Basic Windows Token Privilege Enumeration via whoami
Introductory query to detect whoami.exe usage with privilege and group enumeration parameters, the typical first step of an attacker after gaining initial access to understand the privilege level available on the compromised host
EDRwhoamitoken-enumerationprivilege-discoveryinitial-accesswindowsT1033T1134.001
FDR Beginnerby darkreitor 1 min read
Query
#repo="base_sensor" #event_simpleName=ProcessRollup2
| FileName=/(?i)whoami\.exe$/
| CommandLine=/(?i)(\/priv|\/groups|\/all|\/logonid|\/fo csv)/
| groupBy([ComputerName, UserName, CommandLine], function=[
count(as=exec_count),
min(@timestamp, as=first_seen)
])
| sort(first_seen, order=asc)Explanation
| Pipe | Descripción | ||||
|---|---|---|---|---|---|
#repo="base_sensor" #event_simpleName=ProcessRollup2 | Selecciona eventos de proceso desde el repositorio FDR del sensor Falcon | ||||
FileName=/(?i)whoami\.exe$/ | Filtra exclusivamente ejecuciones del binario whoami.exe | ||||
| `CommandLine=/(?i)(\/priv\ | \/groups\ | \/all\ | \/logonid\ | \/fo csv)/` | Detecta uso con parámetros de enumeración: privilegios actuales, membresía en grupos, o volcado CSV (útil para exfiltración) |
groupBy([ComputerName, UserName, CommandLine], function=[...]) | Agrupa por host, usuario y comando exacto, capturando la primera vez que se vio cada combinación | ||||
sort(first_seen, order=asc) | Ordena cronológicamente para facilitar correlación con otros eventos en la línea temporal del incidente |
Adjustable Variables
Combina esta query con alertas de creación de usuario o escalación de privilegios para mayor contexto. El parámetro /fo csv puede indicar intención de exportar resultados — considera correlacionarlo con eventos de escritura de archivos posteriores.