Aufdecken verdächtiger Skripterstellung über CrushFTP mit Uncoder AI in Microsoft Defender

SOC Prime Plattform

Mai 01, 2025

3 min zu lesen

Aufdecken verdächtiger Skripterstellung über CrushFTP mit Uncoder AI in Microsoft Defender

Steven Edwards
Steven Edwards Analyst für Bedrohungserkennung

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Dateiübertragungsdienste wie CrushFTP sind entscheidend für Geschäftsabläufe — aber sie können auch als verdeckte Ausgangspunkte für Aktivitäten nach einer Exploitation genutzt werden. Wenn ein Serverprozess wie crushftpservice.exe Befehlszeileninterpreter wie powershell.exe , cmd.exe , oder bash.exe erzeugt, kann dies darauf hinweisen, dass ein Angreifer Befehle ausführt oder Nutzlasten unbemerkt einsetzt.

In Microsoft Defender für Endpoint, solch eine Aktivität kann mit Kusto Query Language (KQL) erfasst werden. Aber die Zerlegung der Regel-Logik benötigt Zeit – insbesondere, wenn mehrere Prozesspfade und Ausführungsmuster einbezogen sind.

Mit Uncoder AIs Kurzzusammenfassung, müssen Analysten nicht mehr jede Bedingung manuell interpretieren. Stattdessen erhalten sie eine klare, sofortige Erklärung.

Uncoder AI beschleunigt KQL-Analyse für verdächtige CrushFTP-Aktivität

Verdächtige Skriptingaktivitäten über CrushFTP mit Uncoder AI in Microsoft Defender aufdecken

Uncoder AI erkunden

Übersicht der Erkennungsmethoden

Die KQL-Erkennungsregel wird ausgelöst, wenn:

  • Ein Prozess (DeviceProcessEvent) gestartet wird, bei dem der Startprozess-Ordnerpfad mit crushftpservice.exe.
  • endet. Der neue untergeordnete Prozess-Ordnerpfad endet mit einem der folgenden Skript- oder Befehlszeilen-Binärdateien:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Jedes dieser ausführbaren Dateien wird häufig in Szenarien nach einer Kompromittierung missbraucht, um Shell-Zugriff zu erhalten, Skripte auszuführen oder Malware zu starten.

Eingabe, die wir verwendet haben (klicken, um den Text anzuzeigen)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Was die Zusammenfassung von Uncoder AI liefert

So vereinfachte Uncoder AI die Logik:

„Diese Microsoft Defender for Endpoint KQL (Kusto Query Language) Abfrage erkennt potenziell bösartige Aktivität, indem sie Geräteprozesserignisse identifiziert, bei denen der Startprozess crushftpservice.exe ist und der ausgeführte Prozess ein bekannter Befehlszeileninterpreter oder Skript-Engine, wie bash.exe , cmd.exe, powershell.exe, etc. ist.“

Anstatt die ordnerpfadlastige Regex-Logik zu überprüfen, verstehen Analysten sofort das Verhalten, das markiert wird –vom Startzeitpunkt bis zur Ausführungsabsicht.

KI-Ausgabe (Klicken, um den Text anzuzeigen)
Diese Microsoft Defender for Endpoint KQL (Kusto Query Language) Abfrage erkennt potenziell bösartige Aktivität, indem sie Geräteprozesserignisse identifiziert, bei denen der Startprozess `crushftpservice.exe` ist und der ausgeführte Prozess ein bekannter Befehlszeileninterpreter oder Skript-Engine ist, wie `bash.exe`, `cmd.exe`, `powershell.exe`, etc.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen 15 min zu lesen SOC Prime Plattform Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen by Daryna Olyniychuk Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards