Descripción de la Tecnica
CrowdStrike Falcon Query Language (FQL) es un lenguaje de consulta utilizado por el sistema de detección de amenazas CrowdStrike Falcon. Esta técnica se basa en reglas de detección específicas para identificar actividades sospechosas en entornos Windows. La regla proporcionada se enfoca en la detección de eventos relacionados con la carga de módulos .NET reflejados, utilizando campos como ManagedPdbBuildPath para identificar patrones anómalos.
Como Funciona
La regla FQL analiza eventos de tipo ReflectiveDotnetModuleLoad, que ocurren cuando un proceso carga un módulo .NET en memoria. La condición ManagedPdbBuildPath!="" filtra solo aquellos eventos donde el campo ManagedPdbBuildPath no está vacío. Posteriormente, la regla extrae y agrupa información sobre FilePath y FileName para identificar patrones de comportamiento sospechosos, como múltiples cargas de módulos en rutas específicas.
Actores que la Utilizan
Esta técnica está asociada a patrones de ataque avanzados y amenazas persistentes. Aunque no se especifican actores concretos, su uso sugiere la implementación de estrategias de ciberataque que aprovechan vulnerabilidades en el manejo de módulos .NET, como la inyección de código malicioso o la explotación de procesos legítimos.
Detección
La regla FQL detecta eventos de carga de módulos .NET con un ManagedPdbBuildPath no vacío. Esto puede indicar la ejecución de código malicioso o actividades anómalas en sistemas Windows. La detección se basa en la correlación de datos entre el evento y los campos extraídos, permitiendo la identificación de amenazas a través de análisis de comportamiento.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar riesgos asociados a esta técnica, se recomienda:
- Actualizar regularmente CrowdStrike Falcon para incluir reglas de detección actualizadas.
- Monitorear actividades de carga de módulos .NET en entornos críticos.
- Implementar herramientas de análisis SIEM para correlacionar eventos sospechosos con otros indicadores de amenaza.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*