jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: Qué significa cada cosa (columna por columna)

CS FQL: Qué significa cada cosa (columna por columna)

Threat-actor 3 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Actualizar regularmente CrowdStrike Falcon para incluir reglas de detección actualizadas.
  • Monitorear actividades de carga de módulos .NET en entornos críticos.
  • Implementar herramientas de análisis SIEM para correlacionar eventos sospechosos con otros indicadores de amenaza.

CS FQL: Qué significa cada cosa (columna por columna)

Descripción de la Tecnica

CrowdStrike Falcon Query Language (FQL) es un lenguaje de consulta utilizado por el sistema de detección de amenazas CrowdStrike Falcon. Esta técnica se basa en reglas de detección específicas para identificar actividades sospechosas en entornos Windows. La regla proporcionada se enfoca en la detección de eventos relacionados con la carga de módulos .NET reflejados, utilizando campos como ManagedPdbBuildPath para identificar patrones anómalos.

Como Funciona

La regla FQL analiza eventos de tipo ReflectiveDotnetModuleLoad, que ocurren cuando un proceso carga un módulo .NET en memoria. La condición ManagedPdbBuildPath!="" filtra solo aquellos eventos donde el campo ManagedPdbBuildPath no está vacío. Posteriormente, la regla extrae y agrupa información sobre FilePath y FileName para identificar patrones de comportamiento sospechosos, como múltiples cargas de módulos en rutas específicas.

Actores que la Utilizan

Esta técnica está asociada a patrones de ataque avanzados y amenazas persistentes. Aunque no se especifican actores concretos, su uso sugiere la implementación de estrategias de ciberataque que aprovechan vulnerabilidades en el manejo de módulos .NET, como la inyección de código malicioso o la explotación de procesos legítimos.

Detección

La regla FQL detecta eventos de carga de módulos .NET con un ManagedPdbBuildPath no vacío. Esto puede indicar la ejecución de código malicioso o actividades anómalas en sistemas Windows. La detección se basa en la correlación de datos entre el evento y los campos extraídos, permitiendo la identificación de amenazas a través de análisis de comportamiento.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar riesgos asociados a esta técnica, se recomienda:

  • Actualizar regularmente CrowdStrike Falcon para incluir reglas de detección actualizadas.
  • Monitorear actividades de carga de módulos .NET en entornos críticos.
  • Implementar herramientas de análisis SIEM para correlacionar eventos sospechosos con otros indicadores de amenaza.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach