CommandLine=/bcdedit/i)
| ImageFileName=/\\(?\w+\.exe)$/i
| default(value="N/A", field=[GrandParentBaseFileName])
| groupBy([GrandParentBaseFileName, ParentBaseFileName, FileName,ComputerName], function=([count(aid, distinct=true, as=uniqueEndpoints), count(aid, as=executionCount), collect([CommandLine])]))
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Actualización constante del sistema: Mantener Windows y sus componentes actualizados para corregir vulnerabilidades.
- Monitoreo de procesos críticos: Utilizar herramientas de seguridad avanzadas para detectar actividades anómalas en
bcdedit.exe. - Revisión de configuraciones del arranque: Verificar que los cambios realizados en la configuración de arranque no estén relacionados con actividades maliciosas.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*