Descripción de la Tecnica
La técnica MITRE ATT&CK CS FQL: 14. WIN_Suspicious_ParentChain_Persistence se enfoca en detectar procesos maliciosos mediante el análisis de la cadena de ejecución de procesos en un entorno Windows. Este mecanismo identifica comportamientos anómalos al examinar las relaciones entre procesos, especialmente aquellos que intentan establecer persistencia a través de la cadena de parentezco (parent chain) de procesos.Como Funciona
La regla de detección se basa en un query de CrowdStrike Falcon (FQL) que filtra eventos relacionados con el evento "ProcessRollup2" en plataformas Windows. El análisis se centra en archivos ejecutables sospechosos, como cmd.exe, powershell.exe, wscript.exe, cscript.exe y mshta.exe, que suelen ser usados por atacantes para mantener una persistencia. La regla también excluye procesos asociados a "explorer.exe" para reducir falsos positivos. El algoritmo construye una cadena de ejecución (ExecutionChain) que muestra la relación entre el proceso objetivo y sus padres inmediatos, permitiendo identificar patrones de persistencia maliciosa. Los resultados se tabulan con datos como la marca de tiempo, el ID del proceso y la cadena de ejecución.Actores que la Utilizan
Esta técnica es parte de la familia de ataques de persistence, utilizada por múltiples actores, incluyendo grupos APT (Advanced Persistent Threats) y amenazas de ransomware. Los atacantes aprovechan la cadena de procesos para asegurar que un proceso malicioso se reinicie automáticamente al reiniciar el sistema o al iniciar servicios críticos.Detección
La detección se realiza mediante una regla de FQL específica, que filtra eventos con ImageFileName asociados a ejecutables sospechosos y verifica que los procesos no estén relacionados con "explorer.exe". La regla también analiza la estructura de la cadena de ejecución para detectar comportamientos anómalos. Este enfoque ayuda a identificar ataques que intentan mantener una persistencia mediante la manipulación de procesos.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, es recomendable implementar soluciones de seguridad con capacidad de detección avanzada, como sistemas EDR (Endpoint Detection and Response) basados en reglas de detección. Es fundamental monitorear procesos críticos y revisar comportamientos anómalos en la cadena de ejecución, especialmente aquellos que intentan mantener una persistencia a través de herramientas comunes como PowerShell o scripts maliciosos.Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*