Descripción de la Tecnica
WIN_DNS_Javaw es una técnica relacionada con el MITRE ATT&CK que se centra en la detección de solicitudes DNS anómalas asociadas a ejecutables de Java. Este patrón de ataque se identifica mediante un consulta de descubrimiento en CrowdStrike Falcon, diseñada para alertar sobre actividades sospechosas relacionadas con el uso de javaw.exe o java.exe.
Como Funciona
La técnica opera mediante un análisis de eventos DNS que filtra solicitudes basadas en el nombre del archivo ejecutable. El query de Falcon identifica eventos donde el ImageFileName coincide con javaw.exe o java.exe, y captura información adicional como el DomainName y la CommandLine. Esto permite detectar actividades maliciosas que intenten comunicarse con dominios no autorizados mediante el uso de Java.
Actores que la Utilizan
No se han identificado actores específicos asociados a esta técnica en los datos proporcionados. La detección se basa en patrones de comportamiento, no en actores conocidos.
Detección
La detección se realiza mediante un query de descubrimiento en CrowdStrike Falcon, que monitorea solicitudes DNS con filtros específicos. El análisis identifica eventos donde el nombre del archivo ejecutable es javaw.exe o java.exe, y extrae datos adicionales para evaluar riesgos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación incluye actualizar sistemas de seguridad con reglas actualizadas y monitorear tráfico DNS para actividades anómalas relacionadas con Java. Además, se recomienda limitar el acceso a ejecutables no autorizados y validar todas las solicitudes DNS que involucran procesos de terceros.