Descripción de la Tecnica
CS Query: Chromium-Based Browser Hunting via DLL Load es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, que se centra en la detección de actividades maliciosas mediante la carga de archivos DLL (Dynamic Link Libraries) en navegadores basados en Chromium. Esta práctica implica la inyección de código malicioso en procesos de exploradores web, aprovechando vulnerabilidades asociadas a la carga dinámica de bibliotecas.
Como Funciona
Esta técnica utiliza una consulta de detección de CrowdStrike Falcon para identificar eventos de carga de módulos (DLL) en procesos relacionados con el navegador Chrome. La consulta filtra eventos donde se carga chrome.dll y se asocia con un proceso que ejecuta chrome.exe. Los campos analizados incluyen la nombre de la computadora, el identificador del proceso objetivo y otros metadatos relacionados con la actividad maliciosa.
Actores que la Utilizan
Esta técnica es utilizada por actores avançados y ciberdelincuentes que buscan aprovechar vulnerabilidades en navegadores web. Estos actores pueden utilizar esta técnica para inyectar código malicioso en entornos de usuarios finales, permitiendo la ejecución de恶意 software sin ser detectado inicialmente.
Detección
La detección se basa en la supervisión de eventos de carga de módulos en procesos relacionados con Chrome. La consulta de CrowdStrike Falcon identifica patrones inusuales, como la carga de chrome.dll en contextos no esperados o la asociación con chrome.exe. Los sistemas de detección basados en comportamiento también pueden detectar actividades anómalas en el uso de navegadores web.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este tipo de amenazas, se recomienda:
- Actualización constante de navegadores y software relacionado para cerrar vulnerabilidades.
- Monitoreo continuo de actividades en entornos críticos con herramientas como CrowdStrike Falcon.
- Revisión de perfiles de usuario para detectar comportamientos inusuales en la carga de módulos.
- Implementación de políticas de seguridad que limiten la ejecución de procesos no autorizados.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*