jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 10. WIN_FailedLogons

CS FQL: 10. WIN_FailedLogons

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

CS FQL: 10. WIN_FailedLogons

Descripción de la Tecnica

CrowdStrike Falcon Query Language (FQL) es un método de detección utilizado en el marco MITRE ATT&CK para identificar actividades maliciosas en entornos Windows. La técnica CS FQL: 10. WIN_FailedLogons se centra en la detección de eventos de fallo en logones de usuarios, lo que puede indicar una tentativa de acceso no autorizado o un ataque de tipo credential stuffing.

¿Cómo Funciona?

La regla FQL analiza los registros de seguridad de Windows para identificar eventos UserLogonFailed, filtrando por plataformas Windows. La consulta agrupa resultados basándose en campos como aid (identificador de evento), ComputerName, UserName, LogonType y SubStatus. Además, convierte el campo SubStatus a formato hexadecimal para facilitar la detección de patrones anómalos.

Actores que la Utilizan

La técnica está documentada en MITRE ATT&CK como un método de detección, pero no se especifica un conjunto limitado de actores o amenazas. Sin embargo, su uso implica la identificación de comportamientos maliciosos asociados a ataques de tipo brute force o credential theft.

Detección

La regla FQL se implementa como un componente de detección en sistemas con CrowdStrike Falcon. Su objetivo es alertar sobre eventos de logon fallido que puedan ser indicadores de una actividad maliciosa, como intentos de acceso no autorizado o la extracción de credenciales.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye el monitoreo continuo de eventos de logon fallido y la implementación de políticas de seguridad para limitar el número de intentos de acceso no autorizado. En entornos con CrowdStrike Falcon, se recomienda ajustar las reglas de detección según el contexto de red y los patrones normales del entorno.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

myipo.gov.my13 Jun 2026 · payload Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit