jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: WIN_Suspicious_ParentChain_Persistence

CS Query: WIN_Suspicious_ParentChain_Persistence

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

CS Query: WIN_Suspicious_ParentChain_Persistence

Descripción de la Tecnica

WIN_Suspicious_ParentChain_Persistence es una técnica de persistencia en el contexto de MITRE ATT&CK que se centra en la detección de procesos con comportamientos anómalos en la cadena de ejecución. Este mecanismo permite a los atacantes mantener acceso persistente a un sistema mediante la manipulación de la jerarquía de procesos.

Como Funciona

La técnica utiliza una consulta de CrowdStrike Falcon para identificar procesos sospechosos. La lógica se basa en la combinación de archivos ejecutables específicos (como cmd.exe, powershell.exe) y la verificación de que el nombre base del proceso padre no sea explorer.exe. Esto ayuda a detectar procesos que intentan mantener una persistencia mediante la cadena de ejecución de procesos.

Actores que la Utilizan

Esta técnica es utilizada por diversos actores cibernéticos, incluyendo amenazas de tipo Ransomware, Supply Chain Attacks y otros tipos de ataque de persistencia. No se especifica un actor particular en los datos proporcionados.

Detección

La detección se realiza mediante consultas como la proporcionada por CrowdStrike Falcon, que analiza las propiedades del proceso (nombre del archivo, cadena de ejecución) y compara con patrones sospechosos. La técnica busca procesos que no sigan un comportamiento normal en su jerarquía de ejecución.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye la implementación de controles de seguridad que monitoren procesos con comportamientos anómalos. Se recomienda usar herramientas de detección basadas en la jerarquía de ejecución, como las consultas de CrowdStrike Falcon, y realizar auditorías regulares para identificar patrones de persistencia no autorizados.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

myipo.gov.my13 Jun 2026 · payload Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit