Descripción de la Tecnica
CS FQL: 7. WIN_BCDEDIT_SafeModeEvasion es una técnica de detección basada en el lenguaje de consulta de CrowdStrike Falcon (FQL), diseñada para identificar actividades relacionadas con el uso de bcdedit.exe, un herramienta de Windows utilizada para modificar la configuración de arranque. Esta técnica se enfoca en evadir medidas de seguridad como el modo seguro al manipular archivos de configuración del sistema operativo.
Como Funciona
La regla FQL analiza procesos relacionados con bcdedit.exe, identificando patrones específicos en los nombres de archivo y argumentos de línea de comandos. El algoritmo agrupa eventos por nombre de archivo, nombre de equipo y otros campos relevantes, contando la frecuencia de ejecuciones y recolectando detalles de comandos para detectar actividades anómalas.
Actores que la Utilizan
No se especifican actores concretos en el contexto proporcionado. La técnica está diseñada como una regla de detección general, no vinculada a un grupo o amenaza particular.
Detección
La técnica utiliza la plataforma CrowdStrike Falcon para detectar actividades asociadas a bcdedit.exe, analizando procesos y argumentos de línea de comandos. La regla identifica coincidencias en el nombre del archivo y parámetros específicos, agrupando datos para alertas automatizadas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar riesgos asociados a esta técnica, se recomienda:
- Actualizar regularmente el software antivirus y sistemas operativos.
- Realizar revisiones periódicas de la configuración del arranque (por ejemplo, mediante herramientas de administración de sistemas).
- Implementar políticas de segmentación de red para limitar el acceso a recursos críticos.
- Monitorear cambios anómalos en archivos de configuración del sistema.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*