Descripción de la Tecnica
WIN_T1010_WindowEnum es una técnica relacionada con el marco MITRE ATT&CK que se enfoca en la enumeración de ventanas o procesos para obtener información sobre sistemas operativos. Esta acción permite a los atacantes identificar procesos activos, ventanas abiertas y otras características del entorno de sistema, lo que puede ser utilizado para detectar actividades maliciosas o compromiso de sistemas.
Como Funciona
La técnica se basa en la llamada a APIs específicas relacionadas con la enumeración de ventanas o procesos. Por ejemplo, funciones como Get-Process, GetProcesses o GetForegroundWindow pueden ser usadas para recopilar datos sobre los procesos activos en un sistema. Estas acciones son típicas de comportamientos maliciosos que buscan identificar sistemas vulnerables o usuarios con acceso a recursos críticos.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados y amenazas persistentes que buscan explorar el entorno de sistema para encontrar vulnerabilidades. No se especifican actores particulares en los datos proporcionados, pero su uso está asociado con operaciones de enumeración para identificar objetivos potenciales.
Detección
La detección de WIN_T1010_WindowEnum implica el análisis de eventos relacionados con la enumeración de ventanas o procesos. Los sistemas de seguridad como CrowdStrike Falcon utilizan consultas específicas para identificar llamadas a APIs como ProcessRollup2, CommandHistory o ScriptControl que pueden indicar actividad maliciosa.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación incluye la implementación de controles de acceso estrictos a procesos críticos, la monitorización continua de actividades de enumeración y la actualización constante de sistemas para cerrar vulnerabilidades. También se recomienda el uso de herramientas de detección basadas en comportamiento para identificar patrones anómalos relacionados con la enumeración de ventanas o procesos.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*