Exposición de secuencias de comandos sospechosas a través de CrushFTP con Uncoder AI en Microsoft Defender

[post-views]
mayo 01, 2025 · 3 min de lectura
Exposición de secuencias de comandos sospechosas a través de CrushFTP con Uncoder AI en Microsoft Defender

Los servicios de transferencia de archivos como CrushFTP son críticos para las operaciones comerciales, pero también pueden ser utilizados como plataformas de lanzamiento sigilosas para actividades posteriores a la explotación. Cuando un proceso de servidor como crushftpservice.exe inicia intérpretes de línea de comandos como powershell.exe , cmd.exe , o bash.exe , puede señalar que un atacante está ejecutando comandos o desplegando cargas útiles sin ser detectado.

In Microsoft Defender for Endpoint, tal actividad se puede capturar utilizando Kusto Query Language (KQL). Pero desglosar la lógica de la regla toma tiempo, especialmente cuando se involucran múltiples rutas de proceso y patrones de ejecución.

Con el Resumen Breve de Uncoder AI, los analistas ya no necesitan interpretar cada condición manualmente. En su lugar, obtienen una explicación clara e inmediata.

Uncoder AI Acelera el Análisis de KQL para Actividad Sospechosa de CrushFTP

Exponiendo Scripts Sospechosos a través de CrushFTP con Uncoder AI en Microsoft Defender

Explore Uncoder AI

Visión General de la Lógica de Detección

La regla de detección de KQL se activa cuando:

  • Un proceso (DeviceProcessEvent) se lanza donde la ruta de la carpeta del proceso iniciador termina con crushftpservice.exe.
  • La nueva ruta de la carpeta del proceso hijo termina con uno de los siguientes binarios de script o de línea de comandos:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Cada uno de estos ejecutables se abusa comúnmente en escenarios posteriores al compromiso para obtener acceso a la shell, ejecutar scripts o lanzar malware.

Entrada que utilizamos (haz clic para mostrar el texto)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Lo que entregó el Resumen de Uncoder AI

Así es como Uncoder AI simplificó la lógica:

“Esta consulta de Microsoft Defender for Endpoint KQL (Kusto Query Language) detecta actividad potencialmente maliciosa identificando eventos de proceso del dispositivo donde el proceso iniciador es crushftpservice.exe y el proceso ejecutado es un conocido intérprete de línea de comandos o motor de scripts, como bash.exe , cmd.exe, powershell.exe, etc.”

En lugar de revisar la lógica de ruta de carpeta pesada en regex, los analistas entienden instantáneamente el comportamiento que está siendo señalado—desde la fuente de lanzamiento hasta la intención de ejecución.

Resultado de la IA (haz clic para mostrar el texto)
Esta consulta de Microsoft Defender for Endpoint KQL (Kusto Query Language) detecta actividad potencialmente maliciosa identificando eventos de proceso del dispositivo donde el proceso iniciador es `crushftpservice.exe` y el proceso ejecutado es un conocido intérprete de línea de comandos o motor de scripts, como `bash.exe`, `cmd.exe`, `powershell.exe`, etc.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Descubriendo Riesgos Internos con Resumen Completo en Uncoder AI: Un Caso de Microsoft Defender para Endpoint
Blog, Plataforma SOC Prime — 2 min de lectura
Descubriendo Riesgos Internos con Resumen Completo en Uncoder AI: Un Caso de Microsoft Defender para Endpoint
Steven Edwards