Visualización de Actividad Maliciosa de Proxy curl en CrowdStrike con Uncoder AI

[post-views]
mayo 02, 2025 · 3 min de lectura
Visualización de Actividad Maliciosa de Proxy curl en CrowdStrike con Uncoder AI

Los adversarios con frecuencia reutilizan herramientas de confianza como curl.exe para tunelizar el tráfico a través de proxies SOCKS e incluso alcanzar dominios .onion . Ya sea para la exfiltración de datos o comunicación de comando y control, tal actividad a menudo pasa desapercibida, a menos que se esté detectando explícitamente.

Esto es exactamente lo que el Lenguaje de Consulta de Seguridad de Endpoint de CrowdStrike permite a los equipos hacer. Pero cuando la lógica se torna densa, tanto los ingenieros de detección como los analistas SOC se benefician del Árbol de Decisión generado por IA de Uncoder AI, que expone cada rama de la regla en un formato visual y limpio.

Explore Uncoder AI

Objetivo de Detección: curl.exe + Indicadores de Proxy TOR

La regla de detección de CrowdStrike monitorea:

  • La ejecución de procesos de curl.exe, verificado a través de ambos campos ImageFileName and ApplicationName fields
  • Argumentos de proxy SOCKS, como socks5h://, socks5://, o socks4a:// in:
    • La línea de comandos
    • El historial de comandos
  • Acceso a dominios .onion, indicando comunicación en la web oscura

Esta consulta multifacética utiliza ambos argumentos de línea de comandos e históricos para asegurar una visibilidad exhaustiva de cómo se está aprovechando curl.exe .

Entrada utilizada (haga clic para mostrar el texto)

((ImageFileName=/\curl.exe$/i o ApplicationName=/\curl.exe$/i) ((CommandLine=/socks5h:///i o CommandLine=/socks5:///i o CommandLine=/socks4a:///i) o (CommandHistory=/socks5h:///i o CommandHistory=/socks5:///i o CommandHistory=/socks4a:///i)) (CommandLine=/.onion/i o CommandHistory=/.onion/i))

Lo que el Árbol de Decisión de IA Reveló

Uncoder AI desglosó esto en una secuencia clara de condiciones lógicas:

  1. Coincidencia Inicial del Proceso
    • ImageFileName or ApplicationName debe terminar con curl.exe (insensible a mayúsculas)
  2. Evidencia de Uso de Proxy SOCKS
    • Detectado a través de CommandLine or CommandHistory coincidiendo con los patrones SOCKS (socks5h, socks5, socks4a)
  3. Detección de Tráfico .onion
    • Detectado nuevamente en ambos CommandLine and CommandHistory

La estructura del árbol también separa AND la lógica de evaluaciones internas: OR Solo se activa una alerta cuando se satisfacen las tres ramas: coincidencia del proceso, uso de proxy y referencia al dominio .onion.

  • You only trigger an alert when all three branches are satisfied: process match, proxy usage, and .onion domain reference.

Valor en el Mundo Real

Con este árbol de decisión, los defensores pueden interpretar instantáneamente qué objetivos and why:

  • identifica puertas traseras como Kalambur u otros implantes utilizando curl.exe para interactuar con servicios ocultos.
  • Monitorear el abuso de proxies y capas de anonimización que pueden ser usadas para eludir las defensas perimetrales.

Identificar actividad post-explotación que intenta mezclarse con el comportamiento legítimo del administrador.

De Regex a Lógica Legible

Lo que antes parecía regex denso de CrowdStrike y condiciones anidadas ahora es visualmente transparente, gracias a Uncoder AI. Esto permite:

  • Una clasificación más rápida de alertas basadas en curl
  • Ajuste y validación más fáciles de reglas de detección
  • Una transferencia más accesible entre cazadores de amenazas y respondedores de incidentes

Explore Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas