jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: Detect locally disabled RTR

CS Query: Detect locally disabled RTR

Threat-actor 2 min lectura crowdstrike
Fecha
25 May 2026
Actor
crowdstrike
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium
50
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

0IOCs
0TTPs
crowdstrikeActor
UnknownPais

CS Query: Detect locally disabled RTR

Descripción de la Tecnica

CS Query: Detect locally disabled RTR es una técnica de detección basada en el análisis del evento SensorHeartbeat del CrowdStrike Falcon, utilizada para identificar cambios no autorizados en el estado del RTR (Real-Time Response). Este mecanismo permite detectar cuando un componente crítico del sistema operativo está desactivado localmente, lo que podría indicar una actividad maliciosa.

Como Funciona

La técnica analiza los registros del SensorHeartbeat para agrupar eventos por aid (attack ID) y extraer banderas específicas de SensorStateBitMap. La lógica se centra en la extracción de flags como RTR_Locally_Disabled, que indica si el RTR fue desactivado localmente. Si este flag es true, se genera una alerta.

Actores que la Utilizan

Esta técnica está relacionada con los subgrupos de MITRE ATT&CK bajo Lateral Movement. Actores como grupos APT o amenazas persistentes pueden utilizar este método para mantener acceso a un sistema, desactivando componentes críticos como el RTR para evitar detección.

Detección

La detección se basa en la consulta FQL (Falcon Query Language) proporcionada. El análisis de los registros del SensorHeartbeat permite identificar cambios anómalos en el estado del RTR, lo que podría señalar una violación de seguridad o un ataque en curso.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye la monitorización constante del estado del RTR, el control de acceso a componentes críticos y la actualización periódica de las reglas de detección. Además, se recomienda utilizar herramientas de ciberseguridad avanzadas como CrowdStrike Falcon para detectar cambios no autorizados en el sistema.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

Diamond Model

Adversary
crowdstrike
Ver perfil →
Victim
CS Query: Detect locally disabled RTR
Capability
Threat-actor
Infrastructure
Sin infraestructura confirmada

Referencias y enlaces

→ Perfil del actor crowdstrike en el blog → Ver crowdstrike en IntelTracker → Buscar crowdstrike en APTTrail → Repositorio APTTrail → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom