jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: WIN_ReconMulti

CS Query: WIN_ReconMulti

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

CS Query: WIN_ReconMulti

Descripción de la Tecnica

WIN_ReconMulti es una técnica perteneciente al grupo attack-pattern de MITRE ATT&CK, relacionada con la fase de descubrimiento en el marco de ciberseguridad. Esta técnica se utiliza para identificar procesos que podrían ser utilizados por actores maliciosos para recopilar información sobre una red o sistema objetivo.

¿Cómo Funciona?

La técnica está definida mediante una consulta FQL (Falcon Query Language) implementada en CrowdStrike Falcon. La consulta analiza procesos relacionados con herramientas de diagnóstico de red, como net.exe, ipconfig.exe o whoami.exe, y detecta patrones anómalos. Se agrupan procesos por su ID padre y se cuentan las ocurrencias de nombres de archivo o líneas de comandos, indicando posibles actividades maliciosas si el conteo supera un umbral.

Actores que la Utilizan

No existen datos públicos sobre actores específicos asociados a esta técnica. La detección se basa en patrones de comportamiento, no en identidad de amenazas conocidas.

Detección

La técnica es parte del motor de detección de CrowdStrike Falcon, diseñado para detectar actividades maliciosas durante la fase de descubrimiento. Identifica procesos con nombres de archivo o líneas de comandos sospechosas y analiza su comportamiento en contexto.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye la monitorización continua de procesos sospechosos, el uso de herramientas de detección de ciberamenazas (como CrowdStrike Falcon), y la implementación de políticas de seguridad para limitar el acceso a herramientas críticas de diagnóstico de red. Se recomienda mantener sistemas actualizados y aplicar controles de permisos estrictos.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach