Investigación del acceso a proxy TOR basado en Curl con Uncoder AI y el lenguaje de consulta de SentinelOne

[post-views]
abril 23, 2025 · 5 min de lectura
Investigación del acceso a proxy TOR basado en Curl con Uncoder AI y el lenguaje de consulta de SentinelOne

Detectar actividad sigilosa en la línea de comandos que puede indicar acceso a la web oscura o tráfico anonimizado es un desafío creciente para los equipos de seguridad. Herramientas como curl.exe—aunque completamente legítimas—pueden ser aprovechadas por amenazas avanzadas para enrutar tráfico a través de redes de proxy o TOR.

Aquí es donde la capacidad de Resumen Completo de Uncoder AI proporciona un contexto crucial. Cuando se aplica a SentinelOne Query Language (Events), la función transforma una regla de detección densa en una narrativa completamente comprensible—destacando tanto su propósito como su impacto potencial.

Explorar Uncoder AI

Enfoque de Detección: Curl.exe con Indicadores de TOR o Proxy

Esta consulta de SentinelOne apunta a ejecuciones del curl.exe binario con parámetros de línea de comandos que sugieren interacción con:

  • protocolos proxy SOCKS, como socks5h://, socks5://, y socks4a://
  • puntos finales específicos de Tor, en particular URLs que contienen .onion
Entrada que utilizamos (haz clic para mostrar el texto)
(TgtProcImagePath ContainsCIS «\curl.exe» AND (TgtProcCmdLine ContainsCIS anycase «socks5h://» OR TgtProcCmdLine ContainsCIS anycase «socks5://» OR TgtProcCmdLine ContainsCIS anycase «socks4a://») AND TgtProcCmdLine ContainsCIS anycase «.onion»)

Estos indicadores apuntan a intentos de enrutar tráfico a través de capas de proxy anonimizado—comúnmente asociadas con navegación en la web oscura, técnicas de evasión, o exfiltración de datos.

Desglose del Resumen Completo

El Resumen Completo de Uncoder AI descompuso automáticamente la regla en sus componentes clave:

  • Criterio de Ejecución: La consulta se activa cuando la ruta del proceso incluye curl.exe, señalando el uso del cliente web estándar de línea de comandos.
  • Criterio de Línea de Comandos: Busca específicamente patrones conocidos (socks5h://, .onion, etc.) que se utilizan a menudo en la anonimización o acceso a TOR.

La explicación de la IA también contextualizó estas cadenas, señalando su relevancia para comunicación basada en proxy, infraestructura de anonimato, y comportamiento de red malicioso.

Resultado de la IA (haz clic para mostrar el texto)
El evento s1-event en cuestión parece estar relacionado con la detección de actividad potencialmente maliciosa que implica el uso de la herramienta de línea de comandos `curl.exe` con patrones de URL específicos. A continuación, se presenta un resumen ampliado:

**Resumen del Evento**

Este evento se activa cuando un proceso cumple ciertas condiciones, indicando posible interacción con la web oscura o redes anónimas a través del ejecutable `curl.exe`.

**Condiciones Clave**

  1. **Ruta del Ejecutable**: El proceso objetivo (`TgtProcImagePath`) debe contener la ruta a `curl.exe`. Esto sugiere que el proceso en cuestión es una instancia de la herramienta de línea de comandos curl.
  2. **Parámetros de Línea de Comandos**: La línea de comandos (`TgtProcCmdLine`) del proceso `curl.exe` contiene patrones de URL específicos, que son indicadores de actividad potencialmente maliciosa o sospechosa:
  • `socks5h://`, `socks5://`, o `socks4a://`: Estas cadenas indican el uso de proxys SOCKS. SOCKS es un protocolo que permite que el tráfico de Internet pase a través de un servidor proxy. La `h` en `socks5h` típicamente significa que el nombre de host se resuelve en el lado del proxy, lo que puede ayudar a ocultar el destino real.
  • `.onion`: Esta cadena está asociada con servicios de cebolla de Tor. Los servicios de cebolla se utilizan para alojar sitios web u otros servidores que desean permanecer anónimos y son accesibles a través de la red Tor.

**Implicaciones**

La combinación de estas condiciones sugiere algunos posibles escenarios:

  • **Acceso a Recursos de la Web Oscura**: La presencia de URLs `.onion` indica un intento de acceder a recursos en la web oscura, lo que a menudo se asocia con actividades ilícitas. Sin embargo, también se utiliza para fines legítimos como proteger la privacidad del usuario.
  • **Uso de Proxies para Anonimato**: El uso de proxys SOCKS (como indican `socks5h://`, `socks5://`, o `socks4a://`) puede ser un intento de anonimizar el tráfico de Internet. Aunque el uso de proxy es común y no inherentemente malicioso, en el contexto de acceder a servicios de cebolla u otro contenido potencialmente sensible, puede plantear preocupaciones de seguridad.
  • **Técnicas Potenciales de Evasión**: Los actores maliciosos podrían usar estos métodos (proxies de anonimización y recursos de la web oscura) como parte de sus tácticas, técnicas y procedimientos (TTPs) para evadir detección u ocultar sus rastros durante un ataque.

**Respuesta**

Cuando se activa este evento s1, se justifica una mayor investigación para comprender el contexto y la intención detrás de la actividad. Esto podría involucrar:

  • Revisar los registros de la red en busca de otras actividades sospechosas.
  • Analizar el comportamiento del sistema antes y después del evento para identificar posibles precursores o consecuencias de la acción detectada.
  • Inspeccionar el sistema en busca de signos de malware o intentos de acceso no autorizado.

Dada la naturaleza de este evento, es crucial equilibrar la vigilancia de seguridad con la comprensión de que no todas las actividades que involucran estos indicadores son maliciosas. Los usos legítimos podrían incluir investigación, protección de la privacidad o acceso a servicios de cebolla para comunicación segura.

Por qué Importa

Si bien no todos los usos de proxys SOCKS o dominios .onion son maliciosos, en la telemetría de endpoint, su aparición dentro de la actividad de curl.exe es poco común y potencialmente arriesgada. Los atacantes pueden abusar de este método para:

  • Eludir el registro tradicional y la visibilidad
  • Contactar con servidores C2 ocultos en la web oscura
  • Mover datos fuera de la red sin detección

Este tipo de comportamiento, especialmente cuando es automatizado o repetido, puede indicar herramientas avanzadas—como el backdoor Kalambur u otros implantes habilitados para TOR.

Habilitación de la Respuesta de Seguridad

Con el Resumen Completo, los defensores comprenden instantáneamente qué busca la detección y por qué importa. Apoya una toma de decisiones más rápida respecto a las acciones de respuesta, incluyendo:

  • Inspección profunda de paquetes del proceso sospechoso
  • Revisar el historial de terminales para identificar mecanismos de persistencia
  • Correlacionar el comportamiento a través de hosts en busca de signos de compromiso más amplio

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas