Aufdecken verdächtiger Skripterstellung über CrushFTP mit Uncoder AI in Microsoft Defender

[post-views]
Mai 01, 2025 · 3 min zu lesen
Aufdecken verdächtiger Skripterstellung über CrushFTP mit Uncoder AI in Microsoft Defender

Dateiübertragungsdienste wie CrushFTP sind entscheidend für Geschäftsabläufe — aber sie können auch als verdeckte Ausgangspunkte für Aktivitäten nach einer Exploitation genutzt werden. Wenn ein Serverprozess wie crushftpservice.exe Befehlszeileninterpreter wie powershell.exe , cmd.exe , oder bash.exe erzeugt, kann dies darauf hinweisen, dass ein Angreifer Befehle ausführt oder Nutzlasten unbemerkt einsetzt.

In Microsoft Defender für Endpoint, solch eine Aktivität kann mit Kusto Query Language (KQL) erfasst werden. Aber die Zerlegung der Regel-Logik benötigt Zeit – insbesondere, wenn mehrere Prozesspfade und Ausführungsmuster einbezogen sind.

Mit Uncoder AIs Kurzzusammenfassung, müssen Analysten nicht mehr jede Bedingung manuell interpretieren. Stattdessen erhalten sie eine klare, sofortige Erklärung.

Uncoder AI beschleunigt KQL-Analyse für verdächtige CrushFTP-Aktivität

Verdächtige Skriptingaktivitäten über CrushFTP mit Uncoder AI in Microsoft Defender aufdecken

Uncoder AI erkunden

Übersicht der Erkennungsmethoden

Die KQL-Erkennungsregel wird ausgelöst, wenn:

  • Ein Prozess (DeviceProcessEvent) gestartet wird, bei dem der Startprozess-Ordnerpfad mit crushftpservice.exe.
  • endet. Der neue untergeordnete Prozess-Ordnerpfad endet mit einem der folgenden Skript- oder Befehlszeilen-Binärdateien:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Jedes dieser ausführbaren Dateien wird häufig in Szenarien nach einer Kompromittierung missbraucht, um Shell-Zugriff zu erhalten, Skripte auszuführen oder Malware zu starten.

Eingabe, die wir verwendet haben (klicken, um den Text anzuzeigen)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Was die Zusammenfassung von Uncoder AI liefert

So vereinfachte Uncoder AI die Logik:

„Diese Microsoft Defender for Endpoint KQL (Kusto Query Language) Abfrage erkennt potenziell bösartige Aktivität, indem sie Geräteprozesserignisse identifiziert, bei denen der Startprozess crushftpservice.exe ist und der ausgeführte Prozess ein bekannter Befehlszeileninterpreter oder Skript-Engine, wie bash.exe , cmd.exe, powershell.exe, etc. ist.“

Anstatt die ordnerpfadlastige Regex-Logik zu überprüfen, verstehen Analysten sofort das Verhalten, das markiert wird –vom Startzeitpunkt bis zur Ausführungsabsicht.

KI-Ausgabe (Klicken, um den Text anzuzeigen)
Diese Microsoft Defender for Endpoint KQL (Kusto Query Language) Abfrage erkennt potenziell bösartige Aktivität, indem sie Geräteprozesserignisse identifiziert, bei denen der Startprozess `crushftpservice.exe` ist und der ausgeführte Prozess ein bekannter Befehlszeileninterpreter oder Skript-Engine ist, wie `bash.exe`, `cmd.exe`, `powershell.exe`, etc.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Aufdeckung von Insider-Risiken mit vollständiger Zusammenfassung in Uncoder AI: Ein Fall für Microsoft Defender for Endpoint
Blog, SOC Prime Plattform — 2 min zu lesen
Aufdeckung von Insider-Risiken mit vollständiger Zusammenfassung in Uncoder AI: Ein Fall für Microsoft Defender for Endpoint
Steven Edwards