Descripción de la Tecnica
La técnica MITRE ATT&CK WIN_FailedLogons corresponde al patrón de ataque "Failed Logon" en el contexto de Windows. Este mecanismo detecta eventos de falla durante intentos de autenticación, lo cual puede indicar actividades maliciosas como ataques por fuerza bruta, robo de credenciales o acceso no autorizado. Es una herramienta clave para identificar comportamientos anómalos en sistemas Windows que podrían señalar la presencia de amenazas.Como Funciona
La técnica se basa en la captura y análisis de eventos de UserLogonFailed en el sistema operativo Windows. La consulta de CrowdStrike Falcon transforma el campo SubStatus a formato hexadecimal para facilitar su análisis, agrupando resultados por parámetros como nombre del equipo (ComputerName), nombre de usuario (UserName), tipo de autenticación (LogonType) y estado de subestatus. Esto permite identificar patrones de intentos fallidos que podrían ser indicativos de actividades maliciosas.Actores que la Utilizan
Este mecanismo es utilizado por actores que buscan explotar vulnerabilidades en sistemas Windows, como: - Ataques por fuerza bruta: Intento sistemático de credenciales incorrectas. - Robo de credenciales: Extracto de información sensible durante intentos fallidos. - Acceso no autorizado: Uso de cuentas con privilegios elevados para comprometer sistemas.Detección
La técnica ayuda a detectar actividades sospechosas mediante la monitorización de eventos de autenticación fallida. Un aumento inusual en intentos de logueo fallido, especialmente desde IPs o dispositivos no autorizados, puede indicar una amenaza. La consulta de CrowdStrike Falcon permite filtrar estos eventos y generar alertas basadas en patrones predefinidos.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.