Enquête sur l’accès proxy TOR basé sur Curl avec Uncoder AI et le langage de requête SentinelOne

[post-views]
avril 23, 2025 · 6 min de lecture
Enquête sur l’accès proxy TOR basé sur Curl avec Uncoder AI et le langage de requête SentinelOne

Détecter une activité en ligne de commande discrète pouvant indiquer un accès au dark web ou un trafic anonymisé est un défi croissant pour les équipes de sécurité. Des outils comme curl.exe—bien qu’entièrement légitimes—peuvent être exploités par des menaces avancées pour rediriger le trafic à travers des réseaux proxy ou TOR.

C’est là que la synthèse complète d’Uncoder AI fournit un contexte crucial. Lorsqu’elle est appliquée à SentinelOne Query Language (Events), la fonctionnalité a transformé une règle de détection dense en un récit pleinement compréhensible—soulignant à la fois son objectif et son impact potentiel.

Explorez Uncoder AI

Focus de détection : Curl.exe avec indicateurs TOR ou Proxy

Cette requête SentinelOne cible les exécutions du curl.exe binaire avec des paramètres de ligne de commande suggérant une interaction avec :

  • protocoles proxy SOCKS, tels que socks5h://, socks5://, et socks4a://
  • endpoints spécifiques à Tor, notamment les URL contenant .onion
Entrée que nous avons utilisée (cliquez pour afficher le texte)
(TgtProcImagePath ContainsCIS « \curl.exe » AND (TgtProcCmdLine ContainsCIS anycase « socks5h:// » OR TgtProcCmdLine ContainsCIS anycase « socks5:// » OR TgtProcCmdLine ContainsCIS anycase « socks4a:// ») AND TgtProcCmdLine ContainsCIS anycase « .onion »)

Ces indicateurs pointent vers des tentatives de routage du trafic à travers des couches de proxy anonymisées—souvent associées à la navigation sur le dark web, des techniques d’évasion, ou l’exfiltration des données.

Répartition de la synthèse complète

La synthèse complète d’Uncoder AI a automatiquement décomposé la règle en ses composants clés :

  • Correspondance exécutable: La requête se déclenche lorsque le chemin du processus inclut curl.exe, signalant l’utilisation du client web en ligne de commande standard.
  • Correspondance de ligne de commande: Elle recherche spécifiquement des motifs connus (socks5h://, .onion, etc.) souvent utilisés dans l’anonymisation ou l’accès à TOR.

L’explication de l’IA a également contextualisé ces chaînes, notant leur pertinence pour la communication basée sur proxy, l’infrastructure d’anonymat, et le comportement réseau malveillant.

Résultat de l’IA (cliquez pour afficher le texte)
L’événement s1 en question semble être lié à la détection d’une activité potentiellement malveillante impliquant l’utilisation de l’outil en ligne de commande `curl.exe` avec des modèles d’URL spécifiques. Voici un résumé détaillé :

**Aperçu de l’événement**

Cet événement est déclenché lorsqu’un processus répond à certaines conditions, indiquant une possible interaction avec le dark web ou des réseaux anonymes via l’exécutable `curl.exe`.

**Conditions clés**

  1. **Chemin de l’exécutable** : Le processus cible (`TgtProcImagePath`) doit contenir le chemin vers `curl.exe`. Cela suggère que le processus en question est une instance de l’outil de ligne de commande curl.
  2. **Paramètres de la ligne de commande** : La ligne de commande (`TgtProcCmdLine`) du processus `curl.exe` contient des motifs d’URL spécifiques, qui sont des indicateurs d’une activité potentiellement malveillante ou suspecte :
  • `socks5h://`, `socks5://`, ou `socks4a://` : Ces chaînes indiquent l’utilisation de proxies SOCKS. SOCKS est un protocole qui permet le routage du trafic Internet via un serveur proxy. Le `h` dans `socks5h` signifie généralement que le nom d’hôte est résolu du côté proxy, ce qui peut aider à masquer la destination réelle.
  • `.onion` : Cette chaîne est associée aux services onion de Tor. Les services onion sont utilisés pour héberger des sites web ou d’autres serveurs qui souhaitent rester anonymes et sont accessibles via le réseau Tor.

**Implications**

La combinaison de ces conditions suggère quelques scénarios possibles :

  • **Accès aux ressources du dark web** : La présence d’URL `.onion` indique une tentative d’accès à des ressources sur le dark web, souvent associées à des activités illicites. Cependant, il est aussi utilisé à des fins légitimes comme la protection de la vie privée des utilisateurs.
  • **Utilisation de proxies pour l’anonymat** : L’utilisation de proxies SOCKS (comme indiqué par `socks5h://`, `socks5://`, ou `socks4a://`) peut être une tentative d’anonymiser le trafic Internet. Bien que l’utilisation de proxies soit courante et non foncièrement malveillante, dans le contexte de l’accès aux services onion ou d’autres contenus potentiellement sensibles, cela peut soulever des préoccupations en matière de sécurité.
  • **Techniques d’évasion potentielles** : Les acteurs malveillants pourraient utiliser ces méthodes (proxies anonymisants et ressources du dark web) dans le cadre de leurs tactiques, techniques et procédures (TTP) pour échapper à la détection ou masquer leurs traces lors d’une attaque.

**Réponse**

Lorsque cet événement s1 est déclenché, il est nécessaire d’approfondir l’investigation pour comprendre le contexte et l’intention derrière l’activité. Cela pourrait impliquer :

  • Révision des journaux réseau pour d’autres activités suspectes.
  • Analyse du comportement du système avant et après l’événement pour identifier des précurseurs potentiels ou les conséquences de l’action détectée.
  • Inspection du système pour tout signe de logiciel malveillant ou tentatives d’accès non autorisées.

Étant donné la nature de cet événement, il est crucial de maintenir une vigilance sécuritaire tout en comprenant que toutes les activités impliquant ces indicateurs ne sont pas malveillantes. Les usages légitimes peuvent inclure la recherche, la protection de la vie privée ou l’accès à des services onion pour des communications sécurisées.

Pourquoi c’est important

Bien que toutes les utilisations de proxies SOCKS ou de domaines .onion ne soient pas malveillantes, dans la télémétrie des points d’extrémité, leur apparition dans l’activité de curl.exe est peu courante et potentiellement risquée. Les attaquants peuvent abuser de cette méthode pour :

  • Contourner la journalisation traditionnelle et la visibilité
  • Contacter des serveurs C2 cachés sur le dark web
  • Déplacer des données hors du réseau sans détection

Ce type de comportement, en particulier lorsqu’il est automatisé ou répété, peut indiquer des outils avancés—comme le backdoor Kalambur ou d’autres implants compatibles TOR.

Activation de la réponse sécuritaire

Avec la synthèse complète, les défenseurs comprennent instantanément ce que recherche la détection et pourquoi cela importe. Cela soutient une prise de décision plus rapide concernant les actions de réponse, y compris :

  • Inspection approfondie des paquets du processus suspecté
  • Révision de l’historique des points d’extrémité pour identifier les mécanismes de persistance
  • Corrélation des comportements entre les hôtes pour détecter des signes de compromission étendue

Explorez Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes