Descripción de la Tecnica
T1087.003_MailRecon es una técnica relacionada con el MITRE ATT&CK, que pertenece al grupo de patrones de ataque attack-pattern. Esta técnica está asociada a la recolección de información por correo electrónico (mail reconnaissance), donde los actores maliciosos intentan obtener listas de direcciones de correo electrónico o contactos de una red para futuras actividades de espionaje o ataque. La técnica se centra en la extracción de datos de contactos mediante comandos específicos ejecutados en entornos Windows.
¿Cómo Funciona?
La técnica utiliza un enfoque basado en eventos de seguridad, como ProcessRollup2, CommandHistory y ScriptControl, para identificar actividades relacionadas con la recolección de direcciones de correo. El objetivo es detectar comandos específicos que extraen información de listas de contactos, como Get-AddressList, Get-GlobalAddressList o Get-OfflineAddressBook. Estos comandos son típicamente utilizados en entornos Windows para acceder a datos de direcciones de correo electrónico almacenadas en sistemas localizados, como servidores de directory (LDAP) o bases de datos internas.
El análisis se basa en la ubicación exacta del comando dentro del evento. Por ejemplo, si un evento de CommandHistory contiene uno de estos comandos, se genera una descripción adicional que ayuda a identificar el contexto de su ejecución.
Actores que la Utilizan
No hay datos publicados sobre actores específicos asociados a esta técnica. La técnica está documentada en el MITRE ATT&CK como un patrón general, sin atribuir a actores particulares o grupos maliciosos conocidos.
Detección
La detección se basa en la identificación de comandos relacionados con la recolección de contactos en eventos específicos. La consulta de CrowdStrike Falcon (WIN_CMD_T1087.003_MailRecon.md) filtra eventos como ProcessRollup2 o CommandHistory, y busca patrones de comandos en listas de contactos. Esto permite detectar actividades que podrían ser indicativas de una intrusión o ataque malicioso.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación se centra en la monitorización de comandos no autorizados y la protección de sistemas que almacenan información de contactos. Se recomienda:
- Actualizar regularmente las listas de direcciones de correo electrónico.
- Limitar el acceso a servidores de directory o bases de datos internas.
- Implementar filtros de correo electrónico para bloquear actividades anómalas.
- Monitorear eventos de comandos en entornos Windows con herramientas de seguridad avanzadas.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*