Archive Tool Shell Spawn - Code Execution via Compressed File
Detects when archive tools (WinRAR, 7-Zip, PeaZip, Bandizip, native Windows extractor) spawn command interpreters or loaders as a direct child process. High-fidelity pattern for detecting active 2025 archive exploitation vulnerabilities that execute hidden payloads when manipulated compressed files are opened.
Malwarewinrararchiveshell-spawncode-executionlolbinsT1204.002T1059.001T1059.003
FDR Beginnerby darkreitor 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| ParentBaseFileName=/(?i)^(winrar\.exe|7z\.exe|7zfm\.exe|peazip\.exe|bandizip\.exe|zipfldr\.dll)$/
| FileName=/(?i)^(cmd\.exe|powershell\.exe|wscript\.exe|cscript\.exe|mshta\.exe|rundll32\.exe|regsvr32\.exe)$/
| groupBy([ComputerName, UserName, ParentBaseFileName, FileName, CommandLine], function=count())
| sort(_count, order=desc, limit=20)Explanation
| Pipe | Descripción |
|---|---|
ParentBaseFileName=/.../ (archivadores + zipfldr) | Filtra procesos cuyo padre es un archivador popular incluyendo zipfldr.dll, el extractor ZIP nativo del Explorador de Windows — vector de explotación frecuente sin instalación de software adicional |
FileName=/.../ (intérpretes y loaders) | Detecta intérpretes de comandos y loaders de código peligrosos como proceso hijo: cmd.exe, PowerShell, wscript, cscript, mshta, rundll32 y regsvr32 |
groupBy([..., CommandLine], function=count()) | Incluye CommandLine en la agrupación para preservar contexto completo del proceso hijo y facilitar análisis forense |
sort(_count, order=desc, limit=20) | Ordena por frecuencia y limita a 20 resultados para triage inicial rápido |
Adjustable Variables
Añadir winzip32.exe, pkzip.exe o ark.exe en ParentBaseFileName según software presente. Remover zipfldr.dll si genera falsos positivos en extracción ZIP normal del sistema operativo. Reducir limit=20 al usar como alerta en tiempo real.