Descripción de la Tecnica
WIN_RecycleBinExec es una técnica relacionada con el MITRE ATT&CK, categorizada como un patrón de ataque. Esta técnica está asociada al motor de detección CrowdStrike Falcon, y se utiliza para identificar actividades sospechosas relacionadas con el uso del Recycle Bin en sistemas Windows.
Como Funciona
La técnica detecta procesos que utilizan el nombre de archivo /$Recycle.Bin/, un patrón asociado al mecanismo de Recycle Bin de Windows. Este nombre se utiliza comúnmente para almacenar archivos eliminados temporalmente, pero puede ser explotado por atacantes para ejecutar código malicioso. La consulta FQL identifica eventos relacionados con el evento ProcessRollup2, agrupa los resultados por identificador de actividad (aid) y recopila hashes SHA256 y nombres de archivos sospechosos.
Actores que la Utilizan
Esta técnica no está asociada a actores específicos en el contexto proporcionado. Sin embargo, es un patrón general utilizado por diversos actores maliciosos que intentan explotar mecanismos de sistema como el Recycle Bin para ejecutar código adversarial.
Detección
La técnica se detecta mediante una consulta FQL en el motor CrowdStrike Falcon. Esta consulta filtra eventos relacionados con el proceso ProcessRollup2, identificando archivos que coincidan con el patrón /$Recycle\.Bin/i. El resultado se agrupa por actividad y se recopila información para análisis adicional.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda:
- Actualizar los sistemas operativos y aplicaciones con parches de seguridad.
- Utilizar soluciones de ciberseguridad avanzadas que monitoren actividades anómalas en el sistema.
- Limitar el acceso a recursos críticos y realizar auditorías regulares de procesos y archivos.
- Implementar políticas de detección basadas en comportamiento para identificar patrones sospechosos.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*