Descripción de la Tecnica
CS Query: ALL_UNC_PathExecution es un patrón de ataque del MITRE ATT&CK relacionado con la detección y análisis de actividades maliciosas en entornos informáticos. Este mecanismo se utiliza para identificar procesos que ejecutan comandos con rutas UNC (Universal Network Code) en sus parámetros, lo cual puede indicar una interacción con recursos remotos no autorizados o la exfiltración de datos.
¿Cómo Funciona?
La técnica opera mediante un script de consulta en el CrowdStrike Falcon, que filtra eventos relacionados con procesos basándose en patrones específicos. La consulta busca procesos cuyos nombres de archivo (ImageFileName) coinciden con una expresión regular que identifica direcciones IP en formato 4 digitos separados por puntos (\\d+\\.\\d+\\.\\d+\\.\\d+). Esto permite detectar actividades sospechosas asociadas a rutas UNC, como la ejecución de código malicioso o el acceso a recursos remotos.
Actores que la Utilizan
Esta técnica está documentada en el MITRE ATT&CK, pero no se especifican actores concretos. Sin embargo, es un patrón común utilizado por amenazas que buscan explorar redes o exfiltrar datos mediante interacciones con recursos remotos no autorizados.
Detección
La detección se realiza a través de consultas en el CrowdStrike Falcon, donde se analizan eventos relacionados con procesos que incluyen rutas UNC. La consulta filtra registros basándose en patrones como la presencia de direcciones IP en nombres de archivo o comandos, lo cual ayuda a identificar actividades maliciosas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Regex Pattern | /\\d+\\.\\d+\\.\\d+\\.\\d+/i |
ImageFileName |
| Field | RemoteAddressIP4 | Deteción de direcciones IP asociadas a rutas UNC |
Mitigación
La mitigación implica monitorizar procesos con rutas UNC y asegurar que los sistemas estén protegidos contra accesos no autorizados. Se recomienda implementar políticas de restringir la ejecución de código desde rutas UNC y utilizar herramientas de detección basadas en reglas como las definidas en el MITRE ATT&CK.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*