Descripción de la Tecnica
WIN_PS_Downloads es una técnica relacionada con el MITRE ATT&CK, perteneciente al grupo attack-pattern. Esta consulta de CrowdStrike Falcon se enfoca en detectar procesos que utilizan PowerShell para descargar archivos, lo cual puede indicar actividad maliciosa como la distribución de malware o el descarga de componentes dañinos.
Como Funciona
La técnica analiza eventos relacionados con ProcessRollup2 y filtra procesos cuyos nombres de archivo incluyen PowerShell.exe. Luego, identifica comandos como Invoke-WebRequest, Net.WebClient o Start-BitsTransfer, que suelen ser usados para descargar archivos desde remotos. La consulta combina estos elementos con información de autenticación para correlacionar usuarios y procesos sospechosos.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados y grupos maliciosos que buscan aprovechar vulnerabilidades en sistemas mediante el descarga de código malicioso. Aunque no se especifican actores concretos, este tipo de actividades está asociado comúnmente con amenazas de alto nivel o ransomware.
Detección
La detección se basa en la monitorización de procesos sospechosos mediante herramientas como CrowdStrike Falcon. La consulta identifica patrones de uso de PowerShell para descargas y correlaciona estos con actividades de autenticación, permitiendo detectar comportamientos anómalos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda: - Actualizar sistemas y aplicaciones para cerrar vulnerabilidades. - Monitorear actividades de red y procesos con herramientas especializadas. - Implementar políticas de seguridad que limiten el uso de PowerShell en entornos críticos. - Capacitar a los usuarios sobre la identificación de enlaces o archivos sospechosos.