Descripción de la Tecnica
CS Query: OS Platform ratio es una técnica de detección basada en el análisis de los registros de eventos del sistema operativo (event_platform) mediante una consulta FQL (Falcon Query Language). Esta técnica se utiliza para identificar patrones anómalos en la distribución de plataformas de sistemas operativos dentro de una red, lo que puede indicar actividades maliciosas o comportamientos no normales.
Como Funciona
La consulta agrupa eventos por aid (identificador único del dispositivo) y event_platform, luego vuelve a agrupar solo por event_platform. Este enfoque permite observar la proporción de dispositivos que utilizan diferentes sistemas operativos, lo que puede revelar anomalías como una concentración excesiva de dispositivos con versiones específicas de Windows, macOS o Linux. Estos patrones pueden ser señalados como sospechosos si se correlacionan con actividades maliciosas.
Actores que la Utilizan
No hay información pública disponible sobre actores específicos que utilicen esta técnica en el contexto de MITRE ATT&CK. La consulta está diseñada para ser una herramienta de detección interna, no como un indicador de amenaza directa.
Detección
La técnica se integra en la plataforma CrowdStrike Falcon como parte de su capacidad de detección basada en comportamiento. Los análisis se realizan a través de consultas FQL que monitorizan la proporción de sistemas operativos en los eventos del sensor SensorHeartbeat, lo que permite identificar desviaciones inusuales en la distribución de plataformas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación incluye monitorear las proporciones de sistemas operativos en los dispositivos y aplicar políticas de seguridad para limitar el acceso a recursos críticos. Además, se recomienda actualizar regularmente los sistemas operativos y utilizar soluciones de ciberseguridad como CrowdStrike Falcon para detectar comportamientos anómalos en tiempo real.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*