jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: hunting EDR Freeze

CS Query: hunting EDR Freeze

Threat-actor 3 min lectura crowdstrike
Fecha
25 May 2026
Actor
crowdstrike
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium
60
Prioridad analitica
Media

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

2IOCs
0TTPs
crowdstrikeActor
UnknownPais

CS Query: hunting EDR Freeze

Descripción de la Tecnica

CS Query: hunting EDR Freeze es una técnica relacionada con el grupo attack-pattern del MITRE ATT&CK. Esta técnica se centra en la detección de actividades sospechosas mediante consultas específicas en el sistema de seguridad CrowdStrike Falcon, enfocándose en procesos y comandos que podrían indicar un ataque a través del EDR (End-Point Detection and Response).

Como Funciona

La técnica utiliza una consulta FQL (Falcon Query Language) para identificar procesos relacionados con WerFaultSecure.exe, un archivo que puede estar asociado a actividades maliciosas. Además, analiza comandos de línea de ejecución en busca de patrones específicos, como la presencia de números en el formato /\.exe"?\s+\d+\s+\d+, lo cual podría indicar una invocación no estándard o maliciosa.

Actores que la Utilizan

No hay información sobre actores específicos disponibles. La técnica se describe en el contexto de CrowdStrike Falcon, pero no se proporcionan datos concretos sobre grupos o entidades que la utilicen en el campo.

Detección

La detección se basa en la identificación de procesos sospechosos y comandos anómalos. La consulta FQL permite mapear la jerarquía de procesos y detectar señales de actividad maliciosa, como la creación de procesos en un entorno no autorizado o el uso de parámetros inusuales en la línea de comandos.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
File WerFaultSecure.exe Detección en EDR de procesos relacionados con este archivo.
Command Line /\.exe"?\s+\d+\s+\d+ Patrón de comandos en la línea de ejecución que podría indicar actividad no autorizada.

Mitigación

No hay información sobre mitigaciones públicas disponibles. La técnica se enfoca en la detección y análisis de comportamientos anómalos, pero no se proporcionan pasos específicos para mitigar el impacto de un ataque relacionado con esta técnica.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

Diamond Model

Adversary
crowdstrike
Ver perfil →
Victim
CS Query: hunting EDR Freeze
Capability
werfaultsecure.exe
Herramienta / tecnica observada
Infrastructure
Sin infraestructura confirmada

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
File WerFaultSecure.exe Artefacto observado VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor crowdstrike en el blog → Ver crowdstrike en IntelTracker → Buscar crowdstrike en APTTrail → Repositorio APTTrail → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom