Visualiser l’activité de la menace clfs.sys dans Microsoft Defender avec l’arbre de décision d’Uncoder AI

[post-views]
mai 01, 2025 · 5 min de lecture
Visualiser l’activité de la menace clfs.sys dans Microsoft Defender avec l’arbre de décision d’Uncoder AI

Le chargement de pilotes système légitimes à partir de répertoires illégitimes ou suspects est une tactique connue pour la persistance, l’évasion ou l’exécution par les adversaires. Une cible de grande valeur dans cette catégorie est clfs.sys — un pilote Windows légitime lié au système de fichiers journaux communs.

Pour détecter cette activité, Microsoft Defender for Endpoint prend en charge une logique de détection avancée basée sur KQL. Mais pour véritablement opérationnaliser ces requêtes, les analystes ont besoin de visibilité sur leur fonctionnement. C’est exactement ce que l’arbre de décision généré par l’IA d’Uncoder AI fournit.

Explorer Uncoder AI

Cas d’utilisation : clfs.sys chargé à partir de chemins utilisateur ou temporaires

Cette requête identifie quand clfs.sys est chargé à partir de répertoires non standard ou contrôlés par l’utilisateur, qui peuvent inclure :

  • UsersPublic
  • Temporary Internet
  • WindowsTemp
  • Sous-dossiers sous Users tels que Pictures , Contacts , ou Favourites

Il est rare que ces chemins hébergent ou initient le chargement de pilotes de niveau système, rendant cette activité très suspecte.

Input we used (click to show the text)
DeviceImageLoadEvents | where (FolderPath endswith @'clfs.sys' and ((InitiatingProcessFolderPath contains @':Perflogs' or InitiatingProcessFolderPath contains @':UsersPublic' or InitiatingProcessFolderPath contains @'Temporary Internet' or InitiatingProcessFolderPath contains @'WindowsTemp') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favorites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Favourites') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Contacts') or (InitiatingProcessFolderPath contains @':Users' and InitiatingProcessFolderPath contains @'Pictures')))

Comment l’arbre décisionnel le décompose

Uncoder AI transforme automatiquement cette logique de détection en une structure d’arbre de décision lisible par l’homme, montrant :

  1. Portée de la requête :
    Elle filtre depuis DeviceImageLoadEvents où le chemin du dossier se termine par clfs.sys.
  2. Conditions de chemin de dossier :
    L’arbre de décision vérifie si le chemin de dossier du processus initiateur contient des emplacements inhabituels de stockage utilisateur ou temporaire.
  3. Conditions de bifurcation :
    Les sous-branches clarifient quels chemins sont considérés :
    • dossiers temporaires ou de cache génériques
    • emplacements spécifiques aux utilisateurs qui impliquent l’accès aux données personnelles
    • Conditions combinées comme Users + Favourites or Pictures
  4. Résultat :
    Si l’une de ces conditions est remplie, l’événement est marqué comme pertinent — signalant une possible utilisation abusive de clfs.sys depuis des chemins d’origine suspects.
AI Output (click to show the text)
The Microsoft Defender for Endpoint Query you’ve provided is designed to filter `DeviceImageLoadEvents` based on specific conditions related to the loading of a particular system file (`clfs.sys`) and the paths from which the initiating processes are launched. Here’s a breakdown of the decision tree involved in the condition part of this query:

1. **Initial Condition**: The query starts by looking at all `DeviceImageLoadEvents` where the `FolderPath` ends with `clfs.sys`. This means it’s specifically interested in events involving the loading of the `clfs.sys` file, which is a system file related to the Common Log File System (CLFS) used by Windows.

2. **Main Conditional Branch**:
– The query then applies an OR condition to filter these events based on the `InitiatingProcessFolderPath`. This means it checks if any of the following conditions are true for the folder path of the process that initiated the loading of `clfs.sys`.

3. **Sub-Conditions for Initiating Process Folder Path**:
– The first set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific directories that could indicate potentially malicious or unauthorized activity, such as:
– `:Perflogs`
– `:UsersPublic`
– `Temporary Internet`
– `WindowsTemp`
– These paths are often associated with temporary files, public user data, internet cache, and system temporary files, respectively. Loading system files like `clfs.sys` from these contexts could be unusual or indicative of malicious activity.

– The next set of sub-conditions checks if the `InitiatingProcessFolderPath` contains specific user directories that might indicate unauthorized access to personal data:
– `:Users` combined with any of the following: `Favorites`, `Favourites`, `Contacts`, or `Pictures`.
– These conditions aim to identify scenarios where a process, potentially malicious, is accessing sensitive user data locations while loading system files.

4. **Decision Outcome**:
– If any of these sub-conditions are met (i.e., if the `InitiatingProcessFolderPath` matches any of the specified patterns), then the event is included in the query results.
– Essentially, the query is looking for instances where the loading of `clfs.sys` might be associated with potentially suspicious or unauthorized activity based on the initiating process’s location.

In summary, this Microsoft Defender for Endpoint Query uses a detailed decision tree to identify and flag `DeviceImageLoadEvents` involving the `clfs.sys` file loaded from specific folder paths that could indicate malicious or unusual system activity.

Pourquoi cela importe

  •  
  • Contexte amélioré : Les analystes n’ont plus besoin de déchiffrer des conditions OR imbriquées pour comprendre la couverture des risques.
  • Tri plus rapide : Vous pouvez voir en quelques secondes si la règle détecte l’utilisation abusive des chemins temporaires, l’exploitation des dossiers utilisateur, ou les deux.
  • Logique prête pour l’audit : La répartition sous forme d’arbre facilite la documentation et les efforts de formation du SOC.

En fin de compte, charger clfs.sys en dehors de ses répertoires système attendus peut représenter un abus de pilote, des tactiques de vivre-sur-le-terrain, ou ou des logiciels malveillants se faisant passer pour des processus légitimes.

Des indicateurs de dossier à la défense contre les menaces

L’arbre de décision d’Uncoder AI prend un KQL verbeux et le transforme en un format intuitif et convivial pour le SOC. Que vous ajustiez cette règle, cherchiez des anomalies, ou expliquiez la logique de détection à la direction — cette fonctionnalité la rend exploitable.

Explorer Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Intelligence sur les menaces basée sur l’IA 18 min de lecture SIEM & EDR Intelligence sur les menaces basée sur l’IA by Veronika Telychko Détection des menaces des appels système Linux dans Splunk avec Uncoder AI 2 min de lecture Plateforme SOC Prime Détection des menaces des appels système Linux dans Splunk avec Uncoder AI by Steven Edwards De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI 2 min de lecture Plateforme SOC Prime De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI by Steven Edwards
Toutes les actualités