Basic Detection: cmd.exe Executing whoami (APT3 TTP)
Beginner-level query to detect cmd.exe executions invoking whoami — the first technique documented in the public APT3 profile per T1059.003 and T1033. Ideal for SOC analysts new to threat hunting with CQL who want to get familiar with basic Falcon LogScale syntax using FDR process events.
EDRcmdwhoamiapt3beginnerreconnaissanceT1059.003T1033
FDR Beginnerby darkreitor 2 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| FileName=/(?i)cmd\.exe/
| CommandLine=/(?i)\/c\s+whoami/
| groupBy([ComputerName, UserName, CommandLine], function=count())
| sort(_count, order=desc, limit=20)Explanation
| Pipe | Descripción |
|---|---|
#repo="base_sensor" #event_simpleName=ProcessRollup2 | Accede al repositorio FDR de CrowdStrike Falcon y filtra eventos de creacion de procesos (ProcessRollup2) — el evento que registra cada nuevo proceso ejecutado en el endpoint. |
FileName=/(?i)cmd\.exe/ | Filtra solo ejecuciones del interprete de comandos de Windows cmd.exe, ignorando mayusculas y minusculas gracias al flag (?i). |
CommandLine=/(?i)\/c\s+whoami/ | Busca la cadena '/c whoami' en la linea de comandos — patron documentado de APT3 para identificar el contexto del usuario comprometido (nombre de usuario y dominio actuales en el sistema victima). |
groupBy([ComputerName, UserName, CommandLine], function=count()) | Agrupa los resultados por nombre del host, usuario que ejecuto el comando y la linea de comandos exacta, contando cuantas veces ocurrio cada combinacion. |
sort(_count, order=desc, limit=20) | Muestra los 20 resultados con mayor frecuencia de aparicion, ordenados de mayor a menor para facilitar el triage inicial. |
Adjustable Variables
Modifica CommandLine para ampliar la deteccion a otros comandos de reconocimiento de APT3 como 'net user', 'hostname' o 'ipconfig /all'. Reduce el limit a 10 en entornos de alto volumen o aumentalo a 50 para una vista mas amplia del entorno.