Exposition de Script Suspect via CrushFTP avec Uncoder AI dans Microsoft Defender

Plateforme SOC Prime

mai 01, 2025

3 min de lecture

Exposition de Script Suspect via CrushFTP avec Uncoder AI dans Microsoft Defender

Steven Edwards
Steven Edwards Analyste de la Détection des Menaces

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Les services de transfert de fichiers comme CrushFTP sont essentiels pour les opérations commerciales—mais ils peuvent aussi être utilisés comme des tremplins furtifs pour des activités post-exploitation. Lorsqu’un processus serveur tel que crushftpservice.exe lance des interprètes de ligne de commande comme powershell.exe , cmd.exe , ou bash.exe , cela peut indiquer qu’un attaquant exécute des commandes ou déploie des charges utiles discrètement.

In Microsoft Defender for Endpoint, une telle activité peut être capturée à l’aide du langage de requête Kusto (KQL). Mais disséquer la logique de la règle prend du temps—surtout lorsqu’il y a plusieurs chemins de processus et modèles d’exécution impliqués.

Avec le Résumé Court d’Uncoder AI, les analystes n’ont plus besoin d’interpréter chaque condition manuellement. À la place, ils obtiennent une explication claire et immédiate.

Uncoder AI Accélère l'Analyse KQL pour une Activité CrushFTP Suspecte

Exposer des Scripts Suspects via CrushFTP avec Uncoder AI dans Microsoft Defender

Explorez Uncoder AI

Aperçu de la Logique de Détection

La règle de détection KQL s’active lorsque :

  • Un processus (DeviceProcessEvent) est lancé où le chemin du dossier du processus initiateur se termine par crushftpservice.exe.
  • Le chemin du dossier du nouveau processus enfant se termine par l’un des binaires de script ou de ligne de commande suivants :
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Chacun de ces exécutables est couramment abusé dans les scénarios de post-compromission pour obtenir un accès shell, exécuter des scripts ou lancer des malwares.

Entrée que nous avons utilisée (cliquez pour afficher le texte)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Quel Résumé AI d’Uncoder a fourni

Voici comment AI d’Uncoder a simplifié la logique :

« Cette requête KQL (Kusto Query Language) de Microsoft Defender for Endpoint détecte une activité malveillante potentielle en identifiant les événements de processus du périphérique où le processus initiateur est crushftpservice.exe et le processus exécuté est un interprète de ligne de commande ou un moteur de script connu, tel que bash.exe , cmd.exe, powershell.exe, etc. »

Au lieu d’examiner une logique de chemin de dossier riche en regex, les analystes comprennent instantanément le comportement signalé—de la source de lancement à l’intention d’exécution.

Résultat de l’IA (cliquez pour afficher le texte)
Cette requête KQL (Kusto Query Language) de Microsoft Defender for Endpoint détecte une activité malveillante potentielle en identifiant les événements de processus du périphérique où le processus initiateur est `crushftpservice.exe` et le processus exécuté est un interprète de ligne de commande ou un moteur de script connu, tel que `bash.exe`, `cmd.exe`, `powershell.exe`, etc.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Plateforme SOC Prime Articles

Protocole de Contexte Modèle : Risques de Sécurité et Atténuations 20 min de lecture Plateforme SOC Prime Protocole de Contexte Modèle : Risques de Sécurité et Atténuations by Daryna Olyniychuk Détection des menaces des appels système Linux dans Splunk avec Uncoder AI 2 min de lecture Plateforme SOC Prime Détection des menaces des appels système Linux dans Splunk avec Uncoder AI by Steven Edwards De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI 2 min de lecture Plateforme SOC Prime De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI by Steven Edwards