Back to hub

Data Exfiltration via Native FTP or LOLBin Tools

Detects use of native Windows tools such as ftp.exe, bitsadmin.exe, and certutil.exe with parameters associated with file transfer and data encoding to external destinations. These LOLBin techniques are commonly used by threat actors to exfiltrate compromised data while evading perimeter security controls.

EDRexfiltrationlolbinftpbitsadmincertutilT1048.003T1197T1140
FDR Beginnerby darkreitor 1 min read

Query

#repo="base_sensor" #event_simpleName=ProcessRollup2
| FileName=/(?i)(ftp\.exe|bitsadmin\.exe|certutil\.exe)$/
| CommandLine=/(?i)(open\s+\d{1,3}|put\s+|urlcache|base64|-encode|-transfer|\/transfer)/
| groupBy([ComputerName, UserSid, FileName], function=[
    count(as=exfil_attempts),
    collect(CommandLine, separator="|"),
    max(@timestamp, as=last_seen)
  ])
| sort(last_seen, order=desc)

Explanation

PipeDescripción
`FileName=/(?i)(ftp\.exe\bitsadmin\.exe\certutil\.exe)$/`Filtra los tres binarios nativos de Windows más abusados para exfiltración de datos y descarga de payloads
`CommandLine=/(?i)(open\s+\d{1,3}\put\s+\urlcache\base64\-encode\-transfer\\/transfer)/`Detecta patrones de exfiltración: conexión FTP a IP numérica (open), subida de archivos (put), descarga via BITS/certutil con urlcache, y codificación base64
groupBy([ComputerName, UserSid, FileName], ...)Agrupa por host, usuario y binario para correlacionar múltiples intentos de exfiltración y dimensionar el alcance
`collect(CommandLine, separator="\")`Recolecta todas las líneas de comando para reconstruir la secuencia completa de exfiltración
sort(last_seen, order=desc)Ordena por actividad más reciente para priorizar la investigación y contención inmediata

Adjustable Variables

FileName: agregar powershell.exe con patrones Invoke-WebRequest o curl para cobertura más amplia; CommandLine regex: ajustar patrones de exfiltración observados en el entorno; combinar con NetworkConnection events (#event_simpleName=NetworkConnectIP4) para confirmar destinos externos