jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS FQL: 7. WIN_BCDEDIT_SafeModeEvasion

CS FQL: 7. WIN_BCDEDIT_SafeModeEvasion

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
Software
Confianza
medium

Key Points

  • Actualizar regularmente el software antivirus y sistemas operativos.
  • Realizar revisiones periódicas de la configuración del arranque (por ejemplo, mediante herramientas de administración de sistemas).
  • Implementar políticas de segmentación de red para limitar el acceso a recursos críticos.
  • Monitorear cambios anómalos en archivos de configuración del sistema.

CS FQL: 7. WIN_BCDEDIT_SafeModeEvasion

Descripción de la Tecnica

CS FQL: 7. WIN_BCDEDIT_SafeModeEvasion es una técnica de detección basada en el lenguaje de consulta de CrowdStrike Falcon (FQL), diseñada para identificar actividades relacionadas con el uso de bcdedit.exe, un herramienta de Windows utilizada para modificar la configuración de arranque. Esta técnica se enfoca en evadir medidas de seguridad como el modo seguro al manipular archivos de configuración del sistema operativo.

Como Funciona

La regla FQL analiza procesos relacionados con bcdedit.exe, identificando patrones específicos en los nombres de archivo y argumentos de línea de comandos. El algoritmo agrupa eventos por nombre de archivo, nombre de equipo y otros campos relevantes, contando la frecuencia de ejecuciones y recolectando detalles de comandos para detectar actividades anómalas.

Actores que la Utilizan

No se especifican actores concretos en el contexto proporcionado. La técnica está diseñada como una regla de detección general, no vinculada a un grupo o amenaza particular.

Detección

La técnica utiliza la plataforma CrowdStrike Falcon para detectar actividades asociadas a bcdedit.exe, analizando procesos y argumentos de línea de comandos. La regla identifica coincidencias en el nombre del archivo y parámetros específicos, agrupando datos para alertas automatizadas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar riesgos asociados a esta técnica, se recomienda:

  • Actualizar regularmente el software antivirus y sistemas operativos.
  • Realizar revisiones periódicas de la configuración del arranque (por ejemplo, mediante herramientas de administración de sistemas).
  • Implementar políticas de segmentación de red para limitar el acceso a recursos críticos.
  • Monitorear cambios anómalos en archivos de configuración del sistema.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

myipo.gov.my13 Jun 2026 · payload Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit