jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: WIN_ReconMulti

CS Query: WIN_ReconMulti

Threat-actor 2 min lectura crowdstrike
Fecha
25 May 2026
Actor
crowdstrike
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium
65
Prioridad analitica
Media

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

3IOCs
0TTPs
crowdstrikeActor
UnknownPais

CS Query: WIN_ReconMulti

Descripción de la Tecnica

WIN_ReconMulti es una técnica perteneciente al grupo attack-pattern de MITRE ATT&CK, relacionada con la fase de descubrimiento en el marco de ciberseguridad. Esta técnica se utiliza para identificar procesos que podrían ser utilizados por actores maliciosos para recopilar información sobre una red o sistema objetivo.

¿Cómo Funciona?

La técnica está definida mediante una consulta FQL (Falcon Query Language) implementada en CrowdStrike Falcon. La consulta analiza procesos relacionados con herramientas de diagnóstico de red, como net.exe, ipconfig.exe o whoami.exe, y detecta patrones anómalos. Se agrupan procesos por su ID padre y se cuentan las ocurrencias de nombres de archivo o líneas de comandos, indicando posibles actividades maliciosas si el conteo supera un umbral.

Actores que la Utilizan

No existen datos públicos sobre actores específicos asociados a esta técnica. La detección se basa en patrones de comportamiento, no en identidad de amenazas conocidas.

Detección

La técnica es parte del motor de detección de CrowdStrike Falcon, diseñado para detectar actividades maliciosas durante la fase de descubrimiento. Identifica procesos con nombres de archivo o líneas de comandos sospechosas y analiza su comportamiento en contexto.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye la monitorización continua de procesos sospechosos, el uso de herramientas de detección de ciberamenazas (como CrowdStrike Falcon), y la implementación de políticas de seguridad para limitar el acceso a herramientas críticas de diagnóstico de red. Se recomienda mantener sistemas actualizados y aplicar controles de permisos estrictos.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

Diamond Model

Adversary
crowdstrike
Ver perfil →
Victim
CS Query: WIN_ReconMulti
Capability
net.exe
Herramienta / tecnica observada
Infrastructure
Sin infraestructura confirmada

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
File net.exe Artefacto observado VT OffSec SOCRadar
File ipconfig.exe Artefacto observado VT OffSec SOCRadar
File whoami.exe Artefacto observado VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor crowdstrike en el blog → Ver crowdstrike en IntelTracker → Buscar crowdstrike en APTTrail → Repositorio APTTrail → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom