jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 3. WIN_PS_ENC_EncodedPS

CS FQL: 3. WIN_PS_ENC_EncodedPS

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • ImageFileName: Archivos ejecutables como powershell.exe.
  • CommandLine: Comandos que incluyen parámetros de codificación (ej. -e, -c).
  • Unión con datos de autenticación: Relaciona el proceso con información de usuario para contextualizar la actividad.
  • Monitoreo en tiempo real: Supervisar procesos codificados y comandos no estándar en entornos críticos.
  • Actualización de reglas: Asegurar que sistemas de detección como CrowdStrike Falcon estén actualizados con las últimas reglas de detección.

CS FQL: 3. WIN_PS_ENC_EncodedPS

Descripción de la Tecnica

CS FQL: 3. WIN_PS_ENC_EncodedPS es una regla de detección basada en el CrowdStrike Falcon Query Language (FQL), utilizada para identificar actividades asociadas a procesos codificados que pueden indicar comportamiento malicioso. Esta técnica está relacionada con la familia de ataques MITRE ATT&CK, específicamente bajo el grupo attack-pattern.

Como Funciona

La regla FQL analiza eventos de procesos para detectar ejecuciones de powershell.exe con comandos codificados. La lógica se basa en patrones regex que identifican:

  • ImageFileName: Archivos ejecutables como powershell.exe.
  • CommandLine: Comandos que incluyen parámetros de codificación (ej. -e, -c).
  • Unión con datos de autenticación: Relaciona el proceso con información de usuario para contextualizar la actividad.

Actores que la Utilizan

Esta técnica está asociada a actores maliciosos que utilizan procesos codificados para evadir detectores. Aunque no se especifican grupos en el contexto proporcionado, es una práctica común en ataques de exploitation y privilege escalation.

Detección

La regla FQL identifica procesos que ejecutan PowerShell con comandos codificados. Esto puede indicar la ejecución de scripts maliciosos, como ataques command and script injection o reverse shell. La detección se basa en patrones definidos en el sistema CrowdStrike Falcon.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar riesgos asociados a esta técnica, se recomienda:

  • Monitoreo en tiempo real: Supervisar procesos codificados y comandos no estándar en entornos críticos.
  • Actualización de reglas: Asegurar que sistemas de detección como CrowdStrike Falcon estén actualizados con las últimas reglas de detección.
  • Revisión de scripts: Analizar ejecuciones de PowerShell sospechosas para identificar actividades maliciosas.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach