CMD Discovery Recon - APT3 Basic Enumeration Detection
Detects native Windows enumeration tools invoked from cmd.exe, following the basic reconnaissance pattern documented in the APT3 TTP profile. Covers use of whoami, net, ipconfig, systeminfo, and other LOLBins utilities to map the environment after initial intrusion.
Threat Huntingdiscoverycmdapt3enumerationlolbinsT1059.003T1082T1033
FDR Beginnerby darkreitor 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| FileName=/(?i)^(whoami|hostname|ipconfig|systeminfo|net|arp|netstat|tasklist|quser)\.exe$/
| ParentBaseFileName=/(?i)^cmd\.exe$/
| groupBy([ComputerName, UserName, FileName], function=count())
| sort(_count, order=desc, limit=50)Explanation
| Pipe | Descripción |
|---|---|
#repo="base_sensor" #event_simpleName=ProcessRollup2 | Filtra eventos de creación de procesos en sensores endpoint FDR |
FileName=/.../ (herramientas de discovery) | Selecciona binarios nativos usados para enumeración: whoami, hostname, ipconfig, systeminfo, net, arp, netstat, tasklist y quser |
ParentBaseFileName=/(?i)^cmd\.exe$/ | Filtra únicamente los casos donde cmd.exe es el proceso padre — indicador de ejecución interactiva o scripted, patrón distintivo de operadores manuales |
groupBy([ComputerName, UserName, FileName], function=count()) | Agrupa por host, usuario y herramienta para visualizar qué actores realizan reconocimiento y con qué frecuencia |
sort(_count, order=desc, limit=50) | Ordena por frecuencia descendente para identificar los usuarios más activos en enumeración del sistema |
Adjustable Variables
Añadir nltest.exe, dsquery.exe, cmdkey.exe o net1.exe para ampliar cobertura de reconocimiento de Active Directory. Añadir NOT UserName para excluir helpdesk y admins de TI legítimos. Ampliar ParentBaseFileName con powershell.exe para cobertura adicional.