jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 29. hunting EDR Freeze

CS FQL: 29. hunting EDR Freeze

Threat-actor 3 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Actualizar regularmente las reglas de detección en EDR.
  • Implementar monitoreo proactivo con herramientas basadas en machine learning para identificar comportamientos anómalos.
  • Limitar el acceso a sistemas críticos y utilizar políticas de seguridad estrictas.
  • Realizar auditorías periódicas de registros EDR para detectar actividades sospechosas.

CS FQL: 29. hunting EDR Freeze

Descripción de la Tecnica

La técnica MITRE ATT&CK CS FQL: 29. Hunting EDR Freeze se refiere al uso del CrowdStrike Falcon Query Language (FQL) para detectar actividades sospechosas en datos de detección de endpoints (EDR). Este método permite a los atacantes analizar registros de EDR para identificar patrones o comportamientos anómalos que indiquen la presencia de amenazas. La técnica está relacionada con el proceso de hunting (búsqueda activa) en entornos de seguridad informática.

¿Cómo Funciona?

La técnica utiliza consultas personalizadas en FQL para analizar datos de EDR, como registros de procesos, eventos de sistema y actividades de usuarios. Los atacantes pueden diseñar consultas que filtran eventos basados en criterios específicos (ej.: ejecución de archivos sospechosos, accesos no autorizados o cambios en permisos). Este proceso ayuda a identificar amenazas que podrían pasar desapercibidas en monitoreos tradicionales.

Actores que la Utilizan

Esta técnica es utilizada por actores con habilidades avanzadas en ciberseguridad, incluyendo grupos de hacktivists, amenazas estatales y organizaciones crimen cibernético. Los atacantes emplean este método para explorar redes y sistemas en busca de brechas que permitan el acceso a datos sensibles o la ejecución de malware.

Detección

La detección de esta técnica implica monitorear registros EDR mediante consultas personalizadas en FQL. Las herramientas de seguridad pueden configurar reglas basadas en comportamientos anómalos, como la ejecución repetida de programas no autorizados o el acceso a archivos críticos sin validación. La detección también depende del análisis de patrones de actividad que se desvían de los estándares normales.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el impacto de esta técnica, se recomienda:

  • Actualizar regularmente las reglas de detección en EDR.
  • Implementar monitoreo proactivo con herramientas basadas en machine learning para identificar comportamientos anómalos.
  • Limitar el acceso a sistemas críticos y utilizar políticas de seguridad estrictas.
  • Realizar auditorías periódicas de registros EDR para detectar actividades sospechosas.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach