JAR files written to %AppData%
This query detects if a JAR file was written to the %AppData% folder
EDRhuntingT1027
FDR intermediatepor CrowdStrike (cql-hub.com) 1 min read
Query
#event_simpleName=JarFileWritten
| TargetFileName=/\\AppData\\/i
| table([aid, @timestamp, TargetFileName, SHA256HashData], limit=1000)Explicación
Importado desde cql-hub.com. Agrega explicación de pipes aquí.
Variables a ajustar
Revisa y ajusta los valores según tu entorno.