Exposición de secuencias de comandos sospechosas a través de CrushFTP con Uncoder AI en Microsoft Defender

Plataforma SOC Prime

mayo 01, 2025

3 min de lectura

Exposición de secuencias de comandos sospechosas a través de CrushFTP con Uncoder AI en Microsoft Defender

Steven Edwards
Steven Edwards Analista de Detección de Amenazas

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Los servicios de transferencia de archivos como CrushFTP son críticos para las operaciones comerciales, pero también pueden ser utilizados como plataformas de lanzamiento sigilosas para actividades posteriores a la explotación. Cuando un proceso de servidor como crushftpservice.exe inicia intérpretes de línea de comandos como powershell.exe , cmd.exe , o bash.exe , puede señalar que un atacante está ejecutando comandos o desplegando cargas útiles sin ser detectado.

In Microsoft Defender for Endpoint, tal actividad se puede capturar utilizando Kusto Query Language (KQL). Pero desglosar la lógica de la regla toma tiempo, especialmente cuando se involucran múltiples rutas de proceso y patrones de ejecución.

Con el Resumen Breve de Uncoder AI, los analistas ya no necesitan interpretar cada condición manualmente. En su lugar, obtienen una explicación clara e inmediata.

Uncoder AI Acelera el Análisis de KQL para Actividad Sospechosa de CrushFTP

Exponiendo Scripts Sospechosos a través de CrushFTP con Uncoder AI en Microsoft Defender

Explore Uncoder AI

Visión General de la Lógica de Detección

La regla de detección de KQL se activa cuando:

  • Un proceso (DeviceProcessEvent) se lanza donde la ruta de la carpeta del proceso iniciador termina con crushftpservice.exe.
  • La nueva ruta de la carpeta del proceso hijo termina con uno de los siguientes binarios de script o de línea de comandos:
    • bash.exe
    • cmd.exe
    • cscript.exe
    • mshta.exe
    • powershell.exe
    • powershell_ise.exe
    • pwsh.exe
    • sh.exe
    • wscript.exe

Cada uno de estos ejecutables se abusa comúnmente en escenarios posteriores al compromiso para obtener acceso a la shell, ejecutar scripts o lanzar malware.

Entrada que utilizamos (haz clic para mostrar el texto)
(ParentBaseFileName=/crushftpservice\.exe$/i ((ImageFileName=/\\bash\.exe$/i or ImageFileName=/\\cmd\.exe$/i or ImageFileName=/\\cscript\.exe$/i or ImageFileName=/\\mshta\.exe$/i or ImageFileName=/\\powershell\.exe$/i or ImageFileName=/\\powershell\_ise\.exe$/i or ImageFileName=/\\pwsh\.exe$/i or ImageFileName=/\\sh\.exe$/i or ImageFileName=/\\wscript\.exe$/i) or (ApplicationName=/\\bash\.exe$/i or ApplicationName=/\\cmd\.exe$/i or ApplicationName=/\\cscript\.exe$/i or ApplicationName=/\\mshta\.exe$/i or ApplicationName=/\\powershell\.exe$/i or ApplicationName=/\\powershell\_ise\.exe$/i or ApplicationName=/\\pwsh\.exe$/i or ApplicationName=/\\sh\.exe$/i or ApplicationName=/\\wscript\.exe$/i)))

Lo que entregó el Resumen de Uncoder AI

Así es como Uncoder AI simplificó la lógica:

“Esta consulta de Microsoft Defender for Endpoint KQL (Kusto Query Language) detecta actividad potencialmente maliciosa identificando eventos de proceso del dispositivo donde el proceso iniciador es crushftpservice.exe y el proceso ejecutado es un conocido intérprete de línea de comandos o motor de scripts, como bash.exe , cmd.exe, powershell.exe, etc.”

En lugar de revisar la lógica de ruta de carpeta pesada en regex, los analistas entienden instantáneamente el comportamiento que está siendo señalado—desde la fuente de lanzamiento hasta la intención de ejecución.

Resultado de la IA (haz clic para mostrar el texto)
Esta consulta de Microsoft Defender for Endpoint KQL (Kusto Query Language) detecta actividad potencialmente maliciosa identificando eventos de proceso del dispositivo donde el proceso iniciador es `crushftpservice.exe` y el proceso ejecutado es un conocido intérprete de línea de comandos o motor de scripts, como `bash.exe`, `cmd.exe`, `powershell.exe`, etc.
Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Plataforma SOC Prime Articles

Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones 16 min de lectura Plataforma SOC Prime Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones by Daryna Olyniychuk Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards