jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 9. WIN_RecycleBinExec

CS FQL: 9. WIN_RecycleBinExec

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
Software
Confianza
medium

Key Points

  • Actualización constante de sistemas operativos y software de seguridad.
  • Monitoreo continuo de actividades relacionadas con el Recycle Bin.
  • Uso de herramientas de ciberseguridad como CrowdStrike Falcon para detectar patrones anómalos en procesos.
  • Restricción del acceso a recursos críticos, incluido el manejo de archivos temporales.

CS FQL: 9. WIN_RecycleBinExec

Descripción de la Tecnica

Cs Fql: 9. Win_RecycleBinExec es una regla de detección del MITRE ATT&CK asociada al lenguaje de consulta CrowdStrike Falcon (FQL). Esta técnica se utiliza para identificar actividades relacionadas con el uso del Recycle Bin en sistemas Windows, un componente del sistema que permite la eliminación temporal de archivos. Ataques maliciosos pueden explotar este mecanismo para ocultar procesos o archivos no deseados.

Como Funciona

La regla analiza eventos de tipo ProcessRollup2 en el sistema, filtrando procesos cuyo nombre de archivo (ImageFileName) contiene la expresión regular /Recycle\.Bin/i. Esto permite detectar procesos que interactúan con el Recycle Bin, un comportamiento anormal que podría indicar la presencia de malware o actividades maliciosas.

Actores que la Utilizan

Esta técnica está asociada a actores que utilizan exploits para aprovechar características del sistema Windows, como el Recycle Bin, con el objetivo de mantener persistencia o exfiltrar datos. Ataques basados en zero-day o privilege escalation podrían aprovechar esta vulnerabilidad.

Detección

La regla de detección está implementada en el lenguaje FQL, que procesa eventos de seguridad en tiempo real. La consulta agrupa eventos por aid (identificador del dispositivo) y recopila datos como la hash SHA256 del archivo y el nombre del archivo, permitiendo una identificación precisa de actividades anómalas relacionadas con el Recycle Bin.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar riesgos asociados a esta técnica, se recomienda:

  • Actualización constante de sistemas operativos y software de seguridad.
  • Monitoreo continuo de actividades relacionadas con el Recycle Bin.
  • Uso de herramientas de ciberseguridad como CrowdStrike Falcon para detectar patrones anómalos en procesos.
  • Restricción del acceso a recursos críticos, incluido el manejo de archivos temporales.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach