jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: WIN_NET_GROUP_DomainCmds

CS Query: WIN_NET_GROUP_DomainCmds

Threat-actor 3 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Filtrado de eventos: Solo procesos con nombre de archivo que coincida con el patrón "/net1?.exe/i".
  • Análisis de ejecución: Construcción de una cadena jerárquica para mostrar la relación entre procesos padre e hijo.
  • Formato temporal: Conversión y formateo de la hora de inicio del proceso en un formato estándar.

CS Query: WIN_NET_GROUP_DomainCmds

Descripción de la Tecnica

WIN_NET_GROUP_DomainCmds es una técnica de detección basada en consultas de CrowdStrike Falcon, diseñada para identificar procesos relacionados con comandos de dominio maliciosos. Esta técnica se integra dentro del marco MITRE ATT&CK como un attack-pattern, enfocado en la detección de actividades de tipo "Execution" asociadas a procesos que ejecutan comandos de nivel de dominio.

Como Funciona

La consulta se basa en eventos de tipo ProcessRollup2 en plataformas Windows, filtrando procesos cuyo nombre de archivo incluye "net1.exe" y cuya línea de comandos contiene patrones como "/group" o "/domain". La lógica detallada incluye:

  • Filtrado de eventos: Solo procesos con nombre de archivo que coincida con el patrón "/net1?.exe/i".
  • Análisis de ejecución: Construcción de una cadena jerárquica para mostrar la relación entre procesos padre e hijo.
  • Formato temporal: Conversión y formateo de la hora de inicio del proceso en un formato estándar.

Actores que la Utilizan

No se proporcionan datos sobre actores específicos o amenazas conocidas asociadas a esta técnica. La consulta no incluye información adicional sobre los atacantes o entornos de ciberataque.

Detección

La técnica permite detectar procesos sospechosos que ejecutan comandos relacionados con dominios, basándose en la coincidencia de patrones de nombres de archivo y líneas de comandos. La detección es efectiva cuando se identifican procesos que no son conocidos o que operan fuera del contexto normal de sistemas Windows.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación

La mitigación implica la monitorización continua de procesos con permisos elevados y la implementación de políticas de seguridad que restringan el acceso a recursos críticos. Se recomienda la actualización constante de firmas de detección y la integración de herramientas de análisis de comportamiento para identificar actividades anómalas en sistemas Windows.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach