Volver al hub

LOLBin Regsvr32

This query detects the use of Regsvr32 when it has loaded scrobj.dll.

EDRhuntingT1218.010
FDR intermediatepor ByteRay GmbH (cql-hub.com) 1 min read

Query

in(#event_simpleName, values=["ProcessRollup2","ProcessBlocked"])
| event_platform=Win
| ImageFileName=/regsvr32.exe/i CommandLine=/scrobj.dll/i CommandLine=/i:/i

Explicación

Importado desde cql-hub.com. Agrega explicación de pipes aquí.

Variables a ajustar

Revisa y ajusta los valores según tu entorno.