Web Browser Spawning a Command Interpreter Process
Detects when a web browser process directly spawns a command interpreter or scripting engine. Highly anomalous behavior associated with browser exploitation, advanced social engineering, or drive-by download attacks.
EDRbrowsercmdshell-spawnexploitationdrive-byT1203T1059.003T1566
FDR Beginnerby darkreitor 1 min read
Query
#repo="base_sensor" event_simpleName=ProcessRollup2
| ParentBaseFileName = /^(chrome\.exe|firefox\.exe|msedge\.exe|iexplore\.exe|opera\.exe|brave\.exe|MicrosoftEdge\.exe)$/i
| FileName = /^(cmd\.exe|powershell\.exe|wscript\.exe|cscript\.exe|mshta\.exe|rundll32\.exe)$/i
| groupBy([ComputerName, UserName, ParentBaseFileName, FileName, CommandLine], function=[count(as=detections)])
| sort(detections, order=desc)Explanation
| Pipe | Descripción | ||||
|---|---|---|---|---|---|
#repo="base_sensor" event_simpleName=ProcessRollup2 | Accede a eventos de creación de procesos en el repositorio FDR de Falcon. | ||||
| `ParentBaseFileName = /^(chrome.exe\ | firefox.exe\ | msedge.exe\ | ...)/` | Filtra por navegadores web comunes como proceso padre. Un navegador legítimo nunca debería lanzar intérpretes de comandos de forma directa. | |
| `FileName = /^(cmd.exe\ | powershell.exe\ | wscript.exe\ | mshta.exe\ | ...)/` | Captura procesos hijos que son intérpretes de comandos o scripting. Su aparición directa desde un navegador indica compromiso activo o ingeniería social exitosa. |
groupBy([...], function=[count(as=detections)]) | Agrupa por host, usuario, navegador y proceso hijo para correlacionar el contexto completo del posible compromiso. | ||||
sort(detections, order=desc) | Prioriza los hosts con mayor número de detecciones para respuesta rápida del equipo MDR/SOC. |
Adjustable Variables
Añade navegadores menos comunes como 'vivaldi.exe' u 'operaGX.exe'. En entornos con extensiones RMM que se integran con el navegador, crea exclusiones basadas en CommandLine específico para reducir falsos positivos.