jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 27. Detect RTR High Risk Commands

CS FQL: 27. Detect RTR High Risk Commands

Threat-actor 3 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Establecer conexión persistente en sistemas operativos.
  • Ejecutar código no autorizado mediante comandos remotos (RTR).
  • Automatizar tareas de ataque a través de scripts o herramientas automatizadas.
  • Configurar reglas de detección en FQL para monitorear comandos críticos.
  • Limitar el acceso a herramientas y scripts con privilegios elevados.

CS FQL: 27. Detect RTR High Risk Commands

Descripción de la Tecnica

CS FQL: 27. Detect RTR High Risk Commands es una técnica de detección basada en el CrowdStrike Falcon Query Language (FQL), diseñada para identificar comandos de alto riesgo relacionados con la ejecución remota de código (RTR) en entornos de seguridad. Esta regla se clasifica como un attack-pattern dentro del framework MITRE ATT&CK, enfocándose en la identificación de actividades maliciosas que intenten establecer una conexión persistente o realizar operaciones críticas sin autorización.

Como Funciona

La técnica opera mediante la creación de una regla de detección en FQL, un lenguaje de consulta especializado para el análisis de eventos de seguridad. La regla está programada para analizar los comandos ejecutados por procesos dentro del sistema y detectar aquellos que coincidan con patrones definidos como "high risk". Estos patrones incluyen comandos que podrían permitir la ejecución remota de código malicioso, como cmd.exe, wscript, o scripts de PowerShell no autorizados.

Actores que la Utilizan

Esta técnica es utilizada por actores con objetivos críticos de ciberseguridad, incluyendo grupos maliciosos que buscan:

  • Establecer conexión persistente en sistemas operativos.
  • Ejecutar código no autorizado mediante comandos remotos (RTR).
  • Automatizar tareas de ataque a través de scripts o herramientas automatizadas.

Detección

La detección se implementa mediante la aplicación de una regla FQL que monitorea los eventos de ejecución en tiempo real. La regla evalúa si un comando cumple con criterios predefinidos (ej. uso de comandos no autorizados, parámetros sospechosos). Si se detectan coincidencias, se genera una alerta para investigadores de seguridad.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a esta técnica, se recomienda:

  • Configurar reglas de detección en FQL para monitorear comandos críticos.
  • Limitar el acceso a herramientas y scripts con privilegios elevados.
  • Implementar auditorías periódicas de eventos de ejecución y permisos.
  • Actualizar regularmente las reglas de detección para adaptarse a nuevas amenazas.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach