Descripción de la Tecnica
WIN_PS_ENC_EncodedPS es una técnica asociada al MITRE ATT&CK que forma parte del grupo attack-pattern. Esta técnica está relacionada con la detección mediante consultas de seguridad en el entorno de CrowdStrike Falcon. Se enfoca en identificar actividades sospechosas mediante el análisis de procesos y comandos de PowerShell.
La técnica se utiliza para detectar comportamientos anómalos que pueden indicar la presencia de amenazas, especialmente aquellas que intentan evadir los mecanismos de detección tradicionales. En este contexto, el análisis de procesos y argumentos de comandos es clave.
Como Funciona
La técnica utiliza una consulta en FQL (Falcon Query Language) para identificar procesos que cumplen ciertos criterios. Específicamente, busca procesos relacionados con powerShell.exe y comandos con parámetros codificados o encriptados.
Criterios clave:
- ImageFileName: Proceso asociado a
powerShell.exe. - CommandLine: Parámetros de comandos que contienen secuencias codificadas, como
[e^]{1,2}[ncodema^]+, lo cual sugiere la presencia de parámetros encriptados o obfuscados. - Join y agrupación: Asociación del proceso con información de identidad del usuario para rastrear actividades sospechosas.
Actores que la Utilizan
Esta técnica es utilizada por actores cibernéticos que intentan aprovechar procesos legítimos (como PowerShell) para ejecutar comandos maliciosos. Los atacantes suelen codificar parámetros de comandos para evitar ser detectados por sistemas de seguridad tradicionales.
Es común en ataques de tipo command and injection, donde los atacantes usan PowerShell para ejecutar scripts o comandos maliciosos con secuencias codificadas, dificultando su detección.
Detección
La técnica se implementa mediante consultas de seguridad en el entorno de CrowdStrike Falcon. El objetivo es identificar procesos que cumplen los criterios definidos y asociarlos con usuarios o dispositivos para monitoreo adicional.
El análisis incluye la verificación de patrones en comandos de PowerShell, especialmente aquellos que contienen parámetros codificados, lo cual puede indicar una actividad maliciosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación implica el uso de herramientas de seguridad avanzadas, como CrowdStrike Falcon, para monitorear y alertar sobre actividades sospechosas. Se recomienda la implementación de políticas de detección basadas en comportamiento, combinadas con análisis forense de procesos y comandos.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*