LOLBin Certutil
This query detects the use of certutil.exe.
EDRhuntingT1105T1564.004T1027.013T1140
FDR intermediatepor ByteRay GmbH (cql-hub.com) 1 min read
Query
in(#event_simpleName, values=["ProcessRollup2","ProcessBlocked"])
| event_platform=Win and ImageFileName=/certutil.exe/i and CommandLine=/(https?:)/iExplicación
Importado desde cql-hub.com. Agrega explicación de pipes aquí.
Variables a ajustar
Revisa y ajusta los valores según tu entorno.