Descripción de la Tecnica
CS FQL: Detect and Decode Base64-Encoded PowerShell Commands - http es una técnica de detección basada en el lenguaje de consulta de CrowdStrike Falcon (FQL), diseñada para identificar comandos de PowerShell codificados en base64 dentro del entorno de red HTTP. Esta práctica se alinea con la metodología MITRE ATT&CK, que categoriza actividades de ataque como la ejecución de comandos maliciosos mediante herramientas de scripting.
Como Funciona
La técnica utiliza el lenguaje de consulta FQL para analizar registros de actividad en el entorno de red. Los comandos de PowerShell codificados en base64 son comúnmente usados por atacantes para evitar la detección mediante sistemas de seguridad tradicionales. Al decodificar estos comandos, se pueden identificar patrones sospechosos, como solicitudes HTTP anómalas o ejecuciones de scripts maliciosos.
Actores que la Utilizan
Esta técnica está relacionada con actores que emplean PowerShell para actividades de command and control, exfiltración de datos o escalado de privilegios. Atacantes aprovechan la codificación en base64 para ocultar comandos maliciosos dentro de tráfico HTTP legítimo, evadiendo mecanismos de detección basados en reglas.
Detección
La detección se realiza mediante consultas FQL que analizan los registros de red para patrones específicos. El sistema busca comandos codificados en base64 asociados a puertos HTTP (por ejemplo, puerto 80 o 443) y solicitudes con parámetros sospechosos. La decodificación automática permite identificar actividades no autorizadas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda configurar sistemas EDR (Endpoint Detection and Response) para monitorear tráficos HTTP y comandos de PowerShell codificados en base64. También es crucial implementar políticas de seguridad que limiten la ejecución de scripts no autorizados y realizar auditorías regulares para identificar actividades anómalas en el entorno de red.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*