Timestomping Detection

Detects file timestamp manipulation (timestomping) used as an anti-forensics technique to conceal malicious activity.

EDRsofisticdefense-evasionmedioT1070.006timestompforensicsT1070.006

FDR Beginnerby SOFISTIC SOC 1 min read

Query

#event_simpleName=ProcessRollup2 CommandLine=/(timestomp|Set\-ItemProperty.*LastWriteTime|touch\s)/i | groupBy([ComputerName, UserName, CommandLine], function=count()) | _count > 3 | sort(_count, limit=20)

Explanation

▸Detecta la herramienta timestomp (Metasploit) y métodos PowerShell para modificar LastWriteTime.
▸El comando touch en entornos Windows (WSL o ports) también puede usarse para timestomping.
▸Agrupa por equipo, usuario y comando para identificar el patrón completo.
▸Umbral 3 reduce falsos positivos de scripts de administración que modifican timestamps legítimamente.

Adjustable Variables

▸Ampliar PowerShell: Añade CreationTime, LastAccessTime para cubrir modificaciones de todos los timestamps.
▸Umbral `_count > 3`: Reduce a 1 en entornos donde el timestomping no tiene uso legítimo.
▸Complementar con: Análisis forense de $MFT para confirmar discrepancias de timestamps.