Descripción de la Tecnica
WIN_PDB_ReflectiveDotnetLoad es una técnica relacionada con el framework MITRE ATT&CK, específicamente en el grupo attack-pattern. Esta técnica se centra en la carga refleja de un módulo .NET, un método que permite a los atacantes ejecutar código malicioso cargando una assembly en memoria sin guardarla en disco. Este comportamiento es común en amenazas avanzadas que buscan evadir detección mediante técnicas de obfuscación o encapsulación.
Como Funciona
La técnica utiliza el evento ReflectiveDotnetModuleLoad, un evento nativo de Windows que se dispara cuando un módulo .NET es cargado en memoria. El atacante aprovecha la propiedad ManagedPdbBuildPath, que indica la ruta del archivo de base de datos (pdb) asociado al módulo. Al detectar que esta propiedad no está vacía, el sistema alerta sobre una actividad sospechosa. La consulta de CrowdStrike Falcon captura campos como FilePath y FileName, agrupando los resultados para identificar patrones de carga maliciosas.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados que buscan comprometer sistemas mediante la ejecución de código malicioso en entornos .NET. Aunque no se especifican actores concretos en los datos proporcionados, es común que sea empleada por amenazas como ransomware, grupos APT o ciberdelincuentes especializados en ataques a sistemas Windows.
Detección
La detección se basa en la consulta de CrowdStrike Falcon, que monitorea eventos de carga de módulos .NET. La lógica detecta cuando ManagedPdbBuildPath no es vacía y extrae información sobre el archivo y la ruta del módulo. Esta técnica permite identificar comportamientos anómalos relacionados con la ejecución de código malicioso en entornos .NET.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación incluye la configuración de reglas de seguridad para bloquear actividades sospechosas de carga de módulos .NET, el uso de herramientas de monitoreo como Windows Security o CrowdStrike Falcon, y la actualización constante de sistemas operativos y aplicaciones. Además, se recomienda restringir el acceso a recursos críticos y validar firmas de software para prevenir cargas maliciosas.